如何使用 Azure AD 同步设备排查密码同步问题

项目
04/13/2024

本文可帮助你排查使用 Microsoft Entra Connect 将密码从本地环境同步到Microsoft Entra ID时可能会遇到的常见问题。

原始产品版本： 云服务（Web 角色/辅助角色）、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号： 2855271

注意

本文是否有帮助？你的输入对我们很重要。请使用此页面上的 “反馈 ”按钮，让我们了解本文对你的影响，或者我们如何改进它。

开始故障排除之前

在执行故障排除步骤之前，请确保已安装最新版本的 Microsoft Entra Connect。

此外，请确保目录同步处于正常状态。有关详细信息，请参阅使用 Microsoft Entra Connect Sync 排查对象同步问题。

在此方案中，大多数用户的密码似乎正在同步。但是，有些用户的密码似乎未同步。下面是用户无法登录到 Microsoft 云服务（如 Office 365、Azure 或 Intune）的情况。

方案 1：为用户帐户选择了“用户下次登录时必须更改密码”检查框

若要解决此问题，请按照下列步骤操作：

执行下列操作之一：
- 在 Active Directory 用户和计算机的用户帐户属性中，清除“用户下次登录时必须更改密码检查”框。
- 让用户更改其本地用户帐户密码。
- 在 Microsoft Entra Connect 服务器上启用 ForcePasswordChangeOnLogOn 功能。
等待几分钟，让更改在本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra ID 之间同步。

方案 2：用户在云服务门户中更改了其密码

若要解决此问题，请按照下列步骤操作：

让用户更改其本地用户帐户密码。
等待几分钟，让更改在本地 AD DS 和Microsoft Entra ID之间同步。

方案 3：某些用户似乎未同步到Microsoft Entra ID

可能的原因是用户名或电子邮件地址重复。

若要解决此问题，请使用 IdFix DirSync 错误修正工具 (IdFix) 来帮助识别本地 AD DS 中与对象相关的潜在问题。可以在以下 Microsoft 网站安装 IdFix： IdFix DirSync 错误修正工具

有关如何排查此问题的详细信息，请参阅使用 Azure Active Directory 同步工具时一个或多个对象无法同步

方案 4：在筛选和未筛选的范围之间移动用户

在此方案中，用户将移动到现在允许用户同步的范围。在为域、组织单位或属性设置筛选时，可能会发生此情况。

若要解决此问题，请参阅 如何执行完整密码同步 部分。

在此方案中，你将将 Azure AD Sync 服务与密码同步一起使用。禁用并重新启用目录同步后，用户无法使用新密码登录。但是，其旧密码仍有效。

若要解决此问题，请重新启用密码同步。为此，请启动 Azure AD 同步设备配置向导，然后继续浏览屏幕，直到看到启用密码同步的选项。

在这种情况下，密码哈希不会成功同步到 Azure AD Sync 服务。如果用户帐户是在低于 Windows Server 2003 的 Windows Server 版本上运行的 Active Directory 中创建的，则帐户没有密码哈希。

目录同步正在运行，但所有用户的密码未同步

在此方案中，所有用户的密码似乎未同步。如果满足以下条件之一，通常会发生这种情况：

未选中“立即同步检查”框。
目录同步发生后，你启用了密码同步。
尚未完成完整目录同步。

重要

在完成完整目录同步之前，密码同步不会启动。

若要解决此问题，请先确保启用密码同步。为此，请启动 Azure AD 同步设备配置向导，然后继续浏览屏幕，直到看到启用密码同步的选项。

启用密码同步后，必须执行完全密码同步。请参阅如何执行完整密码同步部分。

有关详细信息，请参阅使用 Microsoft Entra Connect Sync 排查密码哈希同步问题。

排查密码未同步的用户的问题

若要排查此问题，请参阅使用 Microsoft Entra Connect Sync 排查密码哈希同步问题

你将从单一登录 (SSO) 解决方案更改为密码同步

若要解决此问题，请参阅如何从单 Sign-On 切换到密码同步。

事件查看器中的事件 ID 消息

下表列出了应用程序日志中与密码同步相关的事件 ID 消息。

信息 (无需操作)

事件 ID	描述	原因
622	域的完整密码哈希同步已完成：contoso.local	完整密码同步周期完成从本地 AD DS 域检索最近的密码。
623	已完成林的完整密码哈希同步：contoso.local	完整密码同步周期完成从本地 AD DS 林检索最近的密码。
650	预配凭据批处理启动。计数：1	密码同步开始从本地 AD DS 检索更新的密码。
651	预配凭据批处理结束。计数：1	密码同步完成从本地 AD DS 检索更新的密码。
653	预配凭据 ping 启动。	密码同步开始通知Microsoft Entra ID没有要同步的密码。如果本地 AD DS 中未更新密码，则每隔 30 分钟发生一次。
654	预配凭据 ping 结束。	密码同步完成，告知Microsoft Entra ID没有要同步的密码。如果未在本地 AD DS 中更新密码，则每隔 30 分钟发生一次。
656	密码更改请求 - 定位点：H552hI9GwEykZwosf74JeOQ==，Dn ： CN=Viola Hanson，OU=Cloud Objects，DC=contoso，DC=local，更改日期： 05/01/2013 16：34：08	密码同步指示检测到密码更改，并尝试将其同步到Microsoft Entra ID。它标识其密码已更改并将同步的用户。每个批包含至少一个用户，最多包含 50 个用户。
657	密码更改结果 - 定位点：eX5b50Rf+UizRIMe2CA/tg==，Dn ： CN=Viola Hanson，OU=Cloud Objects，DC=contoso，DC=local，结果：成功。	密码已成功同步的用户。
657	密码更改结果 - 定位点：eX5b50Rf+UizRIMe2CA/tg==，Dn ： CN=Viola Hanson，OU=Cloud Objects，DC=contoso，DC=local，结果：失败。	密码未同步的用户。

