Så här felsöker du lösenordssynkronisering när du använder en Azure AD synkroniseringsinstallation
Den här artikeln hjälper dig att felsöka vanliga problem som kan uppstå när du synkroniserar lösenord från den lokala miljön för att Microsoft Entra ID med hjälp av Microsoft Entra Connect.
Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2855271
Obs!
Var den här artikeln användbar? Dina indata är viktiga för oss. Använd knappen Feedback på den här sidan för att berätta hur bra den här artikeln fungerade för dig eller hur vi kan förbättra den.
Innan du börjar felsöka
Innan du utför felsökningsstegen kontrollerar du att du har den senaste versionen av Microsoft Entra Connect installerad.
Kontrollera dessutom att katalogsynkroniseringen är i ett felfritt tillstånd. Mer information finns i Felsöka objektsynkronisering med Microsoft Entra Connect Sync.
Vissa användare kan inte logga in på Office 365, Azure eller Microsoft Intune
I det här scenariot verkar lösenord för de flesta användare synkroniseras. Det finns dock vissa användare vars lösenord inte verkar synkroniseras. Följande är scenarier där en användare inte kan logga in på en Microsoft-molntjänst, till exempel Office 365, Azure eller Intune.
Scenario 1: Kryssrutan "Användaren måste ändra lösenordet vid nästa inloggning" är markerad för användarens konto
Lös problemet genom att följa dessa steg:
- Utför någon av följande åtgärder:
- Avmarkera kryssrutan Användaren måste ändra lösenord vid nästa inloggning i egenskaperna för användarkontot i Active Directory - användare och datorer.
- Be användaren att ändra lösenordet för det lokala användarkontot.
- Aktivera funktionen ForcePasswordChangeOnLogOn på Microsoft Entra Connect-servern.
- Vänta några minuter tills ändringen synkroniseras mellan lokal Active Directory Domain Services (AD DS) och Microsoft Entra ID.
Scenario 2: Användaren ändrade sitt lösenord i molntjänstportalen
Lös problemet genom att följa dessa steg:
- Be användaren att ändra lösenordet för det lokala användarkontot.
- Vänta några minuter tills ändringen synkroniseras mellan den lokala AD DS och Microsoft Entra ID.
Scenario 3: Vissa användare verkar inte synkronisera till Microsoft Entra ID
Möjliga orsaker är dubbla användarnamn eller e-postadresser.
Lös problemet genom att använda IdFix DirSync Error Remediation Tool (IdFix) för att identifiera potentiella objektrelaterade problem i den lokala AD DS. Du kan installera IdFix på följande Microsoft-webbplats: IdFix DirSync Error Remediation Tool
Mer information om hur du felsöker det här problemet finns i Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget
Scenario 4: Användare flyttas mellan filtrerade och ofiltrerade omfång
I det här scenariot flyttas användaren till ett omfång som nu tillåter att användaren synkroniseras. Det kan vara när filtrering har konfigurerats för domäner, organisationsenheter eller attribut.
Information om hur du löser det här problemet finns i avsnittet Så här utför du en fullständig lösenordssynkronisering .
Scenario 5: Användare kan inte logga in med ett nytt lösenord, men de kan logga in med sitt gamla lösenord
I det här scenariot använder du Azure AD Sync-tjänsten tillsammans med lösenordssynkronisering. När du har inaktiverat och sedan återaktivera katalogsynkronisering kan användarna inte logga in med ett nytt lösenord. Men deras gamla lösenord fungerar fortfarande.
Lös problemet genom att återaktivera lösenordssynkronisering. Om du vill göra det startar du konfigurationsguiden för Azure AD synkroniseringsinstallation och fortsätter sedan genom skärmarna tills du ser alternativet för att aktivera lösenordssynkronisering.
Scenario 6: Användare kan inte logga in med sitt lösenord
I det här scenariot synkroniseras inte lösenordshash till Azure AD Sync-tjänsten. Om användarkontot skapades i Active Directory som körs på en tidigare version av Windows Server än Windows Server 2003 har kontot inte någon lösenordshash.
Katalogsynkronisering körs men lösenord för alla användare synkroniseras inte
I det här scenariot verkar lösenord för alla användare inte synkroniseras. Det inträffar vanligtvis om något av följande villkor är sant:
- Kryssrutan Synkronisera nu har inte markerats.
- Du har aktiverat lösenordssynkronisering när katalogsynkroniseringen redan har utförts.
- En fullständig katalogsynkronisering har ännu inte slutförts.
Viktigt
Lösenordssynkronisering startar inte förrän en fullständig katalogsynkronisering har slutförts.
Lös problemet genom att först se till att du aktiverar lösenordssynkronisering. Om du vill göra det startar du konfigurationsguiden för Azure AD synkroniseringsinstallation och fortsätter sedan genom skärmarna tills du ser alternativet för att aktivera lösenordssynkronisering.
När lösenordssynkronisering har aktiverats måste du göra en fullständig lösenordssynkronisering. Se Avsnittet Så här utför du en fullständig lösenordssynkronisering.
