Helyszíni Microsoft Entra jelszóvédelem hibaelhárítása

  • Cikk

A Microsoft Entra Password Protection üzembe helyezése után előfordulhat, hogy hibaelhárításra van szükség. Ez a cikk részletesen ismerteti a gyakori hibaelhárítási lépéseket.

A tartományvezérlő-ügynök nem talál proxyt a címtárban

A probléma fő tünete a 30017-események a DC-ügynökben Rendszergazda eseménynaplóban.

A probléma szokásos oka az, hogy a proxy még nincs regisztrálva. Ha egy proxy regisztrálva van, az AD replikációs késése némi késéssel járhat, amíg egy adott tartományvezérlő-ügynök nem látja ezt a proxyt.

A tartományvezérlő-ügynök nem tud kommunikálni proxyval

A probléma fő tünete a DC-ügynök 30018-at Rendszergazda eseménynaplójában található események. Ennek a problémának több oka is lehet:

  1. A DC-ügynök a hálózat egy elkülönített részén található, amely nem teszi lehetővé a regisztrált proxy(k) hálózati kapcsolatát. Ez a probléma jóindulatú lehet, amíg más tartományvezérlő-ügynökök kommunikálni tudnak a proxy(ka)val, hogy jelszószabályzatokat töltsenek le az Azure-ból. A letöltést követően ezeket a szabályzatokat az izolált tartományvezérlő a sysvol-megosztásban lévő szabályzatfájlok replikálásával szerzi be.

  2. A proxygazdagép blokkolja az RPC-végpontleképező végponthoz való hozzáférést (135-ös port)

    A Microsoft Entra jelszóvédelmi proxy telepítője automatikusan létrehoz egy Bejövő Windows tűzfalszabályt, amely lehetővé teszi a 135-ös port elérését. Ha ezt a szabályt később törlik vagy letiltják, a tartományvezérlő-ügynökök nem tudnak kommunikálni a proxyszolgáltatással. Ha a beépített Windows tűzfal egy másik tűzfaltermék helyett le lett tiltva, a tűzfalat úgy kell konfigurálnia, hogy engedélyezze a 135-ös port elérését.

  3. A proxygazdagép blokkolja a proxyszolgáltatás által figyelt RPC-végponthoz (dinamikus vagy statikus) való hozzáférést

    A Microsoft Entra jelszóvédelmi proxy telepítője automatikusan létrehoz egy bejövő Windows tűzfalszabályt, amely lehetővé teszi a Microsoft Entra jelszóvédelmi proxyszolgáltatás által figyelt bejövő portokhoz való hozzáférést. Ha ezt a szabályt később törlik vagy letiltják, a tartományvezérlő-ügynökök nem tudnak kommunikálni a proxyszolgáltatással. Ha a beépített Windows tűzfal egy másik tűzfaltermék helyett le lett tiltva, akkor a tűzfalat úgy kell konfigurálnia, hogy lehetővé tegye a Microsoft Entra Jelszóvédelmi proxyszolgáltatás által figyelt bejövő portokhoz való hozzáférést. Ez a konfiguráció pontosabb lehet, ha a proxyszolgáltatás egy adott statikus RPC-port figyelésére van konfigurálva (a Set-AzureADPasswordProtectionProxyConfiguration parancsmag használatával).

  4. A proxygazdagép nincs konfigurálva, hogy a tartományvezérlők bejelentkezhessenek a gépre. Ezt a viselkedést a "Számítógép elérése a hálózatról" felhasználói jogosultság-hozzárendelés szabályozza. Az erdő összes tartományának összes tartományvezérlőjének meg kell adni ezt a jogosultságot. Ez a beállítás gyakran korlátozott egy nagyobb hálózatmegerősítési erőfeszítés részeként.

A proxyszolgáltatás nem tud kommunikálni az Azure-ral

  1. Győződjön meg arról, hogy a proxygép rendelkezik kapcsolattal az üzembe helyezési követelményekben felsorolt végpontokkal.

