Řešení potíží se synchronizace hodnot hash hesel pomocí Microsoft Entra Connect

  • Článek

Toto téma obsahuje postup řešení potíží se synchronizací hodnot hash hesel. Pokud se hesla nesynchronují podle očekávání, může se jednat o podmnožinu uživatelů nebo pro všechny uživatele.

Pro nasazení Microsoft Entra Připojení s verzí 1.1.614.0 nebo novější použijte úlohu řešení potíží v průvodci k řešení potíží se synchronizací hodnot hash hesel:

Pro nasazení s verzí 1.1.524.0 nebo novější je k dispozici diagnostická rutina, kterou můžete použít k řešení potíží se synchronizací hodnot hash hesel:

Pro starší verze nasazení Microsoft Entra Připojení:

Žádná hesla se nesynchronizují: Řešení potíží pomocí úlohy řešení potíží

Pomocí úlohy řešení potíží můžete zjistit, proč se žádná hesla nesynchronují.

Poznámka:

Úloha řešení potíží je k dispozici pouze pro Microsoft Entra Připojení verze 1.1.614.0 nebo novější.

Spuštění úlohy řešení potíží

Řešení potíží v případě, že se nesynchronizují žádná hesla:

  1. Na serveru Microsoft Entra Připojení otevřete novou relaci Prostředí Windows PowerShell s možností Spustit jako Správa istrator.

  2. Spustit Set-ExecutionPolicy RemoteSigned nebo Set-ExecutionPolicy Unrestricted.

  3. Spusťte průvodce Microsoft Entra Připojení.

  4. Přejděte na stránku Další úkoly , vyberte Poradce při potížích a klikněte na Další.

  5. Na stránce Řešení potíží spusťte v PowerShellu nabídku pro řešení potíží kliknutím na Spustit .

  6. V hlavní nabídce vyberte Řešení potíží se synchronizací hodnot hash hesel.

  7. V pod nabídce vyberte Synchronizaci hodnot hash hesel vůbec nefunguje.

Vysvětlení výsledků úlohy řešení potíží

Úloha řešení potíží provádí následující kontroly:

  • Ověří, že je pro vašeho tenanta Microsoft Entra povolená funkce synchronizace hodnot hash hesel.

  • Ověří, že server Microsoft Entra Připojení není v pracovním režimu.

  • Pro každý existující konektor místní Active Directory (který odpovídá existující doménové struktuře služby Active Directory):

    • Ověří, že je povolená funkce synchronizace hodnot hash hesel.

    • Vyhledá události prezenčních signálů synchronizace hodnot hash hesel v protokolech událostí aplikace systému Windows.

    • Pro každou doménu služby Active Directory v konektoru místní Active Directory:

      • Ověří, že je doména dostupná ze serveru Microsoft Entra Připojení.

      • Ověří, že účty Doména služby Active Directory Services (AD DS) používané konektorem místní Active Directory mají správné uživatelské jméno, heslo a oprávnění vyžadovaná pro synchronizaci hodnot hash hesel.

Následující diagram znázorňuje výsledky rutiny pro jednodoménovou topologii místní Active Directory:

Diagnostic output for password hash synchronization

Zbytek této části popisuje konkrétní výsledky vrácené úkolem a odpovídajícími problémy.

Funkce synchronizace hodnot hash hesel není povolená.

Pokud jste nepovolili synchronizaci hodnot hash hesel pomocí průvodce Microsoft Entra Připojení, vrátí se následující chyba:

password hash synchronization isn't enabled

Server Microsoft Entra Připojení je v pracovním režimu

Pokud je server Microsoft Entra Připojení v pracovním režimu, synchronizace hodnot hash hesel je dočasně zakázaná a vrátí se následující chyba:

Microsoft Entra Connect server is in staging mode

Žádné události prezenčních signálů synchronizace hodnot hash hesel

Každý konektor místní Active Directory má svůj vlastní kanál synchronizace hodnot hash hesel. Když se naváže kanál synchronizace hodnot hash hesel a v protokolu událostí aplikace systému Windows se jednou za 30 minut vygeneruje událost prezentačního signálu (EventId 654). Pro každý konektor místní Active Directory rutina vyhledá odpovídající události prezenčních signálů za poslední tři hodiny. Pokud se nenajde žádná událost prezenčních signálů, vrátí se následující chyba:

No password hash synchronization heart beat event

Účet SLUŽBY AD DS nemá správná oprávnění

Pokud účet služby AD DS, který používá konektor místní Active Directory k synchronizaci hodnot hash hesel, nemá příslušná oprávnění, vrátí se následující chyba:

Screenshot that shows the error that's returned when the AD DS account has an incorrect username or password.