Mer information finns i Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync.
Felsöka en användare vars lösenord inte är synkroniserat
Information om hur du felsöker det här problemet finns i Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync
Du ändrar från en lösning för enkel inloggning (SSO) till lösenordssynkronisering
Information om hur du löser det här problemet finns i Så här växlar du från enkel Sign-On till lösenordssynkronisering.
Händelse-ID-meddelanden i Loggboken
I följande tabeller visas händelse-ID-meddelanden i programloggen som är relaterade till lösenordssynkronisering.
Information (ingen åtgärd krävs)
| Händelse-ID | Beskrivning | Orsak |
|---|---|---|
| 622 | Fullständig synkronisering av lösenordshash har slutförts för domänen: contoso.local | Fullständig lösenordssynkroniseringscykel slutför hämtningen av de senaste lösenorden från den lokala AD DS-domänen. |
| 623 | Fullständig synkronisering av lösenordshash har slutförts för skogen: contoso.local | Fullständig lösenordssynkroniseringscykel slutför hämtningen av de senaste lösenorden från den lokala AD DS-skogen. |
| 650 | Etablera batchstart för autentiseringsuppgifter. Antal: 1 | Lösenordssynkronisering börjar hämta uppdaterade lösenord från den lokala AD DS. |
| 651 | Etablera batchslut för autentiseringsuppgifter. Antal: 1 | Lösenordssynkroniseringen slutför hämtningen av uppdaterade lösenord från den lokala AD DS. |
| 653 | Pingstart för etablering av autentiseringsuppgifter. | Lösenordssynkronisering börjar informera Microsoft Entra ID om att det inte finns några lösenord som ska synkroniseras. Det inträffar var 30:e minut om inga lösenord har uppdaterats i den lokala AD DS. |
| 654 | Ping-slut för etablera autentiseringsuppgifter. | Lösenordssynkroniseringen har slutförts och informerar Microsoft Entra ID om att det inte finns några lösenord som ska synkroniseras. Det inträffar var 30:e minut om inga lösenord uppdaterades i den lokala AD DS. |
| 656 | Begäran om lösenordsändring – fästpunkt: H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08 | Lösenordssynkronisering anger att en lösenordsändring har identifierats och försöker synkronisera den till Microsoft Entra ID. Den identifierar den eller de användare vars lösenord har ändrats och kommer att synkroniseras. Varje batch innehåller minst en användare och högst 50 användare. |
| 657 | Resultat av lösenordsändring – fästpunkt: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | Användare vars lösenord har synkroniserats. |
| 657 | Resultat av lösenordsändring – fästpunkt: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed. | Användare vars lösenord inte synkroniserade. |
Information (kan kräva åtgärd)
| Händelse-ID | Beskrivning | Orsak | Mer information |
|---|---|---|---|
| 0 | Följande lösenordsändringar kunde inte synkroniseras och har schemalagts för omförsök. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Användare eller användare vars lösenord inte har synkroniserats | Konfigurera katalogsynkronisering Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget |
| 115 | Åtkomst till Windows Azure Active Directory har nekats. Kontakta teknisk support. | Microsoft Entra autentiseringsuppgifter uppdaterades via Forefront Identity Manager (FIM). | Kör konfigurationsguiden för Microsoft Entra igen. Se Synkronisering av lösenordshash slutar fungera när du har uppdaterat Microsoft Entra autentiseringsuppgifter i FIM |
| 657 | Resultat av lösenordsändring – fästpunkt: B0H+OD3LM0GEnYODwdPhpg==, Resultat: misslyckades, Utökat fel: | Användare eller användare vars lösenord inte har synkroniserats | Konfigurera katalogsynkronisering Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget |
Fel (åtgärd krävs)
| Händelse-ID | Beskrivning | Orsak | Mer information |
|---|---|---|---|
| 0 | Användarnamnet eller lösenordet är felaktigt. Verifiera ditt användarnamn och skriv sedan lösenordet igen. | Microsoft Entra autentiseringsuppgifter uppdaterades via Forefront Identity Manager (FIM). | Kör konfigurationsguiden för Microsoft Entra igen. Se Synkronisering av lösenordshash slutar fungera när du har uppdaterat Microsoft Entra autentiseringsuppgifter i FIM |
| 611 | Lösenordssynkronisering misslyckades för domänen: Contoso.com.Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: Återställningsaktiviteten misslyckades. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-fel 8439: Det unika namn som angetts för replikeringsåtgärden är ogiltigt. Ett fel uppstod när _IDL_DRSGetNCChanges skulle anropas. |
Windows Server 2003-domänkontrollanter hanterar vissa scenarier oväntat. | Synkronisering av lösenordshash för Microsoft Entra ID slutar fungera och händelse-ID 611 loggas |
| 611 | Lösenordssynkronisering misslyckades för domänen: Contoso.com.Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC-fel 8593: Katalogtjänsten kan inte utföra den begärda åtgärden eftersom de berörda servrarna har olika replikeringsepoker (vilket vanligtvis är relaterat till ett domännamn som pågår). |