  2. Győződjön meg arról, hogy az erdő és az összes proxykiszolgáló ugyanarra az Azure-bérlőre van regisztrálva.

    Ezt a követelményt a Get-AzureADPasswordProtectionProxy PowerShell-parancsmagok Get-AzureADPasswordProtectionDCAgent futtatásával ellenőrizheti, majd összehasonlíthatja az AzureTenant egyes visszaadott elemek tulajdonságát. A helyes művelet érdekében a jelentett bérlőnévnek minden tartományvezérlő-ügynök és proxykiszolgáló esetében azonosnak kell lennie.

    Ha létezik egy Azure-bérlőregisztrációs eltérési feltétel, ezt a problémát az és/vagy Register-AzureADPasswordProtectionForest a Register-AzureADPasswordProtectionProxy PowerShell-parancsmagok szükség szerinti futtatásával lehet elhárítani, és minden regisztrációhoz ugyanabból az Azure-bérlőből származó hitelesítő adatokat kell használnia.

A TARTOMÁNYVEZÉRLŐ-ügynök nem tudja titkosítani vagy visszafejteni a jelszóházirend-fájlokat

A Microsoft Entra Password Protection kritikus függőséget élvez a Microsoft Key Distribution Service által biztosított titkosítási és visszafejtési funkcióktól. A titkosítási vagy visszafejtési hibák számos tünettel jelentkezhetnek, és számos lehetséges oka lehet.

  1. Győződjön meg arról, hogy a KDS szolgáltatás engedélyezve van és működik egy tartományban lévő összes Windows Server 2012- és újabb tartományvezérlőn.

    Alapértelmezés szerint a KDS-szolgáltatás szolgáltatásindítási módja manuálisként van konfigurálva (trigger indítása). Ez a konfiguráció azt jelenti, hogy amikor az ügyfél először próbálja meg használni a szolgáltatást, igény szerint elindul. Ez az alapértelmezett szolgáltatásindítási mód elfogadható a Microsoft Entra Password Protection működéséhez.

    Ha a KDS szolgáltatás indítási módja le van tiltva, ezt a konfigurációt ki kell javítani, mielőtt a Microsoft Entra Password Protection megfelelően működjön.

    A probléma egyszerű tesztelése a KDS szolgáltatás manuális indítása a Service Management MMC-konzolon vagy más felügyeleti eszközök használatával (például futtassa a "net start kdssvc" parancsot egy parancssori konzolon). A KDS szolgáltatás várhatóan sikeresen elindul, és továbbra is fut.

    A KDS szolgáltatás indításának leggyakoribb kiváltó oka az, hogy az Active Directory tartományvezérlő objektuma az alapértelmezett tartományvezérlők szervezeti egységén kívül található. Ezt a konfigurációt a KDS szolgáltatás nem támogatja, és nem korlátozza a Microsoft Entra Password Protection. Ennek a feltételnek a javítása az, hogy a tartományvezérlő objektumát az alapértelmezett tartományvezérlők szervezeti egységében lévő helyre helyezi át.

  2. A nem kompatibilis KDS titkosított pufferformátum a Windows Server 2012 R2-ről Windows Server 2016-ra változik

    A Windows Server 2016-ban bevezettek egy KDS biztonsági javítást, amely módosítja a KDS titkosított pufferek formátumát; ezek a pufferek időnként nem lesznek visszafejtve a Windows Server 2012 és a Windows Server 2012 R2 rendszeren. A fordított irány rendben van – a Windows Server 2012-en és a Windows Server 2012 R2-n KDS-titkosítással ellátott pufferek mindig sikeresen visszafejthetők a Windows Server 2016 és újabb rendszereken. Ha az Active Directory-tartományok tartományvezérlői vegyesen futtatják ezeket az operációs rendszereket, előfordulhat, hogy a Microsoft Entra Password Protection visszafejtési hibái is előfordulnak. A biztonsági javítás jellegéből adódóan nem lehet pontosan megjósolni ezeknek a hibáknak az időzítését vagy tüneteit, és mivel nem determinisztikus, hogy melyik Microsoft Entra Password Protection tartományvezérlő mely tartományvezérlőjén titkosítja az adatokat egy adott időpontban.