Nesprávné uživatelské jméno nebo heslo účtu SLUŽBY AD DS

Pokud účet služby AD DS používaný konektorem místní Active Directory k synchronizaci hodnot hash hesel obsahuje nesprávné uživatelské jméno nebo heslo, vrátí se následující chyba:

Incorrect credential

Jeden z objektů nesynchronizuje hesla: Řešení potíží pomocí úlohy řešení potíží

Pomocí úlohy řešení potíží můžete určit, proč jeden objekt nesynchronuje hesla.

Poznámka:

Úloha řešení potíží je k dispozici pouze pro Microsoft Entra Připojení verze 1.1.614.0 nebo novější.

Spuštění diagnostické rutiny

Řešení potíží s konkrétním objektem uživatele:

  1. Na serveru Microsoft Entra Připojení otevřete novou relaci Prostředí Windows PowerShell s možností Spustit jako Správa istrator.

  2. Spustit Set-ExecutionPolicy RemoteSigned nebo Set-ExecutionPolicy Unrestricted.

  3. Spusťte průvodce Microsoft Entra Připojení.

  4. Přejděte na stránku Další úkoly , vyberte Poradce při potížích a klikněte na Další.

  5. Na stránce Řešení potíží spusťte v PowerShellu nabídku pro řešení potíží kliknutím na Spustit .

  6. V hlavní nabídce vyberte Řešení potíží se synchronizací hodnot hash hesel.

  7. V podnabídce vyberte Heslo není synchronizováno pro konkrétní uživatelský účet.

Vysvětlení výsledků úlohy řešení potíží

Úloha řešení potíží provádí následující kontroly:

  • Zkontroluje stav objektu služby Active Directory v prostoru konektoru služby Active Directory, metaverse a prostoru konektoru Microsoft Entra.

  • Ověří, jestli jsou povolená synchronizační pravidla se synchronizací hodnot hash hesel a použita pro objekt služby Active Directory.

  • Pokusí se načíst a zobrazit výsledky posledního pokusu o synchronizaci hesla objektu.

Následující diagram znázorňuje výsledky rutiny při řešení potíží se synchronizací hodnot hash hesel pro jeden objekt:

Diagnostic output for password hash synchronization - single object

Zbytek této části popisuje konkrétní výsledky vrácené rutinou a odpovídající problémy.

Objekt Služby Active Directory se neexportuje do MICROSOFT Entra ID.

Synchronizace hodnot hash hesel pro tento účet místní Active Directory selže, protože v tenantovi Microsoft Entra neexistuje žádný odpovídající objekt. Vrátí se následující chyba:

Microsoft Entra object is missing

Uživatel má dočasné heslo.

Starší verze Microsoft Entra Připojení nepodporují synchronizaci dočasných hesel s MICROSOFT Entra ID. Heslo se považuje za dočasné, pokud je u uživatele místní Active Directory nastavena možnost Změnit heslo při příštím přihlášení. Následující chyba se vrátí s těmito staršími verzemi:

Temporary password is not exported

Pokud chcete povolit synchronizaci dočasných hesel, musíte mít nainstalovanou verzi Microsoft Entra Připojení verze 2.0.3.0 nebo vyšší a musí být povolená funkce ForcePasswordChangeOnLogon.

Výsledky posledního pokusu o synchronizaci hesla nejsou k dispozici.

Ve výchozím nastavení microsoft Entra Připojení ukládá výsledky pokusů o synchronizaci hodnot hash hesel po dobu sedmi dnů. Pokud pro vybraný objekt služby Active Directory nejsou k dispozici žádné výsledky, vrátí se následující upozornění:

Diagnostic output for single object - no password sync history

Žádná hesla se nesynchronizují: Řešení potíží pomocí diagnostické rutiny

Pomocí této rutiny Invoke-ADSyncDiagnostics můžete zjistit, proč se nesynchronují žádná hesla.

Poznámka:

Rutina Invoke-ADSyncDiagnostics je dostupná pouze pro Microsoft Entra Připojení verze 1.1.524.0 nebo novější.

Spuštění diagnostické rutiny

Řešení potíží v případě, že se nesynchronizují žádná hesla:

  1. Na serveru Microsoft Entra Připojení otevřete novou relaci Prostředí Windows PowerShell s možností Spustit jako Správa istrator.

  2. Spustit Set-ExecutionPolicy RemoteSigned nebo Set-ExecutionPolicy Unrestricted.

  3. Spusťte Import-Module ADSyncDiagnostics.

  4. Spusťte Invoke-ADSyncDiagnostics -PasswordSync.

Jeden z objektů nesynchronizuje hesla: Řešení potíží pomocí diagnostické rutiny

Pomocí této rutiny Invoke-ADSyncDiagnostics můžete určit, proč jeden objekt nesynchronuje hesla.

