Jak rozwiązywać problemy z synchronizacją haseł podczas korzystania z urządzenia synchronizacji Azure AD
Ten artykuł ułatwia rozwiązywanie typowych problemów, które mogą wystąpić podczas synchronizowania haseł ze środowiska lokalnego z Tożsamość Microsoft Entra przy użyciu programu Microsoft Entra Connect.
Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2855271
Uwaga
Czy ten artykuł był pomocny? Twoje dane wejściowe są dla nas ważne. Użyj przycisku Opinie na tej stronie, aby poinformować nas, jak dobrze działa ten artykuł dla Ciebie lub jak możemy go ulepszyć.
Przed rozpoczęciem rozwiązywania problemów
Przed wykonaniem kroków rozwiązywania problemów upewnij się, że masz zainstalowaną najnowszą wersję programu Microsoft Entra Connect.
Ponadto upewnij się, że synchronizacja katalogów jest w dobrej kondycji. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z synchronizacją obiektów za pomocą programu Microsoft Entra Connect Sync.
Niektórzy użytkownicy nie mogą zalogować się do Office 365, platformy Azure ani Microsoft Intune
W tym scenariuszu hasła większości użytkowników wydają się być synchronizowane. Jednak niektórzy użytkownicy, których hasła wydają się nie być synchronizowane. Poniżej przedstawiono scenariusze, w których użytkownik nie może zalogować się do usługi w chmurze firmy Microsoft, takiej jak Office 365, azure lub Intune.
Scenariusz 1. Pole wyboru "Użytkownik musi zmienić hasło przy następnym logowaniu" jest zaznaczone dla konta użytkownika
Aby rozwiązać ten problem, wykonaj następujące kroki:
- Wykonaj jedną z następujących akcji:
- We właściwościach konta użytkownika w Użytkownicy i komputery usługi Active Directory wyczyść pole wyboru Użytkownik musi zmienić hasło przy następnym logowaniu.
- Niech użytkownik zmieni hasło konta użytkownika lokalnego.
- Włącz funkcję ForcePasswordChangeOnLogOn na serwerze Microsoft Entra Connect.
- Poczekaj kilka minut, aż zmiana zostanie zsynchronizowana między lokalna usługa Active Directory Domain Services (AD DS) i Tożsamość Microsoft Entra.
Scenariusz 2. Użytkownik zmienił hasło w portalu usługi w chmurze
Aby rozwiązać ten problem, wykonaj następujące kroki:
- Niech użytkownik zmieni hasło konta użytkownika lokalnego.
- Poczekaj kilka minut, aż zmiana zostanie zsynchronizowana między lokalnymi usługami AD DS i Tożsamość Microsoft Entra.
Scenariusz 3. Niektórzy użytkownicy nie są zsynchronizowani z Tożsamość Microsoft Entra
Możliwe przyczyny to zduplikowane nazwy użytkowników lub adresy e-mail.
Aby rozwiązać ten problem, użyj narzędzia do korygowania błędów IdFix DirSync (IdFix), aby ułatwić identyfikację potencjalnych problemów związanych z obiektem w lokalnych usługach AD DS. IdFix można zainstalować w następującej witrynie internetowej firmy Microsoft: Narzędzie korygowania błędów IdFix DirSync
Aby uzyskać więcej informacji na temat rozwiązywania tego problemu, zobacz Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory
Scenariusz 4. Użytkownicy są przenoszeni między filtrowanymi i niefiltrowanymi zakresami
W tym scenariuszu użytkownik jest przenoszony do zakresu, który teraz umożliwia synchronizację użytkownika. Może to być sytuacja, gdy filtrowanie jest skonfigurowane dla domen, jednostek organizacyjnych lub atrybutów.
Aby rozwiązać ten problem, zobacz sekcję Jak wykonać pełną synchronizację haseł .
Scenariusz 5. Użytkownicy nie mogą zalogować się przy użyciu nowego hasła, ale mogą się zalogować przy użyciu starego hasła
W tym scenariuszu używasz usługi Azure AD Sync wraz z synchronizacją haseł. Po wyłączeniu i ponownym włączeniu synchronizacji katalogów użytkownicy nie będą mogli zalogować się przy użyciu nowego hasła. Jednak ich stare hasło nadal działa.
