Problembehandlung bei der Kennwortsynchronisierung bei Verwendung einer Azure AD-Synchronisierungs-Anwendung
In diesem Artikel erfahren Sie, wie Sie häufige Probleme beheben, die beim Synchronisieren von Kennwörtern aus der lokalen Umgebung mit Microsoft Entra ID mithilfe von Microsoft Entra Connect auftreten können.
Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2855271
Hinweis
Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.
Bevor Sie mit der Problembehandlung beginnen
Bevor Sie die Schritte zur Problembehandlung ausführen, stellen Sie sicher, dass die neueste Version von Microsoft Entra Connect installiert ist.
Stellen Sie außerdem sicher, dass sich die Verzeichnissynchronisierung in einem fehlerfreien Zustand befindet. Weitere Informationen finden Sie unter Problembehandlung bei der Objektsynchronisierung mit Microsoft Entra Connect Sync.
Einige Benutzer können sich nicht bei Office 365, Azure oder Microsoft Intune
In diesem Szenario scheinen kennwörter der meisten Benutzer zu synchronisieren. Es gibt jedoch einige Benutzer, deren Kennwörter anscheinend nicht synchronisiert werden. Im Folgenden finden Sie Szenarien, in denen sich ein Benutzer nicht bei einem Microsoft-Clouddienst anmelden kann, z. B. bei Office 365, Azure oder Intune.
Szenario 1: Das Kontrollkästchen "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ist für das Konto des Benutzers aktiviert.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
- Führen Sie eine oder mehrere der folgenden Aktionen aus:
- Deaktivieren Sie in den Benutzerkontoeigenschaften in Active Directory-Benutzer und -Computer das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
- Bitten Sie den Benutzer, das Kennwort für das lokale Benutzerkonto zu ändern.
- Aktivieren Sie das Feature ForcePasswordChangeOnLogOn auf dem Microsoft Entra Connect-Server.
- Warten Sie einige Minuten, bis die Änderung zwischen dem lokales Active Directory Domain Services (AD DS) und Microsoft Entra ID synchronisiert wurde.
Szenario 2: Der Benutzer hat sein Kennwort im Clouddienstportal geändert.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
- Bitten Sie den Benutzer, das Kennwort für das lokale Benutzerkonto zu ändern.
- Warten Sie einige Minuten, bis die Änderung zwischen dem lokalen AD DS und dem Microsoft Entra ID synchronisiert wurde.
Szenario 3: Einige Benutzer scheinen nicht mit Microsoft Entra ID
Mögliche Ursachen sind doppelte Benutzernamen oder E-Mail-Adressen.
Um dieses Problem zu beheben, verwenden Sie das IdFix DirSync Error Remediation Tool (IdFix), um potenzielle objektbezogene Probleme in der lokalen AD DS zu identifizieren. Sie können IdFix auf der folgenden Microsoft-Website installieren: IdFix DirSync Error Remediation Tool
Weitere Informationen zur Problembehandlung finden Sie unter Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird.
Szenario 4: Benutzer werden zwischen gefilterten und nicht gefilterten Bereichen verschoben
In diesem Szenario wird der Benutzer in einen Bereich verschoben, in dem der Benutzer jetzt synchronisiert werden kann. Dies kann der Zeitpunkt sein, an dem die Filterung für Domänen, Organisationseinheiten oder Attribute eingerichtet ist.
Informationen zum Beheben dieses Problems finden Sie im Abschnitt Durchführen einer vollständigen Kennwortsynchronisierung .
Szenario 5: Benutzer können sich nicht mit einem neuen Kennwort anmelden, aber sie können sich mit ihrem alten Kennwort anmelden.
In diesem Szenario verwenden Sie azure AD Sync Service zusammen mit der Kennwortsynchronisierung. Nachdem Sie die Verzeichnissynchronisierung deaktiviert und dann wieder aktiviert haben, können sich Benutzer nicht mehr mit einem neuen Kennwort anmelden. Ihr altes Kennwort funktioniert jedoch weiterhin.
Um dieses Problem zu beheben, aktivieren Sie die Kennwortsynchronisierung erneut. Starten Sie dazu den Azure AD-Synchronisierungs- Anwendung-Konfigurations-Assistenten, und fahren Sie dann durch die Bildschirme, bis die Option zum Aktivieren der Kennwortsynchronisierung angezeigt wird.
