Résoudre les problèmes de synchronisation du hachage de mot de passe avec Azure AD Connect SyncTroubleshoot password hash synchronization with Azure AD Connect sync

Cette rubrique explique comment résoudre les problèmes de synchronisation du hachage de mot de passe.This topic provides steps for how to troubleshoot issues with password hash synchronization. Si les mots de passe ne se synchronisent pas comme prévu, il peut s’agir d’un sous-ensemble d’utilisateurs ou de tous les utilisateurs.If passwords are not synchronizing as expected, it can be either for a subset of users or for all users.

Pour un déploiement d’Azure Active Directory (Azure AD) Connect version 1.1.614.0 ou ultérieure, utilisez la tâche de dépannage de l’Assistant pour résoudre les problèmes de synchronisation du hachage de mot de passe :For Azure Active Directory (Azure AD) Connect deployment with version 1.1.614.0 or after, use the troubleshooting task in the wizard to troubleshoot password hash synchronization issues:

Pour un déploiement de la version 1.1.524.0 ou ultérieure, il existe une cmdlet de diagnostic qui permet de résoudre les problèmes de synchronisation du hachage de mot de passe :For deployment with version 1.1.524.0 or later, there is a diagnostic cmdlet that you can use to troubleshoot password hash synchronization issues:

Pour les versions antérieures de déploiement Azure AD Connect :For older versions of Azure AD Connect deployment:

Aucun mot de passe n’est synchronisé : résoudre les problèmes à l’aide de la tâche de résolution des problèmesNo passwords are synchronized: troubleshoot by using the troubleshooting task

Vous pouvez utiliser la tâche de résolution des problèmes pour déterminer la raison pour laquelle aucun mot de passe n’est synchronisé.You can use the troubleshooting task to figure out why no passwords are synchronized.

Notes

La tâche de résolution des problèmes est uniquement disponible pour Azure AD Connect version 1.1.614.0 ou ultérieure.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Exécuter la tâche de résolution des problèmesRun the troubleshooting task

Pour résoudre les problèmes bloquant la synchronisation de tous les mots de passeTo troubleshoot issues where no passwords are synchronized:

  1. Ouvrez une nouvelle session Windows PowerShell sur votre serveur Azure AD Connect avec l’option Exécuter en tant qu’administrateur.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Exécutez Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Lancez l’Assistant Azure AD Connect.Start the Azure AD Connect wizard.

  4. Accédez à la page Tâches supplémentaires, sélectionnez Résoudre les problèmes, puis cliquez sur Suivant.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Dans la page de résolution des problèmes, cliquez sur Lancer pour ouvrir le menu de dépannage de PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. Dans le menu principal, sélectionnez Résoudre les problèmes de synchronisation du hachage de mot de passe.In the main menu, select Troubleshoot password hash synchronization.

  7. Dans le sous-menu, sélectionnez La synchronisation du hachage de mot de passe ne fonctionne pas du tout.In the sub menu, select Password hash synchronization does not work at all.

Comprendre les résultats de la tâche de résolution des problèmesUnderstand the results of the troubleshooting task

La tâche de résolution des problèmes effectue les vérifications suivantes :The troubleshooting task performs the following checks:

  • Elle vérifie que la fonctionnalité de synchronisation du hachage de mot de passe est activée pour votre client Azure AD.Validates that the password hash synchronization feature is enabled for your Azure AD tenant.

  • Elle vérifie que le serveur Azure AD Connect n’est pas en mode intermédiaire.Validates that the Azure AD Connect server is not in staging mode.

  • Pour chaque connecteur Active Directory local existant (qui correspond à une forêt Active Directory existante) :For each existing on-premises Active Directory connector (which corresponds to an existing Active Directory forest):

    • Elle vérifie que la fonctionnalité de synchronisation du hachage de mot de passe est activée.Validates that the password hash synchronization feature is enabled.

    • Elle recherche les événements de pulsation de synchronisation de hachage de mot de passe dans les Journaux des événements de l’application Windows.Searches for password hash synchronization heartbeat events in the Windows Application Event logs.