Aby rozwiązać ten problem, ponownie włącz synchronizację haseł. Aby to zrobić, uruchom Kreatora konfiguracji urządzenia synchronizacji Azure AD, a następnie przejdź przez ekrany do momentu wyświetlenia opcji włączenia synchronizacji haseł.
Scenariusz 6. Użytkownicy nie mogą zalogować się przy użyciu hasła
W tym scenariuszu skrót hasła nie jest pomyślnie synchronizowany z usługą Azure AD Sync Service. Jeśli konto użytkownika zostało utworzone w usłudze Active Directory w wersji systemu Windows Server wcześniejszej niż Windows Server 2003, konto nie ma skrótu hasła.
Synchronizacja katalogów jest uruchomiona, ale hasła wszystkich użytkowników nie są synchronizowane
W tym scenariuszu hasła wszystkich użytkowników wydają się nie być synchronizowane. Zwykle występuje, jeśli spełniony jest jeden z następujących warunków:
- Nie zaznaczono pola wyboru Synchronizuj teraz .
- Synchronizacja haseł została włączona po zakończeniu synchronizacji katalogu.
- Pełna synchronizacja katalogów nie została jeszcze ukończona.
Ważna
Synchronizacja haseł rozpocznie się dopiero po zakończeniu pełnej synchronizacji katalogu.
Aby rozwiązać ten problem, najpierw upewnij się, że włączono synchronizację haseł. Aby to zrobić, uruchom Kreatora konfiguracji urządzenia synchronizacji Azure AD, a następnie przejdź przez ekrany do momentu wyświetlenia opcji włączenia synchronizacji haseł.
Po włączeniu synchronizacji haseł należy wykonać pełną synchronizację haseł. Zobacz Sekcję Jak wykonać pełną synchronizację haseł.
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą programu Microsoft Entra Connect Sync.
Rozwiązywanie problemów z jednym użytkownikiem, którego hasło nie jest synchronizowane
Aby rozwiązać ten problem, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą programu Microsoft Entra Connect Sync
Zmieniasz rozwiązanie logowania jednokrotnego na synchronizację haseł
Aby rozwiązać ten problem, zobacz How to switch from Single Sign-On to Password Sync (Jak przełączyć się z jednej Sign-On na synchronizację haseł).
Komunikaty o identyfikatorze zdarzenia w Podgląd zdarzeń
W poniższych tabelach wymieniono komunikaty o identyfikatorze zdarzenia w dzienniku aplikacji, które są związane z synchronizacją haseł.
Informacje (nie jest wymagana żadna akcja)
Identyfikator zdarzenia | Opis | Przyczyna |
---|---|---|
622 | Ukończono pełną synchronizację skrótów haseł dla domeny: contoso.local | Pełny cykl synchronizacji haseł kończy pobieranie ostatnich haseł z lokalnej domeny usług AD DS. |
623 | Ukończono pełną synchronizację skrótów haseł dla lasu: contoso.local | Pełny cykl synchronizacji haseł kończy pobieranie ostatnich haseł z lokalnego lasu usług AD DS. |
650 | Rozpocznij wsadowe aprowizowanie poświadczeń. Liczba: 1 | Synchronizacja haseł rozpoczyna pobieranie zaktualizowanych haseł z lokalnych usług AD DS. |
651 | Aprowizowanie poświadczeń kończy się wsadem. Liczba: 1 | Synchronizacja haseł kończy pobieranie zaktualizowanych haseł z lokalnych usług AD DS. |
653 | Inicjowanie obsługi administracyjnej poświadczeń przy uruchamianiu polecenia ping. | Synchronizacja haseł rozpoczyna informowanie Tożsamość Microsoft Entra, że nie ma haseł do zsynchronizowania. Występuje co 30 minut, jeśli żadne hasła nie zostały zaktualizowane w lokalnych usługach AD DS. |
654 | Aprowizowanie poświadczeń ping end. | Synchronizacja haseł kończy się, informując Tożsamość Microsoft Entra, że nie ma haseł do zsynchronizowania. Występuje co 30 minut, jeśli żadne hasła nie zostały zaktualizowane w lokalnych usługach AD DS. |
656 | Żądanie zmiany hasła — kotwica: H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Data zmiany: 05/01/2013 16:34:08 | Synchronizacja haseł wskazuje, że wykryto zmianę hasła i próbuje ją zsynchronizować z Tożsamość Microsoft Entra. Identyfikuje użytkownika lub użytkowników, których hasło zostało zmienione i zostanie zsynchronizowane. Każda partia zawiera co najmniej jednego użytkownika i co najwyżej 50 użytkowników. |