Szenario 6: Benutzer können sich nicht mit ihrem Kennwort anmelden
In diesem Szenario wird der Kennworthash nicht erfolgreich mit dem Azure AD Sync-Dienst synchronisiert. Wenn das Benutzerkonto in Active Directory erstellt wurde, das auf einer früheren Version von Windows Server als Windows Server 2003 ausgeführt wird, verfügt das Konto nicht über einen Kennworthash.
Die Verzeichnissynchronisierung wird ausgeführt, aber Kennwörter aller Benutzer werden nicht synchronisiert.
In diesem Szenario scheinen Kennwörter aller Benutzer nicht zu synchronisieren. Dies tritt in der Regel auf, wenn eine der folgenden Bedingungen zutrifft:
- Das Kontrollkästchen Jetzt synchronisieren war nicht aktiviert.
- Sie haben die Kennwortsynchronisierung aktiviert, nachdem die Verzeichnissynchronisierung bereits erfolgt ist.
- Eine vollständige Verzeichnissynchronisierung wurde noch nicht abgeschlossen.
Wichtig
Die Kennwortsynchronisierung wird erst gestartet, wenn eine vollständige Verzeichnissynchronisierung abgeschlossen ist.
Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass Sie die Kennwortsynchronisierung aktivieren. Starten Sie dazu den Azure AD-Synchronisierungs- Anwendung-Konfigurations-Assistenten, und fahren Sie dann durch die Bildschirme, bis die Option zum Aktivieren der Kennwortsynchronisierung angezeigt wird.
Nachdem die Kennwortsynchronisierung aktiviert wurde, müssen Sie eine vollständige Kennwortsynchronisierung durchführen. Weitere Informationen finden Sie im Abschnitt Ausführen einer vollständigen Kennwortsynchronisierung.
Weitere Informationen finden Sie unter Problembehandlung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.
Problembehandlung für einen Benutzer, dessen Kennwort nicht synchronisiert ist
Informationen zur Problembehandlung finden Sie unter Problembehandlung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.
Sie wechseln von einer Lösung für einmaliges Anmelden (Single Sign On, SSO) zur Kennwortsynchronisierung.
Informationen zum Beheben dieses Problems finden Sie unter Wechseln von single Sign-On zur Kennwortsynchronisierung.
Ereignis-ID-Meldungen in Ereignisanzeige
In den folgenden Tabellen sind Ereignis-ID-Meldungen im Anwendungsprotokoll aufgeführt, die sich auf die Kennwortsynchronisierung beziehen.
Informativ (keine Aktion erforderlich)
| Ereignis-ID | Beschreibung | Ursache |
|---|---|---|
| 622 | Vollständige Kennworthashsynchronisierung für Domäne abgeschlossen: contoso.local | Der vollständige Kennwortsynchronisierungszyklus schließt das Abrufen der letzten Kennwörter aus der lokalen AD DS-Domäne ab. |
| 623 | Vollständige Kennworthashsynchronisierung für Gesamtstruktur abgeschlossen: contoso.local | Der vollständige Kennwortsynchronisierungszyklus schließt das Abrufen der zuletzt verwendeten Kennwörter aus der lokalen AD DS-Gesamtstruktur ab. |
| 650 | Bereitstellen des Batchstarts für Anmeldeinformationen. Anzahl: 1 | Die Kennwortsynchronisierung beginnt mit dem Abrufen aktualisierter Kennwörter aus dem lokalen AD DS. |
| 651 | Batchende der Bereitstellung von Anmeldeinformationen. Anzahl: 1 | Die Kennwortsynchronisierung schließt das Abrufen aktualisierter Kennwörter aus dem lokalen AD DS ab. |
| 653 | Bereitstellen des Anmeldeinformations-Pingstarts. | Die Kennwortsynchronisierung informiert Microsoft Entra ID, dass keine Kennwörter synchronisiert werden müssen. Sie tritt alle 30 Minuten auf, wenn in der lokalen AD DS keine Kennwörter aktualisiert wurden. |
| 654 | Pingende der Bereitstellung von Anmeldeinformationen. | Die Kennwortsynchronisierung wird abgeschlossen und Microsoft Entra ID darüber informiert, dass keine Kennwörter synchronisiert werden müssen. Sie tritt alle 30 Minuten auf, wenn im lokalen AD DS keine Kennwörter aktualisiert wurden. |
| 656 | Kennwortänderungsanforderung – Anker: H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Änderungsdatum : 01.05.2013 16:34:08 | Die Kennwortsynchronisierung gibt an, dass eine Kennwortänderung erkannt wurde, und versucht, sie mit Microsoft Entra ID zu synchronisieren. Es identifiziert die Benutzer, deren Kennwort geändert wurde und synchronisiert wird. Jeder Batch enthält mindestens einen Benutzer und höchstens 50 Benutzer. |
