Устранение неполадок синхронизации паролей при использовании Azure AD синхронизации (модуль)
Эта статья поможет устранить распространенные проблемы, которые могут возникнуть при синхронизации паролей из локальной среды в Microsoft Entra ID с помощью Microsoft Entra Connect.
Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2855271
Примечание.
Эта статья оказалась полезной? Ваш вклад важен для нас. Используйте кнопку Отзыв на этой странице, чтобы сообщить нам, насколько хорошо эта статья работает для вас или как мы можем ее улучшить.
Прежде чем приступить к устранению неполадок
Перед выполнением действий по устранению неполадок убедитесь, что установлена последняя версия Microsoft Entra Connect.
Кроме того, убедитесь, что синхронизация каталогов находится в работоспособном состоянии. Дополнительные сведения см. в статье Устранение неполадок синхронизации объектов с помощью Microsoft Entra Connect Sync.
Некоторые пользователи не могут войти в Office 365, Azure или Microsoft Intune
В этом сценарии пароли большинства пользователей синхронизируются. Однако есть некоторые пользователи, пароли которых не синхронизируются. Ниже приведены сценарии, в которых пользователь не может войти в облачную службу Майкрософт, например Office 365, Azure или Intune.
Сценарий 1. Для учетной записи пользователя выбрано поле "Пользователь должен изменить пароль при следующем входе" проверка
Чтобы устранить эту проблему, выполните следующие действия.
- Выполните одно из следующих действий.
- В свойствах учетной записи пользователя в Пользователи и компьютеры Active Directory снимите флажок Пользователь должен изменить пароль при следующем проверка входа.
- Закажите, чтобы пользователь изменил пароль локальной учетной записи пользователя.
- Включите функцию ForcePasswordChangeOnLogOn на сервере Microsoft Entra Connect.
- Подождите несколько минут, пока изменения не будут синхронизированы между локальная служба Active Directory Доменные службы (AD DS) и Microsoft Entra ID.
Сценарий 2. Пользователь изменил пароль на портале облачной службы
Чтобы устранить эту проблему, выполните следующие действия.
- Закажите, чтобы пользователь изменил пароль локальной учетной записи пользователя.
- Подождите несколько минут, пока изменения не будут синхронизированы между локальными AD DS и Microsoft Entra ID.
Сценарий 3. Некоторые пользователи не синхронизируются с Microsoft Entra ID
Возможные причины — повторяющиеся имена пользователей или адреса электронной почты.
Чтобы устранить эту проблему, используйте средство исправления ошибок IdFix DirSync (IdFix) для выявления потенциальных проблем, связанных с объектами в локальных доменных службах Active Directory. IdFix можно установить на следующем веб-сайте Майкрософт: Средство исправления ошибок IdFix DirSync
Дополнительные сведения об устранении этой проблемы см. в статье Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory.
Сценарий 4. Пользователи перемещаются между отфильтрованной и нефильтрованной областями
В этом сценарии пользователь перемещается в область, который теперь позволяет синхронизировать пользователя. Это может быть, когда фильтрация настроена для доменов, подразделений или атрибутов.
Чтобы устранить эту проблему, см. раздел Как выполнить полную синхронизацию паролей .
Сценарий 5. Пользователи не могут входить в систему с помощью нового пароля, но они могут войти с помощью старого пароля.
В этом сценарии вы используете службу Azure AD Sync вместе с синхронизацией паролей. После отключения и повторного включения синхронизации каталогов пользователи не смогут входить в систему с помощью нового пароля. Однако их старый пароль по-прежнему работает.
Чтобы устранить эту проблему, повторно включите синхронизацию паролей. Для этого запустите мастер настройки Azure AD синхронизации (модуль), а затем продолжайте работу с экранами, пока не увидите параметр для включения синхронизации паролей.
Сценарий 6. Пользователи не могут войти с помощью пароля
В этом сценарии хэш паролей не синхронизируется со службой Azure AD Sync. Если учетная запись пользователя была создана в Active Directory, работающей в версии Windows Server, более ранней, чем Windows Server 2003, у нее нет хэша паролей.
Синхронизация каталогов выполняется, но пароли всех пользователей не синхронизируются
В этом сценарии пароли всех пользователей не синхронизируются. Обычно это происходит, если выполняется одно из следующих условий:
- Не выбрано поле Синхронизировать проверка.
- Синхронизация паролей включена после синхронизации каталогов.
- Полная синхронизация каталогов еще не завершена.
Важно!
Синхронизация паролей не будет запущена до завершения полной синхронизации каталогов.
Чтобы устранить эту проблему, сначала убедитесь, что включена синхронизация паролей. Для этого запустите мастер настройки Azure AD синхронизации (модуль), а затем продолжайте работу с экранами, пока не увидите параметр для включения синхронизации паролей.