    • Pour chaque domaine Active Directory sous le connecteur Active Directory local :For each Active Directory domain under the on-premises Active Directory connector:

      • Elle vérifie que le domaine est accessible à partir du serveur Azure AD Connect.Validates that the domain is reachable from the Azure AD Connect server.

      • Elle vérifie que les comptes Active Directory Domain Services (AD DS) utilisés par le connecteur Active Directory local possèdent le nom d’utilisateur, le mot de passe et les autorisations requis pour la synchronisation du hachage de mot de passe.Validates that the Active Directory Domain Services (AD DS) accounts used by the on-premises Active Directory connector has the correct username, password, and permissions required for password hash synchronization.

L’image suivante illustre les résultats de l’applet de commande pour une topologie Active Directory locale à domaine unique :The following diagram illustrates the results of the cmdlet for a single-domain, on-premises Active Directory topology:

Sortie de diagnostic pour la synchronisation du hachage de mot de passe

Le reste de cette section décrit les résultats qui sont retournés par la tâche et les problèmes correspondants.The rest of this section describes specific results that are returned by the task and corresponding issues.

La fonctionnalité de synchronisation du hachage de mot de passe n’est pas activéepassword hash synchronization feature isn't enabled

Si vous n’avez pas encore activé la synchronisation du hachage de mot de passe avec l’Assistant Azure AD Connect, l’erreur suivante est retournée :If you haven't enabled password hash synchronization by using the Azure AD Connect wizard, the following error is returned:

La synchronisation du hachage de mot de passe n’est pas activée

Le serveur Azure AD Connect est en mode intermédiaireAzure AD Connect server is in staging mode

Si le serveur Azure AD Connect est en mode intermédiaire, la synchronisation du hachage de mot de passe est temporairement désactivée et l’erreur suivante est retournée :If the Azure AD Connect server is in staging mode, password hash synchronization is temporarily disabled, and the following error is returned:

Le serveur Azure AD Connect est en mode intermédiaire

Aucun événement de pulsation de synchronisation du hachage de mot de passeNo password hash synchronization heartbeat events

Chaque connecteur Active Directory local a son propre canal de synchronisation du hachage de mot de passe.Each on-premises Active Directory connector has its own password hash synchronization channel. Quand le canal de synchronisation du hachage de mot de passe est établi et qu’il n’y a aucun changement de mot de passe à synchroniser, un événement de pulsation (EventId 654) est généré toutes les 30 minutes dans le Journal des événements de l’application Windows.When the password hash synchronization channel is established and there aren't any password changes to be synchronized, a heartbeat event (EventId 654) is generated once every 30 minutes under the Windows Application Event Log. Pour chaque connecteur Active Directory local, l’applet de commande recherche les événements de pulsation d’inventaire correspondants au cours des trois dernières heures.For each on-premises Active Directory connector, the cmdlet searches for corresponding heartbeat events in the past three hours. Si aucun événement de pulsation n’est trouvé, l’erreur suivante est retournée :If no heartbeat event is found, the following error is returned:

Aucun événement de pulsation de synchronisation du hachage de mot de passe

Le compte AD DS n’a pas les autorisations appropriéesAD DS account does not have correct permissions

Si le compte AD DS utilisé par le connecteur Active Directory local pour synchroniser les hachages de mot de passe n’a pas les autorisations appropriées, l’erreur suivante est retournée :If the AD DS account that's used by the on-premises Active Directory connector to synchronize password hashes does not have the appropriate permissions, the following error is returned:

Informations d’identification incorrectes

Nom d’utilisateur ou mot de passe du compte AD DS incorrectIncorrect AD DS account username or password

Si le compte AD DS utilisé par le connecteur Active Directory local pour synchroniser les hachages de mot de passe a un nom d’utilisateur ou un mot de passe incorrect, l’erreur suivante est retournée :If the AD DS account used by the on-premises Active Directory connector to synchronize password hashes has an incorrect username or password, the following error is returned:

Informations d’identification incorrectes

Un objet ne synchronise pas les mots de passe : résoudre les problèmes à l’aide de la tâche de résolution des problèmesOne object is not synchronizing passwords: troubleshoot by using the troubleshooting task

Vous pouvez utiliser la tâche de résolution des problèmes pour déterminer la raison pour laquelle un objet ne synchronise pas les mots de passe.You can use the troubleshooting task to determine why one object is not synchronizing passwords.