| 657 | Kennwortänderungsergebnis – Anker: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Ergebnis: Erfolg. | Benutzer, deren Kennwort erfolgreich synchronisiert wurde. |
| 657 | Kennwortänderungsergebnis – Anker: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Ergebnis: Fehler. | Benutzer, deren Kennwort nicht synchronisiert wurde. |
Informativ (kann Eine Aktion erfordern)
| Ereignis-ID | Beschreibung | Ursache | Weitere Informationen |
|---|---|---|---|
| 0 | Die folgenden Kennwortänderungen konnten nicht synchronisiert werden und haben einen Wiederholungsversuch geplant. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Benutzer oder Benutzer, deren Kennwort nicht synchronisiert wurde | Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird. |
| 115 | Der Zugriff auf Windows Azure Active Directory wurde verweigert. Wenden Sie sich an den technischen Support. | Microsoft Entra Anmeldeinformationen wurden über Forefront Identity Manager (FIM) aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Weitere Informationen finden Sie unter Kennworthashsynchronisierung funktioniert nicht mehr, nachdem Sie Microsoft Entra Anmeldeinformationen in FIM aktualisiert haben. |
| 657 | Kennwortänderungsergebnis – Anker: B0H+OD3LM0GEnYODwdPhpg==, Ergebnis : failed, Extended Error : | Benutzer oder Benutzer, deren Kennwort nicht synchronisiert wurde | Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird. |
Fehler (Aktion erforderlich)
| Ereignis-ID | Beschreibung | Ursache | Weitere Informationen |
|---|---|---|---|
| 0 | Der Benutzername oder das Kennwort ist falsch. Überprüfen Sie Ihren Benutzernamen, und geben Sie dann ihr Kennwort erneut ein. | Microsoft Entra Anmeldeinformationen wurden über Forefront Identity Manager (FIM) aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Weitere Informationen finden Sie unter Kennworthashsynchronisierung funktioniert nicht mehr, nachdem Sie Microsoft Entra Anmeldeinformationen in FIM aktualisiert haben. |
| 611 | Fehler bei der Kennwortsynchronisierung für die Domäne: Contoso.com.Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: Fehler bei der Wiederherstellungsaufgabe. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-Fehler 8439: Der für diesen Replikationsvorgang angegebene Distinguished Name ist ungültig. Fehler beim Aufrufen von _IDL_DRSGetNCChanges. |
Windows Server 2003-Domänencontroller behandeln bestimmte Szenarien unerwartet. | Kennworthashsynchronisierung für Microsoft Entra ID funktioniert nicht mehr, und Ereignis-ID 611 wird protokolliert |
| 611 | Fehler bei der Kennwortsynchronisierung für die Domäne: Contoso.com.Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-Fehler 8593: Der Verzeichnisdienst kann den angeforderten Vorgang nicht ausführen, da die beteiligten Server unterschiedlicher Replikationsepochen sind (was sich normalerweise auf eine gerade ausgeführte Domänenumbenennung bezieht). |
Es war ein bekanntes Problem, das im Build 1.0.6455.0807 des Azure Active Directory-Synchronisierungstools behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 611 | Fehler bei der Kennwortsynchronisierung für die Domäne: Contoso.comSystem.ArgumentOutOfRangeException: Kein gültiges Win32 |
Es war ein bekanntes Problem, das im Build 1.0.6455.0807 des Azure Active Directory-Synchronisierungstools behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 611 | Fehler bei der Kennwortsynchronisierung für die Domäne: Contoso.com.System.ArgumentException: Ein Element mit demselben Schlüssel wurde bereits hinzugefügt. |