    A probléma megoldásához nincs más megoldás, mint hogy az Active Directory-tartomány(ok)ban ne futtassa az ilyen nem kompatibilis operációs rendszerek kombinációját. Más szóval csak Windows Server 2012 és Windows Server 2012 R2 rendszerű tartományvezérlőket kell futtatnia, VAGY csak a Windows Server 2016-ot és a fenti tartományvezérlőket kell futtatnia.

A DC-ügynök szerint az erdő nincs regisztrálva

A probléma tünete a 30016-os események naplózása a DC Agent\Rendszergazda csatornán, amely részben a következőhöz hasonló:

The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.

A probléma két lehetséges oka lehet.

  1. Az erdőt valóban nem regisztrálták. A probléma megoldásához futtassa a Register-AzureADPasswordProtectionForest parancsot az üzembe helyezési követelményekben leírtak szerint.
  2. Az erdő regisztrálva van, de a tartományvezérlő ügynök nem tudja visszafejteni az erdőregisztrációs adatokat. Ennek az esetnek ugyanaz a kiváltó oka, mint a 2. probléma, amely a dc agent alatt szerepel, nem tudja titkosítani vagy visszafejteni a jelszóházirend-fájlokat. Ezt az elméletet könnyen megerősítheti, hogy ezt a hibát csak a Windows Server 2012 vagy Windows Server 2012R2 tartományvezérlőken futó tartományvezérlőknél fogja látni, míg a Windows Server 2016-on és újabb tartományvezérlőkön futó tartományvezérlők rendben vannak. A megkerülő megoldás ugyanaz: frissítse az összes tartományvezérlőt Windows Server 2016-ra vagy újabb verzióra.

A gyenge jelszavakat elfogadjuk, de nem szabad

Ennek a problémának több oka is lehet.

  1. A DC-ügynök(ek) egy lejárt, nyilvános előzetes verziójú szoftververziót futtatnak. A nyilvános előzetes verziójú DC-ügynök szoftvere lejárt.

  2. A tartományvezérlő-ügynök(ek) nem tudják letölteni a szabályzatot, vagy nem tudják visszafejteni a meglévő szabályzatokat. Ellenőrizze a lehetséges okokat a fenti témakörökben.

  3. A jelszóházirend kényszerítése mód továbbra is naplózásra van állítva. Ha ez a konfiguráció érvényben van, konfigurálja újra a Microsoft Entra Password Protection portál használatával kényszerítés gombra. További információ: Üzemmódok.

  4. A jelszóházirend le lett tiltva. Ha ez a konfiguráció érvényben van, konfigurálja újra úgy, hogy engedélyezve legyen a Microsoft Entra Password Protection portálon. További információ: Üzemmódok.

  5. Nem telepítette a DC-ügynök szoftverét a tartomány összes tartományvezérlőjén. Ebben az esetben nehéz biztosítani, hogy a távoli Windows-ügyfelek egy adott tartományvezérlőt céloznak meg a jelszómódosítási művelet során. Ha úgy gondolja, hogy sikeresen megcélzott egy adott tartományvezérlőt, ahol a tartományvezérlő-ügynök szoftver telepítve van, a DC-ügynök rendszergazdai eseménynaplójának dupla ellenőrzésével ellenőrizheti: az eredménytől függetlenül legalább egy esemény dokumentálja a jelszóérvényesítés eredményét. Ha nincs esemény azon felhasználó számára, akinek a jelszavát módosították, akkor a jelszómódosítást valószínűleg egy másik tartományvezérlő dolgozza fel.

    Alternatív tesztként próbálja meg beállítani\módosítani a jelszavakat, miközben közvetlenül egy olyan tartományvezérlőre jelentkezik be, ahol a tartományvezérlő ügynök szoftvere telepítve van. Ez a technika éles Active Directory-tartományokhoz nem ajánlott.