Notes

La tâche de résolution des problèmes est uniquement disponible pour Azure AD Connect version 1.1.614.0 ou ultérieure.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Exécuter l’applet de commande de diagnosticRun the diagnostics cmdlet

Pour résoudre les problèmes liés à un objet utilisateur :To troubleshoot issues for a specific user object:

  1. Ouvrez une nouvelle session Windows PowerShell sur votre serveur Azure AD Connect avec l’option Exécuter en tant qu’administrateur.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Exécutez Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Lancez l’Assistant Azure AD Connect.Start the Azure AD Connect wizard.

  4. Accédez à la page Tâches supplémentaires, sélectionnez Résoudre les problèmes, puis cliquez sur Suivant.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Dans la page de résolution des problèmes, cliquez sur Lancer pour ouvrir le menu de dépannage de PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. Dans le menu principal, sélectionnez Résoudre les problèmes de synchronisation du hachage de mot de passe.In the main menu, select Troubleshoot password hash synchronization.

  7. Dans le sous-menu, sélectionnez Password is not synchronized for a specific user account (Le mot de passe n’est pas synchronisé pour un compte utilisateur).In the sub menu, select Password is not synchronized for a specific user account.

Comprendre les résultats de la tâche de résolution des problèmesUnderstand the results of the troubleshooting task

La tâche de résolution des problèmes effectue les vérifications suivantes :The troubleshooting task performs the following checks:

  • Elle examine l’état de l’objet Active Directory dans l’espace de connecteur Active Directory, dans le métaverse et dans l’espace de connecteur Azure AD.Examines the state of the Active Directory object in the Active Directory connector space, Metaverse, and Azure AD connector space.

  • Elle vérifie qu’il existe des règles de synchronisation pour lesquelles la synchronisation du hachage de mot de passe est activée et appliquée à l’objet Active Directory.Validates that there are synchronization rules with password hash synchronization enabled and applied to the Active Directory object.

  • Elle tente de récupérer et d’afficher les résultats de la dernière tentative de synchronisation de mot de passe pour l’objet.Attempts to retrieve and display the results of the last attempt to synchronize the password for the object.

Le diagramme suivant illustre les résultats de la cmdlet lors de la résolution des problèmes de synchronisation du hachage de mot de passe pour un seul objet :The following diagram illustrates the results of the cmdlet when troubleshooting password hash synchronization for a single object:

Sortie de diagnostic pour la synchronisation du hachage de mot de passe – objet unique

Le reste de cette section décrit les résultats spécifiques qui sont retournés par l’applet de commande et les problèmes correspondants.The rest of this section describes specific results returned by the cmdlet and corresponding issues.

L’objet Active Directory n’est pas exporté vers Azure ADThe Active Directory object isn't exported to Azure AD

La synchronisation du hachage de mot de passe de ce compte Active Directory local échoue, car il n’existe aucun objet correspondant dans le client Azure AD.password hash synchronization for this on-premises Active Directory account fails because there is no corresponding object in the Azure AD tenant. L'erreur suivante est retournée :The following error is returned:

Objet Azure Active Directory manquant

L’utilisateur a un mot de passe temporaireUser has a temporary password

Actuellement, Azure AD Connect ne prend pas en charge la synchronisation des mots de passe temporaires avec Azure AD.Currently, Azure AD Connect does not support synchronizing temporary passwords with Azure AD. Un mot de passe est considéré comme temporaire si l’option L’utilisateur doit changer le mot de passe à la prochaine ouverture de session est définie pour l’utilisateur Active Directory local.A password is considered to be temporary if the Change password at next logon option is set on the on-premises Active Directory user. L'erreur suivante est retournée :The following error is returned:

Le mot de passe temporaire n’est pas exporté

Les résultats de la dernière tentative de synchronisation de mot de passe ne sont pas disponiblesResults of last attempt to synchronize password aren't available

Par défaut, Azure AD Connect stocke les résultats des tentatives de synchronisation du hachage de mot de passe pendant sept jours.By default, Azure AD Connect stores the results of password hash synchronization attempts for seven days. Si aucun résultat n’est disponible pour l’objet Active Directory sélectionné, l’avertissement suivant est retourné :If there are no results available for the selected Active Directory object, the following warning is returned:

Sortie de diagnostic pour un seul objet - aucun historique de synchronisation de mot de passe

Aucun mot de passe n’est synchronisé : résoudre les problèmes à l’aide de l’applet de commande de diagnosticNo passwords are synchronized: troubleshoot by using the diagnostic cmdlet

Vous pouvez utiliser l’applet de commande Invoke-ADSyncDiagnostics pour déterminer la raison pour laquelle aucun mot de passe n’est synchronisé.You can use the Invoke-ADSyncDiagnostics cmdlet to figure out why no passwords are synchronized.

Notes

L’applet de commande Invoke-ADSyncDiagnostics est disponible uniquement pour Azure AD Connect version 1.1.524.0 ou ultérieure.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Exécuter l’applet de commande de diagnosticRun the diagnostics cmdlet

Pour résoudre les problèmes bloquant la synchronisation de tous les mots de passeTo troubleshoot issues where no passwords are synchronized:

  1. Ouvrez une nouvelle session Windows PowerShell sur votre serveur Azure AD Connect avec l’option Exécuter en tant qu’administrateur.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Exécutez Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Exécutez Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Exécutez Invoke-ADSyncDiagnostics -PasswordSync.Run Invoke-ADSyncDiagnostics -PasswordSync.

Un objet ne synchronise pas les mots de passe : résoudre les problèmes à l’aide de l’applet de commande de diagnosticOne object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet

Vous pouvez utiliser l’applet de commande Invoke-ADSyncDiagnostics pour déterminer pourquoi un objet ne synchronise pas les mots de passe.You can use the Invoke-ADSyncDiagnostics cmdlet to determine why one object is not synchronizing passwords.

Notes

L’applet de commande Invoke-ADSyncDiagnostics est disponible uniquement pour Azure AD Connect version 1.1.524.0 ou ultérieure.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Exécuter l’applet de commande de diagnosticRun the diagnostics cmdlet

Pour résoudre les problèmes liés à l’absence de synchronisation des mots de passe pour un utilisateur :To troubleshoot issues where no passwords are synchronized for a user:

  1. Ouvrez une nouvelle session Windows PowerShell sur votre serveur Azure AD Connect avec l’option Exécuter en tant qu’administrateur.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Exécutez Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Exécutez Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Exécutez l’applet de commande suivante :Run the following cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Par exemple :For example:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Aucun mot de passe n’est synchronisé : étapes de dépannage manuelNo passwords are synchronized: manual troubleshooting steps

Effectuez les étapes suivantes pour déterminer la raison pour laquelle aucun mot de passe n’est synchronisé :Follow these steps to determine why no passwords are synchronized:

  1. Le serveur Connect est-il en mode intermédiaire ?Is the Connect server in staging mode? Un serveur en mode intermédiaire ne synchronise pas les mots de passe.A server in staging mode does not synchronize any passwords.

  2. Exécutez le script dans la section Obtenir l’état des paramètres de synchronisation de mot de passe.Run the script in the Get the status of password sync settings section. Cela vous donne une vue d’ensemble de la configuration de la synchronisation de mot de passe.It gives you an overview of the password sync configuration.

    Sortie de script PowerShell à partir des paramètres de synchronisation de mot de passe

  3. Si cette fonction n’est pas activée dans Azure AD ou si l’état du canal de synchronisation n’est pas activé, exécutez l’Assistant Installation d’Azure AD Connect.If the feature is not enabled in Azure AD or if the sync channel status is not enabled, run the Connect installation wizard. Sélectionnez Personnaliser les options de synchronisation et désélectionnez la synchronisation de mot de passe. Cette modification désactive temporairement la fonction.Select Customize synchronization options, and unselect password sync. This change temporarily disables the feature. Réexécutez l’Assistant, puis réactivez la synchronisation de mot de passe. Réexécutez le script pour vérifier que la configuration est correcte.Then run the wizard again and re-enable password sync. Run the script again to verify that the configuration is correct.