657 | Wynik zmiany hasła — kotwica: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | Użytkownicy, których hasło zostało pomyślnie zsynchronizowane. |
657 | Wynik zmiany hasła — kotwica: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Wynik: Niepowodzenie. | Użytkownicy, których hasło nie zostało zsynchronizowane. |
Informacje (mogą wymagać akcji)
Identyfikator zdarzenia | Opis | Przyczyna | Więcej informacji |
---|---|---|---|
0 | Następujące zmiany haseł nie zostały zsynchronizowane i zaplanowano ponowienie próby. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Użytkownik lub użytkownicy, których hasło nie zostało zsynchronizowane | Konfigurowanie synchronizacji katalogów Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory |
115 | Odmowa dostępu do usługi Windows Azure Active Directory. Skontaktuj się z pomocą techniczną. | Microsoft Entra poświadczenia zostały zaktualizowane za pośrednictwem programu Forefront Identity Manager (FIM). | Ponownie uruchom Kreatora konfiguracji Microsoft Entra. Zobacz Synchronizacja skrótów haseł przestaje działać po zaktualizowaniu poświadczeń Microsoft Entra w programie FIM |
657 | Wynik zmiany hasła — kotwica: B0H+OD3LM0GEnYODwdPhpg==, Wynik: niepowodzenie, Błąd rozszerzony : | Użytkownik lub użytkownicy, których hasło nie zostało zsynchronizowane | Konfigurowanie synchronizacji katalogów Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory |
Błąd (wymagana akcja)
Identyfikator zdarzenia | Opis | Przyczyna | Więcej informacji |
---|---|---|---|
0 | Nazwa użytkownika lub hasło są nieprawidłowe. Zweryfikuj nazwę użytkownika, a następnie ponownie wpisz hasło. | Microsoft Entra poświadczenia zostały zaktualizowane za pośrednictwem programu Forefront Identity Manager (FIM). | Ponownie uruchom Kreatora konfiguracji Microsoft Entra. Zobacz Synchronizacja skrótów haseł przestaje działać po zaktualizowaniu poświadczeń Microsoft Entra w programie FIM |
611 | Synchronizacja haseł nie powiodła się dla domeny: Contoso.com .Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: Zadanie odzyskiwania nie powiodło się. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: Błąd RPC 8439: Nazwa wyróżniająca określona dla tej operacji replikacji jest nieprawidłowa. Wystąpił błąd podczas wywoływania _IDL_DRSGetNCChanges. |
Kontrolery domeny systemu Windows Server 2003 obsługują nieoczekiwanie niektóre scenariusze. | Synchronizacja skrótów haseł dla Tożsamość Microsoft Entra przestaje działać i jest rejestrowany identyfikator zdarzenia 611 |
611 | Synchronizacja haseł nie powiodła się dla domeny: Contoso.com .Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: Błąd RPC 8593: Usługa katalogowa nie może wykonać żądanej operacji, ponieważ zaangażowane serwery mają różne epoki replikacji (co zwykle jest związane z trwającą zmianą nazwy domeny). |
Był to znany problem, który został rozwiązany w kompilacji narzędzia usługi Azure Active Directory Sync w wersji 1.0.6455.0807. | Aby rozwiązać ten problem, zaktualizuj do najnowszej wersji narzędzia do synchronizacji usługi Azure Active Directory. |
611 | Synchronizacja haseł nie powiodła się dla domeny: Contoso.com System.ArgumentOutOfRangeException: Nieprawidłowe win32 |
Był to znany problem, który został rozwiązany w kompilacji narzędzia usługi Azure Active Directory Sync w wersji 1.0.6455.0807. | Aby rozwiązać ten problem, zaktualizuj do najnowszej wersji narzędzia do synchronizacji usługi Azure Active Directory. |
611 | Synchronizacja haseł nie powiodła się dla domeny: Contoso.com .System.ArgumentException: element o tym samym kluczu został już dodany. |
Był to znany problem, który został rozwiązany w kompilacji narzędzia usługi Azure Active Directory Sync w wersji 1.0.6455.0807. | Aby rozwiązać ten problem, zaktualizuj do najnowszej wersji narzędzia do synchronizacji usługi Azure Active Directory. |
