Come risolvere i problemi di sincronizzazione delle password quando si usa un'appliance di sincronizzazione di Azure AD
Questo articolo consente di risolvere i problemi comuni che possono verificarsi quando si sincronizzano le password dall'ambiente locale a Microsoft Entra ID usando Microsoft Entra Connect.
Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2855271
Nota
Questo articolo è stato utile? Diamo importanza al contributo degli utenti. Usare il pulsante Feedback in questa pagina per comunicare se questo articolo è stato utile o come possiamo migliorarlo.
Prima di iniziare la risoluzione dei problemi
Prima di eseguire la procedura di risoluzione dei problemi, assicurarsi di avere installato la versione più recente di Microsoft Entra Connect.
Assicurarsi inoltre che la sincronizzazione della directory sia integro. Per altre informazioni, vedere Risolvere i problemi di sincronizzazione degli oggetti con Microsoft Entra Connect Sync.
Alcuni utenti non possono accedere a Office 365, Azure o Microsoft Intune
In questo scenario, le password della maggior parte degli utenti sembrano essere sincronizzate. Tuttavia, alcuni utenti le cui password sembrano non essere sincronizzate. Di seguito sono riportati gli scenari in cui un utente non può accedere a un servizio cloud Microsoft, ad esempio Office 365, Azure o Intune.
Scenario 1: la casella di controllo "L'utente deve modificare la password all'accesso successivo" è selezionata per l'account dell'utente
Per risolvere il problema, seguire la procedura seguente:
- Eseguire una delle operazioni seguenti:
- Nelle proprietà dell'account utente in Utenti e computer di Active Directory deselezionare la casella di controllo User must change password at next logon (Modifica password all'accesso successivo).
- Fare in modo che l'utente modifii la password dell'account utente locale.
- Abilitare la funzionalità ForcePasswordChangeOnLogOn nel server Microsoft Entra Connect.
- Attendere alcuni minuti per la sincronizzazione della modifica tra il Active Directory locale Domain Services (AD DS) e Microsoft Entra ID.
Scenario 2: l'utente ha modificato la password nel portale del servizio cloud
Per risolvere il problema, seguire la procedura seguente:
- Fare in modo che l'utente modifii la password dell'account utente locale.
- Attendere alcuni minuti per la sincronizzazione della modifica tra Active Directory Domain Services locale e Microsoft Entra ID.
Scenario 3: alcuni utenti non sembrano essere sincronizzati con Microsoft Entra ID
Le possibili cause sono nomi utente o indirizzi di posta elettronica duplicati.
Per risolvere questo problema, usare idFix DirSync Error Remediation Tool (IdFix) per identificare potenziali problemi correlati agli oggetti in Active Directory Domain Services locale. È possibile installare IdFix nel sito Web Microsoft seguente: IdFix DirSync Error Remediation Tool
Per altre informazioni su come risolvere questo problema, vedere Uno o più oggetti non sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory
Scenario 4: Gli utenti vengono spostati tra ambiti filtrati e non filtrati
In questo scenario l'utente viene spostato in un ambito che ora consente la sincronizzazione dell'utente. Può essere quando si configura il filtro per domini, unità organizzative o attributi.
Per risolvere questo problema, vedere la sezione Come eseguire una sincronizzazione completa delle password .
Scenario 5: gli utenti non possono accedere usando una nuova password, ma possono accedere usando la password precedente
In questo scenario si usa il servizio Azure AD Sync insieme alla sincronizzazione delle password. Dopo aver disabilitato e riabilitare la sincronizzazione della directory, gli utenti non possono accedere usando una nuova password. Tuttavia, la password precedente funziona ancora.
Per risolvere questo problema, riabilitare la sincronizzazione delle password. A tale scopo, avviare la Configurazione guidata appliance di sincronizzazione di Azure AD e quindi continuare con le schermate fino a quando non viene visualizzata l'opzione per abilitare la sincronizzazione delle password.