  4. Recherchez des erreurs dans le journal des événements.Look in the event log for errors. Recherchez les événements suivants, qui indiquent un problème :Look for the following events, which would indicate a problem:

    • Source : « Synchronisation d’annuaires » ID : 0, 611, 652, 655 Si vous voyez ces événements, vous avez un problème de connectivité.Source: "Directory synchronization" ID: 0, 611, 652, 655 If you see these events, you have a connectivity problem. Le message du journal des événements contient des informations sur la forêt où vous avez un problème.The event log message contains forest information where you have a problem. Pour plus d’informations, consultez [Problème de connectivité](#connectivity problem).For more information, see [Connectivity problem](#connectivity problem).
  5. Si vous ne voyez aucune pulsation ou que rien d’autre n’a fonctionné, exécutez Déclencher une synchronisation complète de tous les mots de passe.If you see no heartbeat or if nothing else worked, run Trigger a full sync of all passwords. Exécutez le script une seule fois.Run the script only once.

  6. Consultez la section Dépanner un objet qui bloque la synchronisation des mots de passe.See the Troubleshoot one object that is not synchronizing passwords section.

Problèmes de connectivitéConnectivity problems

Avez-vous une connectivité avec Azure AD ?Do you have connectivity with Azure AD?

Le compte dispose-t-il des autorisations requises pour lire les hachages de mot de passe dans tous les domaines ?Does the account have required permissions to read the password hashes in all domains? Si vous avez installé Connect à l’aide des paramètres Express, les autorisations doivent déjà être correctes.If you installed Connect by using Express settings, the permissions should already be correct.

Si vous avez utilisé une installation personnalisée, définissez les autorisations manuellement en procédant comme suit :If you used custom installation, set the permissions manually by doing the following:

  1. Pour trouver le compte utilisé par le connecteur Active Directory, démarrez Synchronization Service Manager.To find the account used by the Active Directory connector, start Synchronization Service Manager.

  2. Accédez à Connecteurs et recherchez la forêt locale Active Directory que vous dépannez.Go to Connectors, and then search for the on-premises Active Directory forest you are troubleshooting.

  3. Sélectionnez le connecteur et cliquez sur Propriétés.Select the connector, and then click Properties.

  4. Accédez à Se connecter à la forêt Active Directory.Go to Connect to Active Directory Forest.

    Compte utilisé par le connecteur Active Directory
    Notez le nom d’utilisateur et le domaine où se trouve le compte.Note the username and the domain where the account is located.

  5. Démarrez Utilisateurs et ordinateurs Active Directory, puis vérifiez que le compte que vous avez trouvé précédemment dispose des autorisations suivantes à la racine de tous les domaines de votre forêt :Start Active Directory Users and Computers, and then verify that the account you found earlier has the follow permissions set at the root of all domains in your forest:

    • Répliquer les changements d’annuairesReplicate Directory Changes
    • Répliquer les changements d’annuaire ToutReplicate Directory Changes All
  6. Les contrôleurs de domaine sont-ils accessibles pour Azure AD Connect ?Are the domain controllers reachable by Azure AD Connect? Si le serveur Connect ne peut pas se connecter à tous les contrôleurs de domaine, vous devez configurer Utiliser uniquement le contrôleur de domaine préféré.If the Connect server cannot connect to all domain controllers, configure Only use preferred domain controller.

    Contrôleur de domaine utilisé par le connecteur Active Directory

  7. Revenez à Synchronization Service Manager et Configurer une partition d’annuaire.Go back to Synchronization Service Manager and Configure Directory Partition.

  8. Sélectionnez votre domaine dans Sélectionner les partitions d’annuaire, cochez la case Utiliser uniquement les contrôleurs de domaine préférés, puis cliquez sur Configurer.Select your domain in Select directory partitions, select the Only use preferred domain controllers check box, and then click Configure.

  9. Dans la liste, entrez les contrôleurs de domaine que Connect doit utiliser pour la synchronisation de mot de passe. La même liste est également utilisée pour importer et exporter.In the list, enter the domain controllers that Connect should use for password sync. The same list is used for import and export as well. Effectuez ces étapes pour tous vos domaines.Do these steps for all your domains.

Notes

Pour appliquer ces modifications, redémarrez le service Microsoft Azure AD Sync (ADSync).To apply these changes, restart the Microsoft Azure AD Sync (ADSync) service.