Poznámka:

Rutina Invoke-ADSyncDiagnostics je dostupná pouze pro Microsoft Entra Připojení verze 1.1.524.0 nebo novější.

Spuštění diagnostické rutiny

Řešení potíží, kdy se pro uživatele nesynchronují žádná hesla:

  1. Na serveru Microsoft Entra Připojení otevřete novou relaci Prostředí Windows PowerShell s možností Spustit jako Správa istrator.

  2. Spustit Set-ExecutionPolicy RemoteSigned nebo Set-ExecutionPolicy Unrestricted.

  3. Spusťte Import-Module ADSyncDiagnostics.

  4. Spusťte následující rutinu:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>

    Příklad:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"

Žádná hesla se nesynchronizují: Postup ručního řešení potíží

Pokud chcete zjistit, proč se žádná hesla nesynchronují, postupujte takto:

  1. Je server Připojení v pracovním režimu? Server v pracovním režimu nesynchronizuje žádná hesla.

  2. Spusťte skript v části Získání stavu nastavení synchronizace hesel. Poskytuje přehled konfigurace synchronizace hesel.

    PowerShell script output from password sync settings

  3. Pokud tato funkce není povolená v MICROSOFT Entra ID nebo pokud není stav kanálu synchronizace povolen, spusťte průvodce instalací Připojení. Vyberte Možnosti přizpůsobení synchronizace a zrušte výběr synchronizace hesel. Tato změna dočasně zakáže tuto funkci. Pak znovu spusťte průvodce a znovu povolte synchronizaci hesel. Spusťte skript znovu a ověřte správnost konfigurace.

  4. Vyhledejte chyby v protokolu událostí. Vyhledejte následující události, které by značily problém:

    • Zdroj: ID synchronizace adresářů: 0, 611, 652, 655 Pokud se zobrazí tyto události, máte problém s připojením. Zpráva protokolu událostí obsahuje informace o doménové struktuře, kde máte problém.

  5. Pokud se nezobrazí žádný prezentační signál nebo pokud nic jiného nefungovalo, spusťte trigger úplné synchronizace všech hesel. Spusťte skript pouze jednou.

  6. Podívejte se na část Řešení potíží s jedním objektem, který nesynchronuje hesla.

problémy s Připojení ivity

Máte připojení k Microsoft Entra ID?

Má účet požadovaná oprávnění ke čtení hodnot hash hesel ve všech doménách? Pokud jste nainstalovali Připojení pomocí nastavení Expressu, oprávnění by už měla být správná.

Pokud jste použili vlastní instalaci, nastavte oprávnění ručně následujícím způsobem:

  1. Pokud chcete najít účet používaný konektorem služby Active Directory, spusťte Správce synchronizačních služeb.

  2. Přejděte do Připojení orů a vyhledejte místní Active Directory doménovou strukturu, kterou řešíte.

  3. Vyberte spojnici a potom klepněte na příkaz Vlastnosti.

  4. Přejděte do Připojení do doménové struktury služby Active Directory.

    Account used by Active Directory connector
    Poznamenejte si uživatelské jméno a doménu, ve které se účet nachází.

  5. Spusťte Uživatelé a počítače služby Active Directory a ověřte, že účet, který jste našli dříve, má následující oprávnění nastavená v kořenovém adresáři všech domén ve vaší doménové struktuře:

    • Replikace změn adresáře
    • Replikace změn adresáře – Vše

  6. Jsou řadiče domény dostupné společností Microsoft Entra Připojení? Pokud se Připojení server nemůže připojit ke všem řadičům domény, nakonfigurujte pouze upřednostňovaný řadič domény.

    Domain controller used by Active Directory connector

  7. Vraťte se do synchronizačního portálu Service Manager a nakonfigurujte oddíl adresáře.

  8. Vyberte svoji doménu v části Vybrat oddíly adresáře, zaškrtněte políčko Používat pouze upřednostňované řadiče domény a potom klepněte na tlačítko Konfigurovat.

  9. V seznamu zadejte řadiče domény, které Připojení použít pro synchronizaci hesel. Stejný seznam se používá i pro import a export. Tento postup proveďte pro všechny vaše domény.

Poznámka:

Pokud chcete tyto změny použít, restartujte službu Microsoft Entra ID Sync (ADSync).

  1. Pokud skript ukazuje, že neexistuje prezenčních signálů, spusťte skript v triggeru a spusťte úplnou synchronizaci všech hesel.

Jeden z objektů nesynchronizuje hesla: Postup ručního řešení potíží

Problémy se synchronizací hodnot hash hesel můžete snadno vyřešit kontrolou stavu objektu.

  1. V Uživatelé a počítače služby Active Directory vyhledejte uživatele a ověřte, že při příštím přihlášení je zaškrtnuté políčko Uživatel musí změnit heslo.