Det var ett känt problem som åtgärdades i Azure Active Directory Sync-verktyget build 1.0.6455.0807. | Lös problemet genom att uppdatera till den senaste versionen av Azure Active Directory Sync-verktyget. |
| 611 | Lösenordssynkroniseringen misslyckades för domänen: Contoso.comSystem.ArgumentOutOfRangeException: Inte en giltig Win32 |
Det var ett känt problem som åtgärdades i Azure Active Directory Sync-verktyget build 1.0.6455.0807. | Lös problemet genom att uppdatera till den senaste versionen av Azure Active Directory Sync-verktyget. |
| 611 | Lösenordssynkronisering misslyckades för domänen: Contoso.com.System.ArgumentException: Ett objekt med samma nyckel har redan lagts till. |
Det var ett känt problem som åtgärdades i Azure Active Directory Sync-verktyget build 1.0.6455.0807. | Lös problemet genom att uppdatera till den senaste versionen av Azure Active Directory Sync-verktyget. |
| 652 | Det gick inte att etablera batchen för autentiseringsuppgifter. Fel: Microsoft.Online.Coexistence.ProvisionException: Ett fel uppstod. Felkod: 90. Felbeskrivning: Lösenordssynkronisering har inte aktiverats för det här företaget. Spårnings-ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Servernamn: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Lösenordssynkronisering har inte aktiverats för det här företaget. (Felinformation är lika med Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Lösenordssynkroniseringen misslyckades när uppdaterade lösenord hämtades från den lokala AD DS. | Konfigurera katalogsynkronisering Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget |
| 652 | Det gick inte att etablera batchen för autentiseringsuppgifter. Fel: Microsoft.Online.Coexistence. ProvisionRetryException: Ett fel uppstod. Felkod: 81. Felbeskrivning: Windows Azure Active Directory är upptagen för närvarande. Den här åtgärden kommer att göras om automatiskt. | Det var ett känt problem som åtgärdades i Azure Active Directory Sync tool build 1.0.6455.0807 | Lös problemet genom att uppdatera till den senaste versionen av Azure Active Directory Sync-verktyget. |
| 655 | Ping för etablering av autentiseringsuppgifter misslyckades. Fel: Microsoft.Online.Coexistence.ProvisionException: Ett fel uppstod. Felkod: 90. Felbeskrivning: Lösenordssynkronisering har inte aktiverats för det här företaget. Spårnings-ID: 0744fa31-1d9b-453a-83d8-c2555d843802 Servernamn: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: Lösenordssynkronisering har inte aktiverats för det här företaget. (Felinformation är lika med Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Lösenordssynkronisering kunde inte informera Microsoft Entra ID om att det inte finns några lösenord att synkronisera. Den inträffar var 30:e minut. | Konfigurera katalogsynkronisering Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget |
| 655 | Användarnamnet eller lösenordet är felaktigt. Verifiera ditt användarnamn och skriv sedan lösenordet igen. | Microsoft Entra autentiseringsuppgifter uppdaterades via FIM. | Kör konfigurationsguiden för Microsoft Entra igen. Se följande Microsoft Knowledge Base-artikel: Synkronisering av lösenordshash slutar fungera när Microsoft Entra autentiseringsuppgifter i FIM har uppdaterats |
| 6900 | Servern påträffade ett oväntat fel när ett meddelande om lösenordsändring bearbetas: "Användarnamnet eller lösenordet är felaktigt. Verifiera ditt användarnamn och skriv sedan lösenordet igen. |
Microsoft Entra autentiseringsuppgifter uppdaterades via FIM. | Kör konfigurationsguiden för Microsoft Entra igen. Se följande Microsoft Knowledge Base-artikel: Synkronisering av lösenordshash slutar fungera när Microsoft Entra autentiseringsuppgifter i FIM har uppdaterats |
| 6900 | Servern påträffade ett oväntat fel när ett meddelande om lösenordsändring bearbetas: "Ett fel uppstod. Felkod: 90. Felbeskrivning: Lösenordssynkronisering har inte aktiverats för det här företaget |
Lösenordssynkronisering är inte aktiverat för organisationen. | Se följande Microsoft Knowledge Base-artikel: Användarlösenord synkroniseras inte och felet "Lösenordssynkronisering har inte aktiverats för det här företaget" loggas in Loggboken |
Mer information
Så här utför du en fullständig lösenordssynkronisering
Om du vill göra en fullständig lösenordssynkronisering följer du de här stegen efter behov för den Azure AD Sync installation som du använder.
Om du använder Azure Active Directory Sync-verktyget:
Öppna PowerShell på den server där verktyget är installerat och kör sedan följande kommando:
Import-Module DirSyncKör följande kommandon:
Set-FullPasswordSyncRestart-Service FIMSynchronizationService -Force
Om du använder Azure AD Sync Service eller Microsoft Entra Connect kör du skriptet som finns på den här sidan: Azure AD Sync: Så här använder du PowerShell för att utlösa en fullständig lösenordssynkronisering
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för