  1. Si le script indique qu’il n’y a aucune pulsation, exécutez le script Déclencher une synchronisation complète de tous les mots de passe.If the script shows that there is no heartbeat, run the script in Trigger a full sync of all passwords.

Un objet ne synchronise pas les mots de passe : étapes de dépannage manuelOne object is not synchronizing passwords: manual troubleshooting steps

Vous pouvez résoudre facilement les problèmes de synchronisation du hachage de mot de passe en consultant l’état d’un objet.You can easily troubleshoot password hash synchronization issues by reviewing the status of an object.

  1. Dans Utilisateurs et ordinateurs Active Directory, recherchez l’utilisateur, puis vérifiez que la case L’utilisateur doit changer le mot de passe à la prochaine ouverture de session est décochée.In Active Directory Users and Computers, search for the user, and then verify that the User must change password at next logon check box is cleared.

    Mots de passe productifs Active Directory

    Si elle est cochée, demandez à l’utilisateur de se connecter et de changer son mot de passe.If the check box is selected, ask the user to sign in and change the password. Les mots de passe temporaires ne sont pas synchronisés avec Azure AD.Temporary passwords are not synchronized with Azure AD.

  2. Si le mot de passe semble correct dans Active Directory, suivez l’utilisateur dans le moteur de synchronisation.If the password looks correct in Active Directory, follow the user in the sync engine. En suivant l’utilisateur de l’annuaire Active Directory local vers Azure AD, vous pouvez voir si un message d’erreur descriptif apparaît sur l’objet.By following the user from on-premises Active Directory to Azure AD, you can see whether there is a descriptive error on the object.

    a.a. Démarrez Synchronization Service Manager.Start the Synchronization Service Manager.

    b.b. Cliquez sur Connecteurs.Click Connectors.

    c.c. Sélectionnez le Connecteur Active Directory où se trouve l’utilisateur.Select the Active Directory Connector where the user is located.

    d.d. Sélectionnez Search Connector Space(Rechercher l’espace de connecteur).Select Search Connector Space.

    e.e. Dans la zone Étendue, sélectionnez DN ou ancre, puis entrez le nom unique complet de l’utilisateur que vous dépannez.In the Scope box, select DN or Anchor, and then enter the full DN of the user you are troubleshooting.

    Rechercher un utilisateur dans l’espace de connecteur avec le nom unique

    f.f. Localisez l’utilisateur que vous recherchez et cliquez sur Propriétés pour voir tous ses attributs.Locate the user you are looking for, and then click Properties to see all the attributes. Si l’utilisateur n’est pas dans les résultats de la recherche, vérifiez vos règles de filtrage et assurez-vous que vous exécutez Appliquer et vérifier les modifications pour que l’utilisateur apparaisse dans Connect.If the user is not in the search result, verify your filtering rules and make sure that you run Apply and verify changes for the user to appear in Connect.

    g.g. Pour afficher les détails de synchronisation de mot de passe de l’objet pour la semaine écoulée, cliquez sur Journal.To see the password sync details of the object for the past week, click Log.

    Détails d’un journal d’objet

    Si le journal de l’objet est vide, cela signifie qu’Azure AD Connect n’a pas pu lire le hachage de mot de passe à partir d’Active Directory.If the object log is empty, Azure AD Connect has been unable to read the password hash from Active Directory. Continuez la résolution des problèmes avec Erreurs de connectivité.Continue your troubleshooting with Connectivity Errors. Si vous voyez une valeur autre que Réussite, consultez le tableau dans Journal de synchronisation de mot de passe.If you see any other value than success, refer to the table in Password sync log.

    h.h. Sélectionnez l’onglet Lignage et vérifiez qu’au moins une règle de synchronisation dans la colonne PasswordSync est True.Select the lineage tab, and make sure that at least one sync rule in the PasswordSync column is True. Dans la configuration par défaut, le nom de la règle de synchronisation est In from AD - User AccountEnabled.In the default configuration, the name of the sync rule is In from AD - User AccountEnabled.