Es war ein bekanntes Problem, das im Build 1.0.6455.0807 des Azure Active Directory-Synchronisierungstools behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 652 | Fehler bei der Bereitstellung des Batches für Anmeldeinformationen. Fehler: Microsoft.Online.Coexistence.ProvisionException: Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. Nachverfolgungs-ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Servername: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. (Fehlerdetail entspricht Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Fehler bei der Kennwortsynchronisierung beim Abrufen aktualisierter Kennwörter aus dem lokalen AD DS. | Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird. |
| 652 | Fehler bei der Bereitstellung des Batches für Anmeldeinformationen. Fehler: Microsoft.Online.Coexistence. ProvisionRetryException: Fehler. Fehlercode: 81. Fehlerbeschreibung: Windows Azure Active Directory ist derzeit ausgelastet. Dieser Vorgang wird automatisch wiederholt. | Es war ein bekanntes Problem, das im Build 1.0.6455.0807 des Azure Active Directory-Synchronisierungstools behoben wurde. | Um dieses Problem zu beheben, aktualisieren Sie auf die neueste Version des Azure Active Directory-Synchronisierungstools. |
| 655 | Fehler beim Bereitstellen des Pings für Anmeldeinformationen. Fehler: Microsoft.Online.Coexistence.ProvisionException: Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. Nachverfolgungs-ID: 0744fa31-1d9b-453a-83d8-c2555d843802 Servername: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. (Fehlerdetail entspricht Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Die Kennwortsynchronisierung konnte Microsoft Entra ID nicht darüber informieren, dass keine Kennwörter synchronisiert werden müssen. Sie tritt alle 30 Minuten auf. | Konfigurieren der Verzeichnissynchronisierung Mindestens ein Objekt wird bei Verwendung des Azure Active Directory-Synchronisierungstools nicht synchronisiert |
| 655 | Der Benutzername oder das Kennwort ist falsch. Überprüfen Sie Ihren Benutzernamen, und geben Sie dann ihr Kennwort erneut ein. | Microsoft Entra Anmeldeinformationen wurden über FIM aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel: Kennworthashsynchronisierung funktioniert nach dem Aktualisieren Microsoft Entra Anmeldeinformationen in FIM nicht mehr. |
| 6900 | Beim Server ist beim Verarbeiten einer Kennwortänderungsbenachrichtigung ein unerwarteter Fehler aufgetreten: "Der Benutzername oder das Kennwort ist falsch. Überprüfen Sie Ihren Benutzernamen, und geben Sie dann ihr Kennwort erneut ein. |
Microsoft Entra Anmeldeinformationen wurden über FIM aktualisiert. | Führen Sie den Microsoft Entra-Konfigurations-Assistenten erneut aus. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel: Kennworthashsynchronisierung funktioniert nach dem Aktualisieren Microsoft Entra Anmeldeinformationen in FIM nicht mehr. |
| 6900 | Beim Server ist beim Verarbeiten einer Kennwortänderungsbenachrichtigung ein unerwarteter Fehler aufgetreten: "Fehler. Fehlercode: 90. Fehlerbeschreibung: Die Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert. |
Die Kennwortsynchronisierung ist für die organization nicht aktiviert. | Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel: Benutzerkennwörter werden nicht synchronisiert, und der Fehler "Kennwortsynchronisierung wurde für dieses Unternehmen nicht aktiviert" wird in Ereignisanzeige |
Weitere Informationen
Durchführen einer vollständigen Kennwortsynchronisierung
Führen Sie die folgenden Schritte aus, um eine vollständige Kennwortsynchronisierung auszuführen, je nachdem, welche Azure-AD Sync Anwendung Sie verwenden.
Wenn Sie das Azure Active Directory-Synchronisierungstool verwenden:
Öffnen Sie auf dem Server, auf dem das Tool installiert ist, PowerShell, und führen Sie dann den folgenden Befehl aus:
Import-Module DirSyncFühren Sie die folgenden Befehle aus:
Set-FullPasswordSyncRestart-Service FIMSynchronizationService -Force
Wenn Sie azure AD Sync Service oder Microsoft Entra Connect verwenden, führen Sie das Skript auf dieser Seite aus: Azure AD Sync: Verwenden von PowerShell zum Auslösen einer vollständigen Kennwortsynchronisierung
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für