Scenario 6: Gli utenti non possono accedere usando la password
In questo scenario, l'hash delle password non viene sincronizzato correttamente con il servizio Azure AD Sync. Se l'account utente è stato creato in Active Directory in esecuzione in una versione di Windows Server precedente a Windows Server 2003, l'account non ha un hash della password.
La sincronizzazione della directory è in esecuzione, ma le password di tutti gli utenti non vengono sincronizzate
In questo scenario, le password di tutti gli utenti sembrano non essere sincronizzate. In genere si verifica se si verifica una delle condizioni seguenti:
- La casella di controllo Sincronizza ora non è stata selezionata.
- È stata abilitata la sincronizzazione delle password dopo la sincronizzazione della directory.
- Una sincronizzazione completa della directory non è ancora stata completata.
Importante
La sincronizzazione delle password non verrà avviata fino al completamento di una sincronizzazione completa della directory.
Per risolvere questo problema, assicurarsi innanzitutto di abilitare la sincronizzazione delle password. A tale scopo, avviare la Configurazione guidata appliance di sincronizzazione di Azure AD e quindi continuare con le schermate fino a quando non viene visualizzata l'opzione per abilitare la sincronizzazione delle password.
Dopo aver abilitato la sincronizzazione delle password, è necessario eseguire una sincronizzazione completa delle password. Vedere La sezione Come eseguire una sincronizzazione completa delle password.
Per altre informazioni, vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.
Risolvere i problemi di un utente la cui password non è sincronizzata
Per risolvere questo problema, vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
Si sta passando da una soluzione Single Sign-On (SSO) alla sincronizzazione delle password
Per risolvere questo problema, vedere Come passare da Single Sign-On a Password Sync.To resolve this issue, see How to switch from Single Sign-On to Password Sync.
Messaggi id evento in Visualizzatore eventi
Le tabelle seguenti elencano i messaggi di ID evento nel registro applicazioni correlati alla sincronizzazione delle password.
Informativo (non è necessaria alcuna azione)
ID evento | Descrizione | Causa |
---|---|---|
622 | Sincronizzazione completa dell'hash delle password completata per il dominio: contoso.local | Il ciclo di sincronizzazione completo delle password termina il recupero delle password recenti dal dominio di Active Directory Domain Services locale. |
623 | Sincronizzazione completa dell'hash delle password completata per la foresta: contoso.local | Il ciclo completo di sincronizzazione delle password termina il recupero delle password recenti dalla foresta di Active Directory Domain Services locale. |
650 | Avvio batch delle credenziali di provisioning. Conteggio: 1 | La sincronizzazione delle password inizia a recuperare le password aggiornate da Active Directory Domain Services locale. |
651 | Fine batch delle credenziali di provisioning. Conteggio: 1 | La sincronizzazione delle password termina il recupero delle password aggiornate da Active Directory Domain Services locale. |
653 | Effettuare il provisioning delle credenziali ping start. | La sincronizzazione delle password inizia a informare Microsoft Entra ID che non sono presenti password da sincronizzare. Si verifica ogni 30 minuti se non sono state aggiornate password in Active Directory Domain Services locale. |
654 | Effettuare il provisioning delle credenziali ping end. | La sincronizzazione delle password termina informando Microsoft Entra ID che non sono presenti password da sincronizzare. Si verifica ogni 30 minuti se non sono state aggiornate password in Active Directory Domain Services locale. |
656 | Richiesta di modifica password - Ancoraggio : H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08 | La sincronizzazione delle password indica che è stata rilevata una modifica della password e tenta di sincronizzarla con Microsoft Entra ID. Identifica l'utente o gli utenti la cui password è stata modificata e verrà sincronizzata. Ogni batch contiene almeno un utente e al massimo 50 utenti. |