    Bár a tartományvezérlő-ügynök szoftver növekményes üzembe helyezését ezen korlátozások támogatják, a Microsoft határozottan javasolja, hogy a tartományvezérlő-ügynök szoftvere a lehető leghamarabb települjön a tartomány összes tartományvezérlőjén.

  6. Előfordulhat, hogy a jelszó-érvényesítési algoritmus a várt módon működik. Tekintse meg a jelszavak kiértékelésének módját.

Az Ntdsutil.exe nem állít be gyenge DSRM-jelszót

Az Active Directory mindig érvényesít egy új Címtárszolgáltatások javítási módú jelszót, hogy biztosan megfeleljen a tartomány jelszó-összetettségi követelményeinek; ez az ellenőrzés jelszószűrő dll-eket is meghív, például a Microsoft Entra Password Protectiont. Ha a rendszer elutasítja az új DSRM-jelszót, a következő hibaüzenet jelenik meg:

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Amikor a Microsoft Entra Password Protection naplózza az Active Directory DSRM-jelszó jelszóérvényesítési eseménynapló-eseményeit, az eseménynapló-üzenetek nem fognak felhasználónevet tartalmazni. Ez a viselkedés azért fordul elő, mert a DSRM-fiók egy helyi fiók, amely nem része a tényleges Active Directory-tartománynak.

A tartományvezérlő replika-előléptetése meghiúsul egy gyenge DSRM-jelszó miatt

A tartományvezérlő-előléptetési folyamat során a címtárszolgáltatások új javítási módjának jelszava a tartomány egy meglévő tartományvezérlőjének lesz elküldve ellenőrzés céljából. Ha a rendszer elutasítja az új DSRM-jelszót, a következő hibaüzenet jelenik meg:

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.

A fenti problémához hasonlóan minden Microsoft Entra Password Protection jelszóérvényesítési eredményeseményhez üres felhasználónevek tartoznak ehhez a forgatókönyvhöz.

A tartományvezérlő lefokozása meghiúsul egy gyenge helyi Rendszergazda istrator-jelszó miatt

Támogatott egy olyan tartományvezérlő lefokozása, amely továbbra is a DC-ügynökszoftvert futtatja. Rendszergazda istratoroknak azonban tisztában kell lenniük azzal, hogy a DC-ügynök szoftvere a lefokozási eljárás során továbbra is kikényszeríti az aktuális jelszóházirendet. Az új helyi Rendszergazda istrator-fiókjelszó (a lefokozási művelet részeként megadva) ugyanúgy érvényesítve lesz, mint bármely más jelszó. A Microsoft azt javasolja, hogy a dc-lefokozási eljárás részeként biztonságos jelszavakat válasszanak a helyi Rendszergazda istrator-fiókokhoz.

Miután a lefokozás sikeres volt, és a tartományvezérlő újraindult, és ismét normál tagkiszolgálóként fut, a TARTOMÁNYVEZÉRLŐ-ügynök szoftvere passzív módba vált. Ezután bármikor eltávolítható.

Rendszerindítás a Címtárszolgáltatások javítási módjába

Ha a tartományvezérlőt Címtárszolgáltatások javítási módba indítják, a tartományvezérlő-ügynök jelszószűrő dll-je észleli ezt a feltételt, és az aktuálisan aktív szabályzatkonfigurációtól függetlenül minden jelszó-érvényesítési vagy kényszerítési tevékenység le lesz tiltva. A DC-ügynök jelszószűrő dll-je egy 10023-ra figyelmeztető eseményt naplóz az Rendszergazda eseménynaplóba, például:

The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.

Lejárt a nyilvános előzetes verziójú tartományvezérlő-ügynök szoftvere

A Microsoft Entra Password Protection nyilvános előzetes verziós időszakában a DC-ügynök szoftvere nehezen kódolt, hogy a következő dátumokon ne dolgozza fel a jelszóérvényesítési kérelmeket:

  • Version 1.2.65.0 will stop processing password validation requests on September 1 2019.
  • Version 1.2.25.0 and prior stopped processing password validation requests on July 1 2019.

