Allgemeine Schritte zur Problembehandlung beim Rückschreiben von Kennwörtern

  • Artikel
  • 4 Minuten Lesedauer

In diesem Artikel werden allgemeine Schritte zur Problembehandlung zum Beheben von Problemen mit dem Kennwortrückschreiben beschrieben. Diese Schritte sind eine gute Möglichkeit, den Prozess zu starten, wenn Sie andere Inhalte abfragen müssen, in denen spezifischere Probleme erläutert werden.

Konzentrieren Sie sich auf das genaue Fehlerszenario

Sie sollten konsistent sein, wie das Kennwortproblem reproduziert oder getestet wird. Verstehen Sie genau, was das Fehlerszenario ist, und lernen Sie die Schritte zur Wiederholung kennen. Da eine Kennwortzurücksetzung und eine Kennwortänderung zwei unterschiedliche Vorgänge sind, konzentrieren Sie sich auf einen Vorgang, und verwenden Sie die gleichen Schritte für diesen Vorgang, um das Problem zu reproduzieren. Der Unterschied zwischen den Vorgängen ist wie folgt.

Vorgang Merkmale
Kennwort zurücksetzen Der Benutzer oder Administrator weiß das aktuelle Kennwort nicht oder gibt es nicht an.
Kennwortänderung Nur ein Benutzer kann eine Kennwortänderung initiieren. Benutzer müssen ihr aktuelles Kennwort eingeben, bevor sie ein neues Kennwort angeben können.

Arbeitskontrast im Vergleich zu nicht arbeitenden Benutzern

Schlägt der Vorgang für einen Benutzer fehl, aber für einen anderen Benutzer erfolgreich? Versuchen Sie in dieser Situation, die Unterschiede zwischen einem arbeits- und einem arbeitsfreien Benutzer zu ermitteln. Sie können die folgenden Schritte ausführen:

  1. Rufen Sie Informationen zu bestimmten Active Directory-Benutzern ab, indem Sie den Ldifde-Befehl oder das PowerShell-Cmdlet "Get-ADUser " ausführen.

  2. Führen Sie Benutzerbefehle in Azure Active Directory PowerShell (Azure AD) aus, um Informationen zu diesen Benutzern in Azure AD abzurufen.

  3. Vergleichen Sie active Directory und Azure AD Informationen zu diesen beiden Benutzern offline, insbesondere in Bezug auf:

    • Administratorrollen und -gruppen
    • Platzierung von Organisationseinheiten
    • Zeitpunkt der letzten Synchronisierung von Objekt und Kennwort
    • Weitere Unterschiede

    Halten Sie diese Informationen während der Problembehandlung praktisch.

Verwenden desselben Domänencontrollers

Versuchen Sie, bei jedem Testen oder Vornehmen von Änderungen denselben Domänencontroller zu verwenden. Um zu steuern, welcher Domänencontroller für Kennwortrückschreibungsvorgänge kontaktiert wird, legen Sie einen einzelnen bevorzugten Domänencontroller im Active Directory-Connector fest, und starten Sie dann den ADSync-Dienst neu. Ändern Sie den bevorzugten Domänencontroller in den nächstgelegenen Domänencontroller, oder verwenden Sie den Domänencontroller, der die Primäre Domänencontroller-Emulatorrolle (PDC) besitzt.

Führen Sie die folgenden Schritte aus, um den bevorzugten Domänencontroller festzulegen:

  1. Öffnen Sie den Synchronization Service Manager. Wählen Sie dazu "Start" aus, geben Sie Azure Ad ein, wählen Sie die Azure AD Verbinden-Gruppe aus, und wählen Sie dann "Synchronisierungsdienst" aus.

  2. Wählen Sie die Registerkarte Connectors aus, und wählen Sie dann den entsprechenden Active Directory-Connector aus. Wählen Sie im Bereich "Aktionen " die Option "Eigenschaften " aus, um das Dialogfeld "Eigenschaften " zu öffnen.