    Informations de lignage sur un utilisateur

    i.i. Cliquez sur Propriétés de l’objet métaverse pour afficher une liste d’attributs de l’utilisateur.Click Metaverse Object Properties to display a list of user attributes.

    Informations de métaverse

    Vérifiez qu’aucun attribut cloudFiltered n’est présent.Verify that there is no cloudFiltered attribute present. Assurez-vous que les attributs de domaine (domainFQDN et domainNetBios) ont les valeurs attendues.Make sure that the domain attributes (domainFQDN and domainNetBios) have the expected values.

    j.j. Cliquez sur l’onglet Connecteurs. Vérifiez que les connecteurs à Active Directory local et à Azure AD sont visibles.Click the Connectors tab. Make sure that you see connectors to both on-premises Active Directory and Azure AD.

    Informations de métaverse

    k.k. Sélectionnez la ligne qui représente Azure AD, cliquez sur Propriétés, puis sur l’onglet Lignage. L’objet d’espace connecteur doit avoir une règle sortante dans la colonne PasswordSync définie sur True.Select the row that represents Azure AD, click Properties, and then click the Lineage tab. The connector space object should have an outbound rule in the PasswordSync column set to True. Dans la configuration par défaut, le nom de la règle de synchronisation est Out to AAD - User Join.In the default configuration, the name of the sync rule is Out to AAD - User Join.

    Boîte de dialogue Propriétés de l’objet espace connecteur

Journal de synchronisation de mot de passePassword sync log

La colonne Statut peut avoir les valeurs suivantes :The status column can have the following values:

StatutStatus DescriptionDescription
SuccèsSuccess Le mot de passe a été correctement synchronisé.Password has been successfully synchronized.
FilteredByTargetFilteredByTarget Le mot de passe est défini sur L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.Password is set to User must change password at next logon. Mot de passe n'a pas été synchronisé.Password has not been synchronized.
NoTargetConnectionNoTargetConnection Aucun objet dans le métaverse ou dans l'espace de connecteur Azure AD.No object in the metaverse or in the Azure AD connector space.
SourceConnectorNotPresentSourceConnectorNotPresent Aucun objet trouvé dans l'espace de connecteur Active Directory local.No object found in the on-premises Active Directory connector space.
TargetNotExportedToDirectoryTargetNotExportedToDirectory L'objet dans l'espace de connecteur Azure AD n'a pas encore été exporté.The object in the Azure AD connector space has not yet been exported.
MigratedCheckDetailsForMoreInfoMigratedCheckDetailsForMoreInfo L'entrée de journal a été créée avant la version 1.0.9125.0 et est affichée dans son état hérité.Log entry was created before build 1.0.9125.0 and is shown in its legacy state.
ErrorError Le service a renvoyé une erreur inconnue.Service returned an unknown error.
UnknownUnknown Une erreur s’est produite lors de la tentative de traitement d’un lot de hachages de mot de passe.An error occurred while trying to process a batch of password hashes.
MissingAttributeMissingAttribute Des attributs spécifiques (par exemple, le hachage Kerberos) requis par Azure AD Domain Services ne sont pas disponibles.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services are not available.
RetryRequestedByTargetRetryRequestedByTarget Des attributs spécifiques (par exemple, le hachage Kerberos) requis par Azure AD Domain Services n’étaient pas disponibles précédemment.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services were not available previously. Une tentative pour resynchroniser le hachage de mot de passe de l’utilisateur est effectuée.An attempt to resynchronize the user's password hash is made.

Scripts pour faciliter le dépannageScripts to help troubleshooting

Obtenir l’état des paramètres de synchronisation de mot de passeGet the status of password sync settings

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature -ConnectorName $aadConnectors[0].Name
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Déclencher une synchronisation complète de tous les mots de passeTrigger a full sync of all passwords

Notes

Exécutez ce script une seule fois.Run this script only once. Si vous devez l’exécuter plusieurs fois, le problème est ailleurs.If you need to run it more than once, something else is the problem. Pour résoudre le problème, contactez le support technique Microsoft.To troubleshoot the problem, contact Microsoft support.

Vous pouvez déclencher une synchronisation complète de tous les mots de passe à l’aide du script suivant :You can trigger a full sync of all passwords by using the following script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Étapes suivantesNext steps