Problembehandlung für die Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung

Dieses Thema enthält Schritte zum Behandeln von Problemen mit der Kennworthashsynchronisierung. Wenn Kennwörter nicht wie erwartet synchronisiert werden, kann dies für eine Teilmenge von Benutzern oder für alle Benutzer der Fall sein.

Verwenden Sie für die Bereitstellung von Azure Active Directory (Azure AD) Connect mit Version 1.1.614.0 oder höher die Problembehandlungsaufgabe im Assistenten, um Probleme bei der Kennworthashsynchronisierung zu behandeln:

Für die Bereitstellung mit Version 1.1.524.0 oder höher gibt es nun ein Diagnose-Cmdlet, mit dem Sie Probleme bei der Kennworthashsynchronisierung behandeln können:

Bei älteren Versionen von Azure AD Connect-Bereitstellungen:

Kennwörter werden nicht synchronisiert: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Die Problembehandlungsaufgabe ist nur für Azure AD Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen der Problembehandlungsaufgabe

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Azure AD Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Azure AD Connect-Assistenten.

  4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

  5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

  7. Wählen Sie im Untermenü Die Kennworthashsynchronisierung funktioniert überhaupt nicht.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft, ob die Kennworthashsynchronisierungsfunktion für Ihren Azure AD-Mandanten aktiviert ist.

  • Überprüft, dass der Azure AD Connect-Server sich nicht im Stagingmodus befindet.

  • Bei jedem vorhandenen lokalen Active Directory-Connector (entsprechend einer vorhandenen Active Directory-Gesamtstruktur):

    • Überprüft, ob die Kennworthashsynchronisierungsfunktion aktiviert ist.

    • Sucht nach Kennworthashsynchronisierungs-Taktereignissen in den Windows-Anwendungsereignisprotokollen.

    • Bei jeder Active Directory-Domäne unter dem lokalen Active Directory-Connector:

      • Überprüft, dass die Domäne über den Azure AD Connect-Server erreichbar ist.

      • Überprüft, ob der Benutzername, das Kennwort und die für die Kennworthashsynchronisierung erforderlichen Berechtigungen für die AD DS-Konten (Active Directory Domain Services), die vom lokalen Active Directory-Connector verwendet werden, korrekt sind.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets für eine einzelne Domäne in einer lokalen Active Directory-Topologie:

Diagnoseausgabe für die Kennworthashsynchronisierung

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die von der Aufgabe zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Kennworthashsynchronisierungs-Feature ist nicht aktiviert

Wenn Sie die Kennworthashsynchronisierung mithilfe des Azure AD Connect-Assistenten nicht aktiviert haben, wird folgende Fehlermeldung zurückgegeben:

Kennworthashsynchronisierung ist nicht aktiviert

Azure AD Connect-Server befindet sich im Stagingmodus

Wenn sich der Azure AD Connect-Server im Stagingmodus befindet, ist die Kennworthashsynchronisierung vorübergehend deaktiviert, und folgende Fehlermeldung wird zurückgegeben:

Azure AD Connect-Server befindet sich im Stagingmodus

Keine Kennworthashsynchronisierungs-Taktereignisse

Jeder lokale Active Directory-Connector ist mit einem eigenen Kennworthashsynchronisierungskanal ausgestattet. Wenn der Kennworthashsynchronisierungs-Kanal eingerichtet ist und keine Kennwortänderungen synchronisiert werden, wird alle 30 Minuten ein Taktereignis (EventId 654) unter dem Windows-Anwendungsereignisprotokoll generiert. Bei jedem lokalen Active Directory-Connector sucht das Cmdlet für die letzten drei Stunden nach entsprechenden Taktereignissen. Wenn kein Taktereignis gefunden wird, wird folgende Fehlermeldung zurückgegeben:

Kein Kennworthashsynchronisierungs-Taktereignis

AD DS-Konto weist nicht die richtigen Berechtigungen auf

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, nicht über die entsprechenden Berechtigungen verfügt, wird folgende Fehlermeldung zurückgegeben:

Screenshot mit dem Fehler, der zurückgegeben wird, wenn das AD DS-Konto einen falschen Benutzernamen oder ein falsches Kennwort aufweist

Falscher Benutzername oder falsches Kennwort für das AD DS-Konto

Wenn das AD DS-Konto, das vom lokalen Active Directory-Connector zum Synchronisieren von Kennworthashes verwendet wird, mit einem falschen Benutzernamen oder einem falschen Kennwort versehen ist, wird folgende Fehlermeldung zurückgegeben:

Falsche Anmeldeinformationen

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit der Problembehandlungsaufgabe

Mithilfe der Problembehandlungsaufgabe können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Die Problembehandlungsaufgabe ist nur für Azure AD Connect Version 1.1.614.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für ein bestimmtes Benutzerobjekt:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Azure AD Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Starten Sie den Azure AD Connect-Assistenten.

  4. Navigieren Sie zur Seite Weitere Aufgaben, wählen Sie Problembehandlung, und klicken Sie auf Weiter.

  5. Klicken Sie auf der Seite „Problembehandlung“ auf Starten, um das Menü zur Problembehandlung in PowerShell zu starten.

  6. Wählen Sie im Hauptmenü Problembehandlung bei der Kennworthashsynchronisierung.

  7. Wählen Sie im Untermenü Kennwort ist für ein bestimmtes Benutzerkonto nicht synchronisiert.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Überprüft den Status des Active Directory-Objekts im Active Directory-Connectorbereich, in der Metaverse und im Azure AD-Connectorbereich.

  • Überprüft, ob Synchronisierungsregeln für die Kennworthashsynchronisierung aktiviert sind und auf das Active Directory-Objekt angewendet werden.

  • Versucht, die Ergebnisse des letzten Versuchs abzurufen und anzuzeigen, bei dem das Kennwort für das Objekt synchronisiert wurde.

Die folgende Abbildung zeigt die Ergebnisse des Cmdlets bei der Behandlung von Problemen mit der Kennworthashsynchronisierung für ein einzelnes Objekt:

Diagnoseausgabe für die Kennworthashsynchronisierung – einzelnes Objekt

Im restlichen Teil dieses Abschnitts werden bestimmte Ergebnisse, die vom Cmdlet zurückgegeben werden, und die entsprechenden Probleme beschrieben.

Active Directory-Objekt wird nicht nach Azure AD exportiert

Bei der Kennworthashsynchronisierung für dieses lokale Active Directory-Konto ist ein Fehler aufgetreten, da kein entsprechendes Objekt im Azure AD-Mandanten vorhanden ist. Der folgende Fehler wird zurückgegeben:

Azure AD-Objekt fehlt

Benutzer besitzt ein temporäres Kennwort

Gegenwärtig bietet Azure AD Connect keine Unterstützung für die Synchronisierung temporärer Kennwörter mit Azure AD. Ein Kennwort gilt als temporär, wenn die Option Kennwort bei der nächsten Anmeldung ändern für den lokalen Active Directory-Benutzer festgelegt wird. Der folgende Fehler wird zurückgegeben:

Temporäres Kennwort wurde nicht exportiert

Ergebnisse des letzten Versuchs, das Kennwort zu synchronisieren, sind nicht verfügbar

Standardmäßig speichert Azure AD Connect sieben Tage lang die Ergebnisse der Kennworthashsynchronisierungs-Versuche. Wenn keine Ergebnisse für das ausgewählten Active Directory-Objekt verfügbar sind, wird die folgende Warnung zurückgegeben:

Diagnoseausgabe für ein einzelnes Objekt – kein Kennwortsynchronisierungsverlauf

Kennwörter werden nicht synchronisiert: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie herausfinden, warum keine Kennwörter synchronisiert werden.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Azure AD Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Azure AD Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie Invoke-ADSyncDiagnostics -PasswordSync aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Problembehandlung mit dem Diagnose-Cmdlet

Mithilfe des Cmdlets Invoke-ADSyncDiagnostics können Sie bestimmen, warum ein Objekt keine Kennwörter synchronisiert.