    Active Directory productive passwords

    Pokud je políčko zaškrtnuté, požádejte uživatele, aby se přihlásil a změnil heslo. Dočasná hesla se nesynchronují s ID Microsoft Entra.

  2. Pokud heslo ve službě Active Directory vypadá správně, postupujte podle uživatele v synchronizačním modulu. Sledováním uživatele z místní Active Directory do Microsoft Entra ID můžete zjistit, jestli objekt obsahuje popisnou chybu.

    a. Spusťte Synchronizační service Manager.

    b. Klikněte na Připojení orů.

    c. Vyberte Připojení služby Active Directory, kde se nachází uživatel.

    d. Vyberte Prohledat Připojení o prostor.

    e. V poli Obor vyberte DN nebo Anchor a zadejte úplný NÁZEV uživatele, který řešíte potíže.

    Search for user in connector space with DN

    f. Vyhledejte uživatele, který hledáte, a kliknutím na příkaz Vlastnosti zobrazte všechny atributy. Pokud uživatel není ve výsledku hledání, ověřte pravidla filtrování a ujistěte se, že spustíte příkaz Použít a ověříte změny, aby se uživatel zobrazil v Připojení.

    g. Pokud chcete zobrazit podrobnosti synchronizace hesel objektu za poslední týden, klikněte na Protokol.

    Object log details

    Pokud je protokol objektu prázdný, služba Microsoft Entra Připojení nemohla číst hodnotu hash hesla ze služby Active Directory. Pokračujte v řešení potíží s chybami Připojení ivity. Pokud se zobrazí jiná hodnota než úspěch, přečtěte si tabulku v protokolu synchronizace hesel.

    h. Vyberte kartu rodokmenu a ujistěte se, že alespoň jedno synchronizační pravidlo ve sloupci PasswordSynchodnotu True. Ve výchozí konfiguraci je název pravidla synchronizace z AD – User AccountEnabled.

    Lineage information about a user

    i. Kliknutím na vlastnosti objektu Metaverse zobrazíte seznam atributů uživatele.

    Screenshot that shows the list of user attributes for the Metaverse Object Properties.

    Ověřte, že neexistuje žádný atribut cloudFiltered . Ujistěte se, že atributy domény (domainFQDN a domainNetBios) mají očekávané hodnoty.

    j. Klikněte na kartu Připojení orů. Přesvědčte se, zda jsou spojnice místní Active Directory i ID Microsoft Entra.

    Metaverse information

    k. Vyberte řádek, který představuje Microsoft Entra ID, klepněte na příkaz Vlastnosti a potom klepněte na kartu Rodokmen . Objekt prostoru konektoru by měl mít odchozí pravidlo ve sloupci PasswordSync nastavené na hodnotu True. Ve výchozí konfiguraci je název pravidla synchronizace out to Microsoft Entra ID - User Join.

    Connector Space Object Properties dialog box

Protokol synchronizace hesel

Sloupec stavu může mít následující hodnoty:

Status Description
Akce proběhla úspěšně Heslo bylo úspěšně synchronizováno.
FilteredByTarget Heslo je nastavené na Uživatel musí při příštím přihlášení změnit heslo. Heslo nebylo synchronizováno.
NoTarget Připojení ion Žádný objekt v metaverse nebo v prostoru konektoru Microsoft Entra.
Zdroj Připojení orNotPresent V prostoru konektoru místní Active Directory nebyl nalezen žádný objekt.
TargetNotExportedToDirectory Objekt v prostoru konektoru Microsoft Entra ještě nebyl exportován.
MigratedCheckDetailsForMoreInfo Položka protokolu byla vytvořena před buildem 1.0.9125.0 a zobrazuje se ve starším stavu.
Chyba Služba vrátila neznámou chybu.
Neznámý Při pokusu o zpracování dávky hodnot hash hesel došlo k chybě.
MissingAttribute Konkrétní atributy (například hash protokolu Kerberos) vyžadované službou Microsoft Entra Domain Services nejsou k dispozici.
RetryRequestedByTarget Konkrétní atributy (například hash protokolu Kerberos) vyžadované službou Microsoft Entra Domain Services nebyly dříve k dispozici. Provede se pokus o opětovnou synchronizaci hodnoty hash hesla uživatele.

Skripty, které vám pomůžou s řešením potíží

Získání stavu nastavení synchronizace hesel

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Aktivace úplné synchronizace všech hesel

Poznámka:

Tento skript spusťte pouze jednou. Pokud ho potřebujete spustit více než jednou, je problém jiný. Pokud chcete tento problém vyřešit, obraťte se na podporu Microsoftu.

Úplnou synchronizaci všech hesel můžete aktivovat pomocí následujícího skriptu:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Další kroky