A határidő közeledtével a tartományvezérlő-ügynök minden időkorlátos verziója 10021-eseményt bocsát ki a DC-ügynök Rendszergazda eseménynaplóban a következőhöz hasonló indítási időpontban:

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message will not be repeated until the next reboot.

A határidő lejárta után a tartományvezérlő-ügynök minden korlátozott verziója 10022-eseményt bocsát ki a DC-ügynök Rendszergazda eseménynaplóban a következőhöz hasonló indítási időpontban:

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages will be logged until after the next reboot.

Mivel a határidő csak a kezdeti rendszerindításkor van bejelölve, előfordulhat, hogy ezek az események csak a naptári határidő lejárta után láthatók. A határidő felismerése után sem a tartományvezérlőre, sem a nagyobb környezetre nem lesz negatív hatással a rendszer, kivéve az összes jelszót, automatikusan jóváhagyja.

Fontos

A Microsoft azt javasolja, hogy a lejárt nyilvános előzetes verziójú DC-ügynökök azonnal frissítsenek a legújabb verzióra.

A frissítendő DC-ügynökök felderítésének egy egyszerű módja a Get-AzureADPasswordProtectionDCAgent parancsmag futtatásával, például:

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

Ebben a témakörben a SoftwareVersion mező nyilvánvalóan a vizsgálandó kulcstulajdonság. A PowerShell-szűrés használatával kiszűrheti azokat a DC-ügynököket is, amelyek már a szükséges alapverziónál vagy annál nagyobbak, például:

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

A Microsoft Entra jelszóvédelmi proxyszoftvere egyetlen verzióban sem korlátozott. A Microsoft továbbra is azt javasolja, hogy a dc és a proxyügynököket is frissítsen a legújabb verziókra a kiadásukkor. A Get-AzureADPasswordProtectionProxy parancsmag használható olyan proxyügynökök megkeresésére, amelyek frissítésre szorulnak, hasonlóan a dc-ügynökökre vonatkozó fenti példához.

Az egyes frissítési eljárásokkal kapcsolatos további részletekért tekintse meg a DC-ügynök frissítését és a proxyszolgáltatás frissítését.

Vészhelyzeti szervizelés

Ha olyan helyzet áll elő, amikor a DC-ügynök szolgáltatás problémákat okoz, előfordulhat, hogy a DC-ügynök szolgáltatás azonnal leáll. A DC-ügynök jelszószűrő dll-je továbbra is megpróbálja meghívni a nem futó szolgáltatást, és figyelmeztetési eseményeket naplóz (10012, 10013), de ez idő alatt az összes bejövő jelszó el lesz fogadva. A DC-ügynökszolgáltatás ezután konfigurálható a Windows Service Control Manageren keresztül is, szükség esetén "Letiltva" indítási típussal.

Egy másik szervizelési intézkedés az Engedélyezés mód beállítása Nem értékre a Microsoft Entra Password Protection portálon. Miután letöltötte a frissített szabályzatot, minden DC-ügynökszolgáltatás egy furcsa módba kerül, ahol a rendszer minden jelszót elfogad. További információ: Üzemmódok.

Eltávolítása

Ha úgy dönt, hogy eltávolítja a Microsoft Entra jelszóvédelmi szoftvert, és törli az összes kapcsolódó állapotot a tartomány(ok)ból és erdőből, ez a feladat az alábbi lépések végrehajtásával hajtható végre:

Fontos

Fontos, hogy ezeket a lépéseket sorrendben hajtsa végre. Ha a proxyszolgáltatás bármelyik példánya fut, rendszeres időközönként újra létrehozza a szolgáltatását Csatlakozás ionPoint-objektumot. Ha a DC-ügynökszolgáltatás bármelyik példánya fut, rendszeres időközönként újra létrehozza a szolgáltatását Csatlakozás ionPoint-objektumot és a sysvol állapotot.