  3. Wählen Sie im Bereich "Connector-Designer " die Option "Verzeichnispartitionen konfigurieren" aus. Wählen Sie im Bereich "Verzeichnispartitionen konfigurieren " eine Verzeichnispartition aus der Liste aus.

  4. Aktivieren Sie in der Gruppe " Domänencontroller-Verbindungseinstellungen " das Kontrollkästchen " Nur bevorzugte Domänencontroller verwenden ". Wählen Sie dann "Konfigurieren" aus.

  5. Nehmen Sie die entsprechenden Änderungen im Dialogfeld "Bevorzugte DCs konfigurieren " vor.

Je nach Problem kann es tatsächlich hilfreich sein, stattdessen verschiedene Domänencontroller auszuprobieren. Anschließend können Sie ermitteln, ob das Problem auf einen bestimmten Domänencontroller oder auf einem beliebigen Domänencontroller isoliert werden kann.

Wenn Sie das Snap-In "Active Directory-Benutzer und -Computer" verwenden, ändern Sie außerdem den verbundenen Domänencontroller in denselben Domänencontroller, den Sie für Azure AD Verbinden verwendet haben. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie das Snap-In "Active Directory-Benutzer und -Computer". Wählen Sie dazu "Start" aus, suchen Sie auf "dsa.msc", und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Domänennamen, und wählen Sie dann das Menüelement " Domänencontroller ändern " aus.

  3. Wählen Sie im Dialogfeld Verzeichnisserver ändern die Option "Dieser Domänencontroller" oder "AD LDS-Instanz " aus.

  4. Wählen Sie in der Liste der Domänencontroller den Domänencontroller aus, der dem für Azure AD Verbinden ausgewählten entspricht, und wählen Sie dann OK aus.

Vorübergehendes Lockern der lokalen Active Directory-Kennwortrichtlinie

Zur Problembehandlung bei Kennwortrückschreibungsvorgängen wird empfohlen, die lokale Active Directory-Kennwortrichtlinie vorübergehend zu ändern. Legen Sie das mindeste Kennwortalter auf Null fest, damit Benutzer ihr Kennwort mehr als einmal hintereinander ändern können. Wenn die Kennwortkomplexität erforderlich ist, verwenden Sie eine Kombination aus Großbuchstaben, Kleinbuchstaben und Ziffern. Da der Kennwortverlauf in der Regel auf die Standardeinstellung von 24 gespeicherten Kennwörtern erzwungen wird, verwenden Sie immer ein anderes Kennwort bei jedem Zurücksetzungs- oder Änderungsversuch. Erhöhen Sie beispielsweise ein ganzzahliges Suffix (1, 2, 3 usw.) für jede Zurücksetzung oder Änderung.

Überprüfen von Anwendungsereignissen mithilfe der Ereignisanzeige

Diese Artikel zur Problembehandlung für bestimmte Kennwortrückschreibungsprobleme enthalten viele Beispiele für Anwendungsereignisse, die Details zu den Problemen bereitstellen. Diese Beispiele zeigen, dass das Ereignisanzeige-Snap-In (Eventvwr.msc) das effektivste Windows-Tool zur Problembehandlung beim Kennwortrückschreiben ist.

Ermitteln des genauen Kontonamens für den AD DS-Connector

Überprüfen Sie den Namen des aktuellen Kontos für den Active Directory-Domänenconnector erneut. Stellen Sie sicher, dass dieses Konto denselben Namen hat wie das Konto, das vom Azure AD Verbinden Server verwendet wird. Informationen zum Suchen dieses Kontonamens finden Sie unter Identifizieren des AD DS-Connector-Kontos.

Erfahren Sie, welche Rückschreibvorgänge unterstützt oder nicht unterstützt werden.

Informationen zu den Listen der unterstützten und nicht unterstützten Kennwortrückschreibungsvorgänge finden Sie unter "Wie funktioniert das Zurücksetzen von Self-Service-Kennwörtern in Azure Active Directory?".