Hinweis

Das Cmdlet Invoke-ADSyncDiagnostics ist nur für Azure AD Connect Version 1.1.524.0 oder höher verfügbar.

Ausführen des Diagnose-Cmdlets

So behandeln Sie Probleme für den Fall, dass keine Kennwörter für einen Benutzer synchronisiert werden:

  1. Öffnen Sie mit der Option Als Administrator ausführen eine neue Windows PowerShell-Sitzung auf Ihrem Azure AD Connect-Server.

  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.

  3. Führen Sie Import-Module ADSyncDiagnostics aus.

  4. Führen Sie das folgende Cmdlet aus:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Beispiel:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Kennwörter werden nicht synchronisiert: Schritte zur manuellen Problembehandlung

Führen Sie folgende Schritte durch, um festzustellen, warum keine Kennwörter synchronisiert werden:

  1. Ist der Connect-Server im Stagingmodus? Ein Server im Stagingmodus synchronisiert keine Kennwörter.

  2. Führen Sie das Skript im Abschnitt Abrufen des Status der Kennwortsynchronisierungseinstellungen aus. Dadurch erhalten Sie eine Übersicht über die Konfiguration der Kennwortsynchronisierung.

    PowerShell-Skriptausgabe aus den Kennwortsynchronisierungseinstellungen

  3. Wenn die Funktion nicht in Azure AD aktiviert ist oder der Synchronisierungskanalstatus nicht aktiviert ist, führen Sie den Assistenten zum Installieren von Connect aus. Wählen Sie Synchronisierungsoptionen anpassen aus, und deaktivieren Sie die Kennwortsynchronisierung. Durch diese Änderung wird das Feature vorübergehend deaktiviert. Führen Sie anschließend den Assistenten erneut aus, und aktivieren Sie die Kennwortsynchronisierung wieder. Führen Sie das Skript noch einmal aus, um sicherzustellen, dass die Konfiguration korrekt ist.

  4. Suchen Sie im Ereignisprotokoll nach Fehlern. Suchen Sie nach den folgenden Ereignissen, die auf ein Problem hinweisen würden:

    • Quelle: „Verzeichnissynchronisierung“ ID: 0, 611, 652, 655 Wenn diese Ereignisse angezeigt werden, liegt ein Konnektivitätsproblem vor. Die Ereignisprotokollmeldung enthält Gesamtstrukturinformationen, die ein Problem aufweisen.
  5. Wenn kein Takt angezeigt wird oder nichts funktioniert hat, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus. Führen Sie das Skript nur einmal aus.

  6. Lesen Sie den Abschnitt „Behandlung eines Problems mit einem einzelnen Objekt, das keine Kennwörter synchronisiert“.

Konnektivitätsprobleme

Besteht eine Konnektivität mit Azure AD?

Verfügt das Konto über die erforderlichen Berechtigungen zum Lesen des Kennworthashes in allen Domänen? Wenn Sie Connect mit Express-Einstellungen installiert haben, sollten die Berechtigungen bereits richtig sein.

Wenn Sie eine benutzerdefinierte Installation verwendet haben, legen Sie die Berechtigungen wie folgt manuell fest:

  1. Um nach dem vom Active Directory-Connector verwendete Konto zu suchen, starten Sie den Synchronization Service Manager.

  2. Navigieren Sie zu Connectors, und suchen Sie dann nach der lokalen Active Directory-Gesamtstruktur, für die Sie eine Problembehandlung durchführen.

  3. Wählen Sie den Connector aus, und klicken Sie dann auf Eigenschaften.

  4. Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden.