После включения синхронизации паролей необходимо выполнить полную синхронизацию паролей. См. раздел Как выполнить полную синхронизацию паролей.
Дополнительные сведения см. в статье Устранение неполадок синхронизации хэша паролей с помощью Microsoft Entra Connect Sync.
Устранение неполадок с одним пользователем, пароль которого не синхронизирован
Сведения об устранении этой проблемы см. в статье Устранение неполадок синхронизации хэша паролей с помощью синхронизации Microsoft Entra Connect Sync.
Вы переходите с решения единого входа (SSO) на синхронизацию паролей.
Сведения об устранении этой проблемы см. в статье Переход с одного Sign-On на синхронизацию паролей.
Сообщения с идентификаторами событий в Просмотр событий
В следующих таблицах перечислены сообщения идентификаторов событий в журнале приложений, связанные с синхронизацией паролей.
Информационный (никаких действий не требуется)
Идентификатор события | Описание | Причина |
---|---|---|
622 | Полная синхронизация хэша паролей завершена для домена: contoso.local | Цикл полной синхронизации паролей завершает получение последних паролей из локального домена AD DS. |
623 | Полная синхронизация хэша паролей завершена для леса: contoso.local | Цикл полной синхронизации паролей завершается получением последних паролей из локального леса AD DS. |
650 | Запуск пакета учетных данных для подготовки. Количество: 1 | Синхронизация паролей начинает получать обновленные пароли из локальных доменных служб Active Directory. |
651 | Пакетная подготовка учетных данных. Количество: 1 | Синхронизация паролей завершает получение обновленных паролей из локальных доменных служб Active Directory. |
653 | Подготовка учетных данных начинается. | Синхронизация паролей начинает сообщать Microsoft Entra ID о том, что пароли для синхронизации отсутствуют. Это происходит каждые 30 минут, если пароли не были обновлены в локальных доменных службах Active Directory. |
654 | Подготовка учетных данных с проверкой ping end. | Синхронизация паролей завершается, информируя Microsoft Entra ID о том, что пароли для синхронизации отсутствуют. Это происходит каждые 30 минут, если пароли не обновлялись в локальных доменных службах Active Directory. |
656 | Запрос на изменение пароля — привязка: H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 01.05.2013 16:34:08 | Синхронизация паролей указывает, что было обнаружено изменение пароля и пытается синхронизировать его с Microsoft Entra ID. Он определяет пользователя или пользователей, пароль которых изменен и будет синхронизирован. Каждый пакет содержит по крайней мере одного пользователя и не более 50 пользователей. |
657 | Результат изменения пароля — привязка : eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | Пользователи, пароль которых успешно синхронизирован. |
657 | Результат изменения пароля — привязка: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed. | Пользователи, пароль которых не синхронизирован. |
Информационный (может потребоваться действие)
Идентификатор события | Описание | Причина | Дополнительная информация |
---|---|---|---|
0 | Следующие изменения пароля не удалось синхронизировать и запланировали повторную попытку. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Пользователь или пользователи, пароль которых не был синхронизирован | Настройка синхронизации службы каталогов Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory |
115 | Доступ к Windows Azure Active Directory запрещен. Обратитесь в службу технической поддержки. | Microsoft Entra учетные данные были обновлены с помощью Forefront Identity Manager (FIM). | Снова запустите мастер настройки Microsoft Entra. См. статью Синхронизация хэша паролей перестает работать после обновления учетных данных Microsoft Entra в FIM. |
657 | Результат изменения пароля — привязка: B0H+OD3LM0GEnYODwdPhpg== , результат : сбой, расширенная ошибка : | Пользователь или пользователи, пароль которых не был синхронизирован | Настройка синхронизации службы каталогов Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory |
Ошибка (требуется действие)
Идентификатор события | Описание | Причина | Дополнительная информация |
---|---|---|---|
0 | Неверное имя пользователя или пароль. Проверьте имя пользователя и введите пароль еще раз. | Microsoft Entra учетные данные были обновлены с помощью Forefront Identity Manager (FIM). | Снова запустите мастер настройки Microsoft Entra. См. статью Синхронизация хэша паролей перестает работать после обновления учетных данных Microsoft Entra в FIM. |
611 | Сбой синхронизации паролей для домена: Contoso.com .Microsoft.Online.PasswordSynchronization.SyncManagerException: задача восстановления завершилась сбоем. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: ошибка RPC 8439: недопустимое различающееся имя, указанное для этой операции репликации. Произошла ошибка вызова _IDL_DRSGetNCChanges. |
Контроллеры домена Windows Server 2003 неожиданно обрабатывают определенные сценарии. | Синхронизация хэша паролей для Microsoft Entra ID перестает работать и регистрируется событие с идентификатором 611 |