657 | Risultato modifica password - Ancoraggio : eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | Utenti la cui password è stata sincronizzata correttamente. |
657 | Risultato modifica password - Ancoraggio : eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed. | Utenti la cui password non è stata sincronizzata. |
Informativo (potrebbe richiedere un'azione)
ID evento | Descrizione | Causa | Ulteriori informazioni |
---|---|---|---|
0 | La sincronizzazione delle seguenti modifiche della password non è riuscita e sono state pianificate per un nuovo tentativo. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Utente o utenti la cui password non è stata sincronizzata | Configurare la sincronizzazione della directory Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory |
115 | L'accesso a Windows Azure Active Directory è stato negato. Contattare il supporto tecnico. | Microsoft Entra credenziali sono state aggiornate tramite Forefront Identity Manager (FIM). | Eseguire di nuovo la Configurazione guidata Microsoft Entra. Vedere La sincronizzazione dell'hash delle password smette di funzionare dopo l'aggiornamento delle credenziali Microsoft Entra in FIM |
657 | Risultato modifica password - Ancoraggio : B0H+OD3LM0GEnYODwdPhpg==, Risultato : non riuscito, Errore esteso : | Utente o utenti la cui password non è stata sincronizzata | Configurare la sincronizzazione della directory Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory |
Errore (azione richiesta)
ID evento | Descrizione | Causa | Ulteriori informazioni |
---|---|---|---|
0 | Il nome utente o la password non è corretto. Verificare il nome utente e quindi digitare di nuovo la password. | Microsoft Entra credenziali sono state aggiornate tramite Forefront Identity Manager (FIM). | Eseguire di nuovo la Configurazione guidata Microsoft Entra. Vedere La sincronizzazione dell'hash delle password smette di funzionare dopo l'aggiornamento delle credenziali Microsoft Entra in FIM |
611 | Sincronizzazione delle password non riuscita per il dominio: Contoso.com .Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: attività di ripristino non riuscita. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: errore RPC 8439: il nome distinto specificato per questa operazione di replica non è valido. Errore durante la chiamata _IDL_DRSGetNCChanges. |
I controller di dominio di Windows Server 2003 gestiscono determinati scenari in modo imprevisto. | La sincronizzazione dell'hash delle password per Microsoft Entra ID smette di funzionare e viene registrato l'ID evento 611 |
611 | Sincronizzazione delle password non riuscita per il dominio: Contoso.com .Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: errore RPC 8593: il servizio directory non può eseguire l'operazione richiesta perché i server coinvolti sono di epoche di replica diverse, in genere correlate a una ridenominazione del dominio in corso. |
Si tratta di un problema noto risolto nella build 1.0.6455.0807 dello strumento di sincronizzazione di Azure Active Directory. | Per risolvere questo problema, eseguire l'aggiornamento alla versione più recente dello strumento di sincronizzazione di Azure Active Directory. |
611 | Sincronizzazione delle password non riuscita per il dominio: Contoso.com System.ArgumentOutOfRangeException: Non un'eccezione Win32 valida |
Si tratta di un problema noto risolto nella build 1.0.6455.0807 dello strumento di sincronizzazione di Azure Active Directory. | Per risolvere questo problema, eseguire l'aggiornamento alla versione più recente dello strumento di sincronizzazione di Azure Active Directory. |
611 | Sincronizzazione delle password non riuscita per il dominio: Contoso.com .System.ArgumentException: un elemento con la stessa chiave è già stato aggiunto. |
Si tratta di un problema noto risolto nella build 1.0.6455.0807 dello strumento di sincronizzazione di Azure Active Directory. | Per risolvere questo problema, eseguire l'aggiornamento alla versione più recente dello strumento di sincronizzazione di Azure Active Directory. |