    Vom Active Directory-Connector verwendetes Konto
    Notieren Sie sich den Benutzernamen und die Domäne, in der sich das Konto befindet.

  5. Starten Sie Active Directory-Benutzer und -Computer, und überprüfen Sie dann, ob für das zuvor gesuchte Konto in der Gesamtstruktur auf der Stammebene aller Domänen die folgenden Berechtigungen festgelegt sind:

    • Verzeichnisänderungen replizieren
    • Verzeichnisänderungen replizieren: Alle
  6. Sind die Domänencontroller durch Azure AD Connect erreichbar? Wenn der Connect-Server mit keinem der Domänencontroller eine Verbindung herstellen kann, konfigurieren Sie Nur bevorzugten Domänencontroller verwenden.

    Vom Active Directory-Connector verwendeter Domänencontroller

  7. Navigieren Sie zurück zum Synchronization Service Manager und Verzeichnispartition konfigurieren.

  8. Wählen Sie unter Verzeichnispartitionen auswählen Ihre Domäne aus, aktivieren Sie das Kontrollkästchen Nur bevorzugten Domänencontroller verwenden, und klicken Sie auf Konfigurieren.

  9. Geben Sie in der Liste die Domänencontroller ein, die Connect zur Kennwortsynchronisierung verwenden soll. Die gleiche Liste wird ebenfalls für den Import und Export verwendet. Führen Sie diese Schritte für alle Ihre Domänen aus.

Hinweis

Um diese Änderungen anzuwenden, starten Sie den Dienst Microsoft Azure AD Sync (AADSync) neu.

  1. Wenn der Skriptausgabe zufolge kein Takt vorhanden ist, führen Sie das Skript unter Auslösen einer vollständigen Synchronisierung aller Kennwörter aus.

Ein einzelnes Objekt synchronisiert keine Kennwörter: Schritte zur manuellen Problembehandlung

Sie können Probleme mit der Kennworthashsynchronisierung einfach beheben, indem Sie den Status eines Objekts überprüfen.

  1. Suchen Sie unter Active Directory-Benutzer und -Computer nach dem Benutzer, und überprüfen Sie dann, ob das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern deaktiviert ist.

    Produktive Active Directory-Kennwörter

    Falls das Kontrollkästchen aktiviert ist, fordern Sie den Benutzer auf, sich anzumelden und das Kennwort zu ändern. Temporäre Kennwörter werden nicht mit Azure AD synchronisiert.

  2. Wenn das Kennwort in Active Directory korrekt aussieht, folgen Sie dem Benutzer im Synchronisierungsmodul. Indem Sie dem Benutzer vom lokalen Active Directory nach Azure AD folgen, können Sie feststellen, ob eine beschreibende Fehlermeldung für das Objekt vorhanden ist.

    a. Starten Sie den Synchronization Service Manager.

    b. Klicken Sie auf Connectors.

    c. Wählen Sie den Active Directory-Connector aus, in dem sich der Benutzer befindet.

    d. Wählen Sie Search Connector Space(Connectorbereich durchsuchen) aus.

    e. Wählen Sie im Feld Bereich die Option DN oder Anker aus, und geben Sie dann den vollständigen DN des Benutzers ein, für den Sie eine Problembehandlung durchführen.

    Suchen nach dem Benutzer im Connectorbereich anhand des DN

    f. Machen Sie den gesuchten Benutzer ausfindig, und klicken Sie auf Eigenschaften, um alle Attribute zu sehen. Wenn der Benutzer nicht im Suchergebnis aufgeführt wird, dann überprüfen Sie Ihre Filterregeln, und stellen Sie sicher, dass Sie die Schritte unter Anwenden und Überprüfen von Änderungen für den Benutzer durchführen, der in Connect angezeigt werden soll.

    g. Klicken Sie auf Protokoll, um die Details zur Kennwortsynchronisierung der letzten Woche für das Objekt anzuzeigen.