信息 (可能需要操作)

事件 ID	描述	原因	更多信息
0	以下密码更改未能同步，并已安排重试。 DN = CN=Eli McLean，OU=Cloud Objects，DC=contoso，DC=local	用户或密码未同步的用户	配置目录同步使用 Azure Active Directory 同步工具时，一个或多个对象不会同步
115	拒绝访问 Windows Azure Active Directory。请联系技术支持。	Microsoft Entra凭据已通过 Forefront Identity Manager (FIM) 更新。	再次运行Microsoft Entra配置向导。请参阅在 FIM 中更新Microsoft Entra凭据后密码哈希同步停止工作
657	密码更改结果 - 定位点： B0H+OD3LM0GEnYODwdPhpg==，结果：失败，扩展错误：	用户或密码未同步的用户	配置目录同步使用 Azure Active Directory 同步工具时，一个或多个对象不会同步

需要错误 (操作)

事件 ID	描述	原因	更多信息
0	用户名或密码不正确。验证用户名，然后再次键入密码。	Microsoft Entra凭据已通过 Forefront Identity Manager (FIM) 更新。	再次运行Microsoft Entra配置向导。请参阅在 FIM 中更新Microsoft Entra凭据后密码哈希同步停止工作
611	域的密码同步失败： `Contoso.com`。 Microsoft.Online.PasswordSynchronization.SynchronizationManagerException：恢复任务失败。 >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException： RPC 错误 8439：为此复制操作指定的可分辨名称无效。调用 _IDL_DRSGetNCChanges 时出错。	Windows Server 2003 域控制器意外地处理某些方案。	Microsoft Entra ID停止工作并记录事件 ID 611 的密码哈希同步
611	域的密码同步失败： `Contoso.com`。 Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException：RPC 错误 8593：目录服务无法执行请求的操作，因为所涉及的服务器具有不同的复制纪元 (这通常与正在进行) 的域重命名相关。	这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。	若要解决此问题，请更新到最新版本的 Azure Active Directory 同步工具。
611	域的密码同步失败： `Contoso.com` System.ArgumentOutOfRangeException：不是有效的 Win32	这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。	若要解决此问题，请更新到最新版本的 Azure Active Directory 同步工具。
611	域的密码同步失败： `Contoso.com`。 System.ArgumentException：已添加具有相同键的项。	这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。	若要解决此问题，请更新到最新版本的 Azure Active Directory 同步工具。
652	凭据预配批处理失败。错误：Microsoft.Online.共存.ProvisionException：发生错误。错误代码：90。错误说明：尚未为此公司激活密码同步。跟踪 ID：07e93e8a-cf2d-4f67-9e95-53169c4875e0 服务器名称：BL2GR1BBA003。 >--- System.ServiceModel.FaultException1[Microsoft.Online.共存.Schema.AdminWebServiceFault]：尚未为该公司激活密码同步。 (故障详细信息等于 Microsoft.Online.共存.Schema.AdminWebServiceFault) 。	从本地 AD DS 检索更新的密码时，密码同步失败。	配置目录同步使用 Azure Active Directory 同步工具时，一个或多个对象不会同步
652	凭据预配批处理失败。错误：Microsoft.Online.共存。 ProvisionRetryException：发生错误。错误代码：81。错误说明：Windows Azure Active Directory 当前正忙。此操作将自动重试。	这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题	若要解决此问题，请更新到最新版本的 Azure Active Directory 同步工具。
655	凭据预配 ping 失败。错误：Microsoft.Online.共存.ProvisionException：发生错误。错误代码：90。错误说明：尚未为此公司激活密码同步。跟踪 ID：0744fa31-1d9b-453a-83d8-c2555d843802 服务器名称：BL2GR1BBA005。 >--- System.ServiceModel.FaultException1[Microsoft.Online.共存.Schema.AdminWebServiceFault]：尚未为该公司激活密码同步。 (故障详细信息等于 Microsoft.Online.共存.Schema.AdminWebServiceFault) 。	密码同步未能通知Microsoft Entra ID没有要同步的密码。它每 30 分钟发生一次。	配置目录同步使用 Azure Active Directory 同步工具时，一个或多个对象未同步
655	用户名或密码不正确。验证用户名，然后再次键入密码。	Microsoft Entra凭据是通过 FIM 更新的。	再次运行Microsoft Entra配置向导。请参阅以下 Microsoft 知识库文章：在 FIM 中更新Microsoft Entra凭据后，密码哈希同步停止工作
6900	服务器在处理密码更改通知时遇到意外错误： “用户名或密码不正确。验证用户名，然后再次键入密码。	Microsoft Entra凭据是通过 FIM 更新的。	再次运行Microsoft Entra配置向导。请参阅以下 Microsoft 知识库文章：在 FIM 中更新Microsoft Entra凭据后，密码哈希同步停止工作
6900	服务器在处理密码更改通知时遇到意外错误： “发生错误。错误代码：90。错误说明：尚未为此公司激活密码同步	未为组织启用密码同步。	请参阅以下 Microsoft 知识库文章：用户密码未同步，并且“尚未为该公司激活密码同步”错误登录事件查看器

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。还可以向 Azure 反馈社区提交产品反馈。