611 | Сбой синхронизации паролей для домена: Contoso.com .Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: ошибка RPC 8593: служба каталогов не может выполнить запрошенную операцию, так как задействованные серверы относятся к разным эпохам репликации (обычно это связано с переименовыванием домена, которое выполняется). |
Это была известная проблема, которая была исправлена в сборке средства синхронизации Azure Active Directory 1.0.6455.0807. | Чтобы устранить эту проблему, обновите средство синхронизации Azure Active Directory до последней версии. |
611 | Сбой синхронизации паролей для домена: Contoso.com System.ArgumentOutOfRangeException: недопустимый Win32 |
Это была известная проблема, которая была исправлена в сборке средства синхронизации Azure Active Directory 1.0.6455.0807. | Чтобы устранить эту проблему, обновите средство синхронизации Azure Active Directory до последней версии. |
611 | Сбой синхронизации паролей для домена: Contoso.com .System.ArgumentException: элемент с тем же ключом уже добавлен. |
Это была известная проблема, которая была исправлена в сборке средства синхронизации Azure Active Directory 1.0.6455.0807. | Чтобы устранить эту проблему, обновите средство синхронизации Azure Active Directory до последней версии. |
652 | Пакет подготовки учетных данных с ошибкой. Ошибка: Microsoft.Online.Coexistence.ProvisionException: произошла ошибка. Код ошибки: 90. Описание ошибки: синхронизация паролей не активирована для этой компании. Идентификатор отслеживания: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Имя сервера: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: синхронизация паролей не активирована для этой компании. (Сведения об ошибке равны Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Синхронизация паролей завершилась сбоем при получении обновленных паролей из локальных доменных служб Active Directory. | Настройка синхронизации службы каталогов Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory |
652 | Пакет подготовки учетных данных с ошибкой. Ошибка: Microsoft.Online.Coexistence. ProvisionRetryException: произошла ошибка. Код ошибки: 81. Описание ошибки: Windows Azure Active Directory в настоящее время занят. Эта операция будет повторна автоматически. | Это была известная проблема, которая была исправлена в сборке средства синхронизации Azure Active Directory 1.0.6455.0807 | Чтобы устранить эту проблему, обновите средство синхронизации Azure Active Directory до последней версии. |
655 | Сбой при подготовке учетных данных. Ошибка: Microsoft.Online.Coexistence.ProvisionException: произошла ошибка. Код ошибки: 90. Описание ошибки: синхронизация паролей не активирована для этой компании. Идентификатор отслеживания: 0744fa31-1d9b-453a-83d8-c2555d843802 Имя сервера: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: синхронизация паролей не активирована для этой компании. (Сведения об ошибке равны Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Синхронизация паролей не смогла сообщить Microsoft Entra ID о том, что пароли для синхронизации отсутствуют. Это происходит каждые 30 минут. | Настройка синхронизации службы каталогов Средство синхронизации Azure Active Directory не синхронизирует один или несколько объектов |
655 | Неверное имя пользователя или пароль. Проверьте имя пользователя и введите пароль еще раз. | Microsoft Entra учетные данные были обновлены с помощью FIM. | Снова запустите мастер настройки Microsoft Entra. См. следующую статью базы знаний Майкрософт: Синхронизация хэша паролей перестает работать после обновления учетных данных Microsoft Entra в FIM. |
6900 | Сервер столкнулся с непредвиденной ошибкой при обработке уведомления об изменении пароля: "Неверное имя пользователя или пароль. Проверьте имя пользователя и введите пароль еще раз. |
Microsoft Entra учетные данные были обновлены с помощью FIM. | Снова запустите мастер настройки Microsoft Entra. См. следующую статью базы знаний Майкрософт: Синхронизация хэша паролей перестает работать после обновления учетных данных Microsoft Entra в FIM. |
6900 | Сервер столкнулся с непредвиденной ошибкой при обработке уведомления об изменении пароля: "Произошла ошибка. Код ошибки: 90. Описание ошибки: синхронизация паролей не активирована для этой компании |
Синхронизация паролей не включена для организации. | См. следующую статью базы знаний Майкрософт: Пароли пользователей не синхронизируются и ошибка "Синхронизация паролей не активирована для этой компании" в Просмотр событий |
Дополнительная информация
Выполнение полной синхронизации паролей
Чтобы выполнить полную синхронизацию паролей, выполните следующие действия в соответствии с Azure AD Sync (модуль), которые вы используете.
Если вы используете средство синхронизации Azure Active Directory:
На сервере, где установлено средство, откройте PowerShell и выполните следующую команду:
Import-Module DirSync
Выполните следующие команды:
Set-FullPasswordSync
Restart-Service FIMSynchronizationService -Force
Если вы используете службу Azure AD Sync или Microsoft Entra Connect, выполните сценарий, который находится на этой странице: Azure AD Sync: Использование PowerShell для активации полной синхронизации паролей
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по