652 | Niepowodzenie aprowizacji poświadczeń wsadowych. Błąd: Microsoft.Online.Coexistence.ProvisionException: Wystąpił błąd. Kod błędu: 90. Opis błędu: Synchronizacja haseł nie została aktywowana dla tej firmy. Identyfikator śledzenia: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Nazwa serwera: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Synchronizacja haseł nie została aktywowana dla tej firmy. (Szczegóły błędu są równe usłudze Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Synchronizacja haseł nie powiodła się podczas pobierania zaktualizowanych haseł z lokalnych usług AD DS. | Konfigurowanie synchronizacji katalogów Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory |
652 | Niepowodzenie aprowizacji poświadczeń wsadowych. Błąd: Microsoft.Online.Coexistence. ProvisionRetryException: wystąpił błąd. Kod błędu: 81. Opis błędu: Usługa Windows Azure Active Directory jest obecnie zajęta. Ta operacja zostanie ponowiona automatycznie. | Był to znany problem, który został rozwiązany w kompilacji narzędzia synchronizacji usługi Azure Active Directory w wersji 1.0.6455.0807 | Aby rozwiązać ten problem, zaktualizuj do najnowszej wersji narzędzia do synchronizacji usługi Azure Active Directory. |
655 | Polecenie ping aprowizacji poświadczeń nie powiodło się. Błąd: Microsoft.Online.Coexistence.ProvisionException: Wystąpił błąd. Kod błędu: 90. Opis błędu: Synchronizacja haseł nie została aktywowana dla tej firmy. Identyfikator śledzenia: 0744fa31-1d9b-453a-83d8-c2555d843802 Nazwa serwera: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Synchronizacja haseł nie została aktywowana dla tej firmy. (Szczegóły błędu są równe usłudze Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Synchronizacja haseł nie mogła poinformować Tożsamość Microsoft Entra, że nie ma haseł do zsynchronizowania. Występuje co 30 minut. | Konfigurowanie synchronizacji katalogów Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory |
655 | Nazwa użytkownika lub hasło są nieprawidłowe. Zweryfikuj nazwę użytkownika, a następnie ponownie wpisz hasło. | Microsoft Entra poświadczenia zostały zaktualizowane za pośrednictwem programu FIM. | Ponownie uruchom Kreatora konfiguracji Microsoft Entra. Zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base: Synchronizacja skrótów haseł przestaje działać po zaktualizowaniu poświadczeń Microsoft Entra w programie FIM |
6900 | Serwer napotkał nieoczekiwany błąd podczas przetwarzania powiadomienia o zmianie hasła: "Nazwa użytkownika lub hasło są niepoprawne. Zweryfikuj nazwę użytkownika, a następnie ponownie wpisz hasło. |
Microsoft Entra poświadczenia zostały zaktualizowane za pośrednictwem programu FIM. | Ponownie uruchom Kreatora konfiguracji Microsoft Entra. Zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base: Synchronizacja skrótów haseł przestaje działać po zaktualizowaniu poświadczeń Microsoft Entra w programie FIM |
6900 | Serwer napotkał nieoczekiwany błąd podczas przetwarzania powiadomienia o zmianie hasła: "Wystąpił błąd. Kod błędu: 90. Opis błędu: Synchronizacja haseł nie została aktywowana dla tej firmy |
Synchronizacja haseł nie jest włączona dla organizacji. | Zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base: Hasła użytkowników nie są synchronizowane, a błąd "Synchronizacja haseł nie została aktywowana dla tej firmy" jest rejestrowany w Podgląd zdarzeń |
Więcej informacji
Jak przeprowadzić pełną synchronizację haseł
Aby przeprowadzić pełną synchronizację haseł, wykonaj następujące kroki, odpowiednio do używanego urządzenia Azure AD Sync.
Jeśli używasz narzędzia do synchronizacji usługi Azure Active Directory:
Na serwerze, na którym jest zainstalowane narzędzie, otwórz program PowerShell, a następnie uruchom następujące polecenie:
Import-Module DirSync
Uruchom następujące polecenia:
Set-FullPasswordSync
Restart-Service FIMSynchronizationService -Force
Jeśli używasz usługi Azure AD Sync lub Microsoft Entra Connect, uruchom skrypt znajdujący się na tej stronie: Azure AD Sync: Jak użyć programu PowerShell do wyzwolenia pełnej synchronizacji haseł
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla