如何使用 Azure AD 同步设备排查密码同步问题
本文可帮助你排查使用 Microsoft Entra Connect 将密码从本地环境同步到Microsoft Entra ID时可能会遇到的常见问题。
原始产品版本: 云服务(Web 角色/辅助角色)、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号: 2855271
注意
本文是否有帮助? 你的输入对我们很重要。 请使用此页面上的 “反馈 ”按钮,让我们了解本文对你的影响,或者我们如何改进它。
开始故障排除之前
在执行故障排除步骤之前,请确保已安装最新版本的 Microsoft Entra Connect。
此外,请确保目录同步处于正常状态。 有关详细信息,请参阅使用 Microsoft Entra Connect Sync 排查对象同步问题。
某些用户无法登录到 Office 365、Azure 或 Microsoft Intune
在此方案中,大多数用户的密码似乎正在同步。 但是,有些用户的密码似乎未同步。下面是用户无法登录到 Microsoft 云服务(如 Office 365、Azure 或 Intune)的情况。
方案 1:为用户帐户选择了“用户下次登录时必须更改密码”检查框
若要解决此问题,请按照下列步骤操作:
- 执行下列操作之一:
- 在 Active Directory 用户和计算机 的用户帐户属性中,清除“用户下次登录时必须更改密码检查”框。
- 让用户更改其本地用户帐户密码。
- 在 Microsoft Entra Connect 服务器上启用 ForcePasswordChangeOnLogOn 功能。
- 等待几分钟,让更改在 本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra ID 之间同步。
方案 2:用户在云服务门户中更改了其密码
若要解决此问题,请按照下列步骤操作:
- 让用户更改其本地用户帐户密码。
- 等待几分钟,让更改在本地 AD DS 和Microsoft Entra ID之间同步。
方案 3:某些用户似乎未同步到Microsoft Entra ID
可能的原因是用户名或电子邮件地址重复。
若要解决此问题,请使用 IdFix DirSync 错误修正工具 (IdFix) 来帮助识别本地 AD DS 中与对象相关的潜在问题。 可以在以下 Microsoft 网站安装 IdFix: IdFix DirSync 错误修正工具
有关如何排查此问题的详细信息,请参阅 使用 Azure Active Directory 同步工具时一个或多个对象无法同步
方案 4:在筛选和未筛选的范围之间移动用户
在此方案中,用户将移动到现在允许用户同步的范围。 在为域、组织单位或属性设置筛选时,可能会发生此情况。
若要解决此问题,请参阅 如何执行完整密码同步 部分。
方案 5:用户无法使用新密码登录,但可以使用旧密码登录
在此方案中,你将将 Azure AD Sync 服务与密码同步一起使用。 禁用并重新启用目录同步后,用户无法使用新密码登录。 但是,其旧密码仍有效。
若要解决此问题,请重新启用密码同步。 为此,请启动 Azure AD 同步设备配置向导,然后继续浏览屏幕,直到看到启用密码同步的选项。
方案 6:用户无法使用其密码登录
在这种情况下,密码哈希不会成功同步到 Azure AD Sync 服务。 如果用户帐户是在低于 Windows Server 2003 的 Windows Server 版本上运行的 Active Directory 中创建的,则帐户没有密码哈希。
目录同步正在运行,但所有用户的密码未同步
在此方案中,所有用户的密码似乎未同步。如果满足以下条件之一,通常会发生这种情况:
- 未选中“立即同步检查”框。
- 目录同步发生后,你启用了密码同步。
- 尚未完成完整目录同步。
重要
在完成完整目录同步之前,密码同步不会启动。
若要解决此问题,请先确保启用密码同步。 为此,请启动 Azure AD 同步设备配置向导,然后继续浏览屏幕,直到看到启用密码同步的选项。
启用密码同步后,必须执行完全密码同步。请参阅如何执行完整密码同步部分。
有关详细信息,请参阅使用 Microsoft Entra Connect Sync 排查密码哈希同步问题。
排查密码未同步的用户的问题
若要排查此问题,请参阅使用 Microsoft Entra Connect Sync 排查密码哈希同步问题
你将从单一登录 (SSO) 解决方案更改为密码同步
若要解决此问题,请参阅 如何从单 Sign-On 切换到密码同步。
事件查看器中的事件 ID 消息
下表列出了应用程序日志中与密码同步相关的事件 ID 消息。
信息 (无需操作)
事件 ID | 描述 | 原因 |
---|---|---|
622 | 域的完整密码哈希同步已完成:contoso.local | 完整密码同步周期完成从本地 AD DS 域检索最近的密码。 |
623 | 已完成林的完整密码哈希同步:contoso.local | 完整密码同步周期完成从本地 AD DS 林检索最近的密码。 |
650 | 预配凭据批处理启动。 计数:1 | 密码同步开始从本地 AD DS 检索更新的密码。 |
651 | 预配凭据批处理结束。 计数:1 | 密码同步完成从本地 AD DS 检索更新的密码。 |
653 | 预配凭据 ping 启动。 | 密码同步开始通知Microsoft Entra ID没有要同步的密码。 如果本地 AD DS 中未更新密码,则每隔 30 分钟发生一次。 |
654 | 预配凭据 ping 结束。 | 密码同步完成,告知Microsoft Entra ID没有要同步的密码。 如果未在本地 AD DS 中更新密码,则每隔 30 分钟发生一次。 |
656 | 密码更改请求 - 定位点:H552hI9GwEykZwosf74JeOQ==,Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local,更改日期: 05/01/2013 16:34:08 | 密码同步指示检测到密码更改,并尝试将其同步到Microsoft Entra ID。 它标识其密码已更改并将同步的用户。 每个批包含至少一个用户,最多包含 50 个用户。 |
657 | 密码更改结果 - 定位点 :eX5b50Rf+UizRIMe2CA/tg==,Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local,结果:成功。 | 密码已成功同步的用户。 |
657 | 密码更改结果 - 定位点 :eX5b50Rf+UizRIMe2CA/tg==,Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local,结果:失败。 | 密码未同步的用户。 |
信息 (可能需要操作)
事件 ID | 描述 | 原因 | 更多信息 |
---|---|---|---|
0 | 以下密码更改未能同步,并已安排重试。 DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
用户或密码未同步的用户 | 配置目录同步 使用 Azure Active Directory 同步工具时,一个或多个对象不会同步 |
115 | 拒绝访问 Windows Azure Active Directory。 请联系技术支持。 | Microsoft Entra凭据已通过 Forefront Identity Manager (FIM) 更新。 | 再次运行Microsoft Entra配置向导。 请参阅在 FIM 中更新Microsoft Entra凭据后密码哈希同步停止工作 |
657 | 密码更改结果 - 定位点 : B0H+OD3LM0GEnYODwdPhpg==, 结果 : 失败, 扩展错误 : | 用户或密码未同步的用户 | 配置目录同步 使用 Azure Active Directory 同步工具时,一个或多个对象不会同步 |
需要错误 (操作)
事件 ID | 描述 | 原因 | 更多信息 |
---|---|---|---|
0 | 用户名或密码不正确。 验证用户名,然后再次键入密码。 | Microsoft Entra凭据已通过 Forefront Identity Manager (FIM) 更新。 | 再次运行Microsoft Entra配置向导。 请参阅在 FIM 中更新Microsoft Entra凭据后密码哈希同步停止工作 |
611 | 域的密码同步失败: Contoso.com 。Microsoft.Online.PasswordSynchronization.SynchronizationManagerException:恢复任务失败。 >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC 错误 8439:为此复制操作指定的可分辨名称无效。 调用 _IDL_DRSGetNCChanges 时出错。 |
Windows Server 2003 域控制器意外地处理某些方案。 | Microsoft Entra ID停止工作并记录事件 ID 611 的密码哈希同步 |
611 | 域的密码同步失败: Contoso.com 。Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException:RPC 错误 8593:目录服务无法执行请求的操作,因为所涉及的服务器具有不同的复制纪元 (这通常与正在进行) 的域重命名相关。 |
这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。 | 若要解决此问题,请更新到最新版本的 Azure Active Directory 同步工具。 |
611 | 域的密码同步失败: Contoso.com System.ArgumentOutOfRangeException:不是有效的 Win32 |
这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。 | 若要解决此问题,请更新到最新版本的 Azure Active Directory 同步工具。 |
611 | 域的密码同步失败: Contoso.com 。System.ArgumentException:已添加具有相同键的项。 |
这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题。 | 若要解决此问题,请更新到最新版本的 Azure Active Directory 同步工具。 |
652 | 凭据预配批处理失败。 错误:Microsoft.Online.共存.ProvisionException:发生错误。 错误代码:90。 错误说明:尚未为此公司激活密码同步。 跟踪 ID:07e93e8a-cf2d-4f67-9e95-53169c4875e0 服务器名称:BL2GR1BBA003。 >--- System.ServiceModel.FaultException1[Microsoft.Online.共存.Schema.AdminWebServiceFault]:尚未为该公司激活密码同步。 (故障详细信息等于 Microsoft.Online.共存.Schema.AdminWebServiceFault) 。 | 从本地 AD DS 检索更新的密码时,密码同步失败。 | 配置目录同步 使用 Azure Active Directory 同步工具时,一个或多个对象不会同步 |
652 | 凭据预配批处理失败。 错误:Microsoft.Online.共存。 ProvisionRetryException:发生错误。 错误代码:81。 错误说明:Windows Azure Active Directory 当前正忙。 此操作将自动重试。 | 这是 Azure Active Directory 同步工具内部版本 1.0.6455.0807 中修复的已知问题 | 若要解决此问题,请更新到最新版本的 Azure Active Directory 同步工具。 |
655 | 凭据预配 ping 失败。 错误:Microsoft.Online.共存.ProvisionException:发生错误。 错误代码:90。 错误说明:尚未为此公司激活密码同步。 跟踪 ID:0744fa31-1d9b-453a-83d8-c2555d843802 服务器名称:BL2GR1BBA005。 >--- System.ServiceModel.FaultException1[Microsoft.Online.共存.Schema.AdminWebServiceFault]:尚未为该公司激活密码同步。 (故障详细信息等于 Microsoft.Online.共存.Schema.AdminWebServiceFault) 。 | 密码同步未能通知Microsoft Entra ID没有要同步的密码。 它每 30 分钟发生一次。 | 配置目录同步 使用 Azure Active Directory 同步工具时,一个或多个对象未同步 |
655 | 用户名或密码不正确。 验证用户名,然后再次键入密码。 | Microsoft Entra凭据是通过 FIM 更新的。 | 再次运行Microsoft Entra配置向导。 请参阅以下 Microsoft 知识库文章:在 FIM 中更新Microsoft Entra凭据后,密码哈希同步停止工作 |
6900 | 服务器在处理密码更改通知时遇到意外错误: “用户名或密码不正确。 验证用户名,然后再次键入密码。 |
Microsoft Entra凭据是通过 FIM 更新的。 | 再次运行Microsoft Entra配置向导。 请参阅以下 Microsoft 知识库文章:在 FIM 中更新Microsoft Entra凭据后,密码哈希同步停止工作 |
6900 | 服务器在处理密码更改通知时遇到意外错误: “发生错误。 错误代码:90。 错误说明:尚未为此公司激活密码同步 |
未为组织启用密码同步。 | 请参阅以下 Microsoft 知识库文章:用户密码未同步,并且“尚未为该公司激活密码同步”错误登录事件查看器 |
更多信息
如何执行完整密码同步
若要执行完全密码同步,请根据所使用的Azure AD Sync设备执行相应的步骤。
如果使用 Azure Active Directory 同步工具:
在安装了该工具的服务器上,打开 PowerShell,然后运行以下命令:
Import-Module DirSync
运行以下命令:
Set-FullPasswordSync
Restart-Service FIMSynchronizationService -Force
如果使用 Azure AD Sync 服务或 Microsoft Entra Connect,请运行此页上的脚本:Azure AD Sync:如何使用 PowerShell 触发完全密码同步
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