652 | Batch di provisioning delle credenziali non riuscito. Errore: Microsoft.Online.Coexistence.ProvisionException: errore. Codice errore: 90. Descrizione errore: la sincronizzazione delle password non è stata attivata per questa società. ID di rilevamento: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Nome server: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: la sincronizzazione delle password non è stata attivata per questa società. Dettagli errore è uguale a Microsoft.Online.Coexistence.Schema.AdminWebServiceFault. | La sincronizzazione delle password non è riuscita quando si recuperano le password aggiornate da Active Directory Domain Services locale. | Configurare la sincronizzazione della directory Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory |
652 | Batch di provisioning delle credenziali non riuscito. Errore: Microsoft.Online.Coexistence. ProvisionRetryException: si è verificato un errore. Codice errore: 81. Descrizione errore: Windows Azure Active Directory è attualmente occupato. Questa operazione verrà ritentata automaticamente. | Si trattava di un problema noto risolto nella build 1.0.6455.0807 dello strumento di sincronizzazione di Azure Active Directory | Per risolvere questo problema, eseguire l'aggiornamento alla versione più recente dello strumento di sincronizzazione di Azure Active Directory. |
655 | Ping di provisioning delle credenziali non riuscito. Errore: Microsoft.Online.Coexistence.ProvisionException: errore. Codice errore: 90. Descrizione errore: la sincronizzazione delle password non è stata attivata per questa società. ID di rilevamento: 0744fa31-1d9b-453a-83d8-c2555d843802 Nome server: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: la sincronizzazione delle password non è stata attivata per questa società. Dettagli errore è uguale a Microsoft.Online.Coexistence.Schema.AdminWebServiceFault. | La sincronizzazione delle password non è riuscita a informare Microsoft Entra ID che non sono presenti password da sincronizzare. Si verifica ogni 30 minuti. | Configurare la sincronizzazione della directory Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory |
655 | Il nome utente o la password non è corretto. Verificare il nome utente e quindi digitare di nuovo la password. | Microsoft Entra credenziali sono state aggiornate tramite FIM. | Eseguire di nuovo la Configurazione guidata Microsoft Entra. Vedere l'articolo della Microsoft Knowledge Base seguente: La sincronizzazione dell'hash delle password smette di funzionare dopo l'aggiornamento delle credenziali Microsoft Entra in FIM |
6900 | Si è verificato un errore imprevisto nel server durante l'elaborazione di una notifica di modifica della password: "Il nome utente o la password non è corretto. Verificare il nome utente e quindi digitare di nuovo la password. |
Microsoft Entra credenziali sono state aggiornate tramite FIM. | Eseguire di nuovo la Configurazione guidata Microsoft Entra. Vedere l'articolo della Microsoft Knowledge Base seguente: La sincronizzazione dell'hash delle password smette di funzionare dopo l'aggiornamento delle credenziali Microsoft Entra in FIM |
6900 | Si è verificato un errore imprevisto nel server durante l'elaborazione di una notifica di modifica della password: "Si è verificato un errore. Codice errore: 90. Descrizione errore: la sincronizzazione delle password non è stata attivata per questa società |
La sincronizzazione delle password non è abilitata per l'organizzazione. | Vedere l'articolo della Microsoft Knowledge Base seguente: Le password utente non sono sincronizzate e l'errore "Sincronizzazione password non è stata attivata per questa società" viene registrato Visualizzatore eventi |
Ulteriori informazioni
Come eseguire una sincronizzazione completa delle password
Per eseguire una sincronizzazione completa delle password, seguire questa procedura, in base alle esigenze dell'appliance Azure AD Sync in uso.
Se si usa lo strumento di sincronizzazione di Azure Active Directory:
Nel server in cui è installato lo strumento aprire PowerShell ed eseguire il comando seguente:
Import-Module DirSync
Eseguire i comandi seguenti:
Set-FullPasswordSync
Restart-Service FIMSynchronizationService -Force
Se si usa il servizio Azure AD Sync o Microsoft Entra Connect, eseguire lo script disponibile in questa pagina: Azure AD Sync: Come usare PowerShell per attivare una sincronizzazione password completa
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per