    Objektprotokolldetails

    Wenn das Objektprotokoll leer ist, konnte Azure AD Connect den Kennworthash aus Active Directory nicht lesen. Setzen Sie Ihre Problembehandlung mit Verbindungsfehlern fort. Wenn Sie einen anderen Wert als Erfolg sehen, dann schauen Sie in der Tabelle Kennwortsynchronisierungsprotokoll nach.

    h. Klicken Sie auf die Registerkarte Herkunft, und stellen Sie sicher, dass mindestens eine Synchronisierungsregel in der Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Eingehend von AD – Benutzerkonto aktiviert.

    Herkunftsinformationen zu einem Benutzer

    i. Klicken Sie auf Metaverseobjekteigenschaften, um eine Liste von Benutzerattributen anzuzeigen.

    Screenshot der Liste mit Benutzerattributen für die Metaverseobjekteigenschaften

    Stellen Sie sicher, dass kein cloudFiltered-Attribut vorhanden ist. Stellen Sie sicher, dass die Domänenattribute (domainFQDN und domainNetBios) über die erwarteten Werte verfügen.

    j. Klicken Sie auf die Registerkarte Connectors. Stellen Sie sicher, dass Connectors für lokale Active Directory- und Azure AD-Benutzer angezeigt werden.

    Metaverseinformationen

    k. Wählen Sie die Zeile aus, die Azure AD darstellt, und klicken Sie auf Eigenschaften und dann auf die Registerkarte Herkunft. Das Connectorbereichsobjekt sollte über eine ausgehende Regel verfügen, für die die Spalte Kennwortsynchronisierung auf Wahr festgelegt ist. In der Standardkonfiguration lautet der Name der Synchronisierungsregel Out to AAD - User Join(Ausgehend an AAD – Benutzerverknüpfung).

    Dialogfeld „Eigenschaften von Connectorbereichsobjekten“

Kennwortsynchronisierungsprotokoll

Die Statusspalte kann die folgenden Werte enthalten:

Status BESCHREIBUNG
Erfolg Das Kennwort wurde erfolgreich synchronisiert.
FilteredByTarget Das Kennwort wird auf Benutzer muss Kennwort bei der nächsten Anmeldung ändern festgelegt. Das Kennwort wurde nicht synchronisiert.
NoTargetConnection Im Metaverse oder im Azure AD-Connectorbereich befindet sich kein Objekt.
SourceConnectorNotPresent Im lokalen Active Directory Connector-Bereich wurde kein Objekt gefunden.
TargetNotExportedToDirectory Das Objekt im Azure AD-Connectorbereich wurde noch nicht exportiert.
MigratedCheckDetailsForMoreInfo Der Protokolleintrag wurde vor Build 1.0.9125.0 erstellt und wird im Zustand der Vorversion angezeigt.
Fehler Dienst hat einen unbekannten Fehler zurückgegeben.
Unknown Fehler beim Versuch, einen Batch von Kennworthashes zu verarbeiten.
MissingAttribute Bestimmte Attribute (z.B. Kerberos-Hash), die von Azure Active Directory Domain Services angefordert werden, sind nicht verfügbar.
RetryRequestedByTarget Bestimmte Attribute (z.B. Kerberos-Hash), die von Azure Active Directory Domain Services angefordert werden, waren zuvor nicht verfügbar. Es wird versucht, den Kennworthash des Benutzers neu zu synchronisieren.

Hilfe zur Problembehandlung durch Skripts

Abrufen des Status der Kennwortsynchronisierungseinstellungen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Auslösen einer vollständigen Synchronisierung aller Kennwörter

Hinweis

Führen Sie dieses Skript nur einmal aus. Wenn Sie es mehrere Male ausführen müssen, ist etwas anderes das Problem. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Problembehandlung zu erhalten.

Mit dem folgenden Skript können Sie eine vollständige Synchronisierung aller Kennwörter auslösen:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Nächste Schritte