  1. Távolítsa el a proxyszoftvert az összes gépről. Ehhez a lépéshez nincs szükség újraindításra.

  2. Távolítsa el a DC Agent szoftvert az összes tartományvezérlőről. Ez a lépés újraindítást igényel .

  3. Manuálisan távolítsa el az összes proxyszolgáltatás-kapcsolati pontot az egyes tartományelnevezési környezetekben. Az objektumok helyét a következő Active Directory PowerShell-paranccsal lehet felderíteni:

    $scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Ne hagyja ki a csillagot ("*") a $keywords változó értékének végén.

    A parancson keresztül Get-ADObject talált eredményként kapott objektum(ok) ezután manuálisan is befuttathatók Remove-ADObjectvagy törölhetők.

  4. Manuálisan távolítsa el az összes tartományvezérlő-ügynök csatlakozási pontot az egyes tartományelnevezési környezetekben. Az erdőben tartományvezérlőnként egy ilyen objektum lehet, attól függően, hogy a szoftver milyen széles körben lett üzembe helyezve. Az objektum helyét a következő Active Directory PowerShell-paranccsal lehet felderíteni:

    $scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    A parancson keresztül Get-ADObject talált eredményként kapott objektum(ok) ezután manuálisan is befuttathatók Remove-ADObjectvagy törölhetők.

    Ne hagyja ki a csillagot ("*") a $keywords változó értékének végén.

  5. Távolítsa el manuálisan az erdőszintű konfigurációs állapotot. Az erdő konfigurációs állapota az Active Directory konfigurációs elnevezési környezetében található tárolóban van fenntartva. Az alábbiak szerint deríthető fel és törölhető:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

  6. Az összes sysvol-hez kapcsolódó állapot manuális eltávolításához törölje manuálisan a következő mappát és annak tartalmát:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    Szükség esetén ez az elérési út helyileg is elérhető egy adott tartományvezérlőn; az alapértelmezett hely az alábbi elérési úthoz hasonló:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    Ez az elérési út eltérő, ha a sysvol-megosztás nem alapértelmezett helyen lett konfigurálva.

Állapottesztelés PowerShell-parancsmagokkal

Az AzureADPasswordProtection PowerShell modul két, az állapottal kapcsolatos parancsmagot tartalmaz, amelyek alapszintű ellenőrzést végeznek a szoftver telepítése és működése során. It is a good idea to run these cmdlets after setting up a new deployment, periodically thereafter, and when a problem is being investigated.

Minden egyes állapotteszt egy alapszintű sikeres vagy sikertelen eredményt ad vissza, valamint egy nem kötelező üzenetet a hibáról. Ha a hiba oka nem egyértelmű, keressen olyan hibaesemény-naplóüzeneteket, amelyek megmagyarázhatják a hibát. A szöveges naplóüzenetek engedélyezése is hasznos lehet. További részletekért tekintse meg a Microsoft Entra Jelszóvédelem figyelése című témakört.

Proxyállapot-tesztelés

A Test-AzureADPasswordProtectionProxyHealth parancsmag két, egyenként futtatható állapottesztet támogat. A harmadik mód lehetővé teszi az összes olyan teszt futtatását, amely nem igényel paraméterbemenetet.

Proxyregisztráció ellenőrzése

Ez a teszt ellenőrzi, hogy a proxyügynök megfelelően regisztrálva van-e az Azure-ban, és képes-e hitelesíteni az Azure-ban. A sikeres futtatás a következőképpen fog kinézni:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Passed

Hiba észlelése esetén a teszt sikertelen eredményt és opcionális hibaüzenetet ad vissza. Íme egy példa egy lehetséges hibára:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.

A végpontok közötti Azure-kapcsolatok proxyellenőrzése

Ez a teszt a -VerifyProxyRegistration teszt szuperhalmaza. Megköveteli, hogy a proxyügynök megfelelően regisztrálva legyen az Azure-ban, képes legyen hitelesíteni az Azure-ban, és végül ellenőrizze, hogy egy üzenet sikeresen elküldhető-e az Azure-ba, így ellenőrizve, hogy működik-e a teljes körű kommunikáció.

A sikeres futtatás a következőképpen fog kinézni:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyAzureConnectivity Passed

Az összes teszt proxyellenőrzése

Ez a mód lehetővé teszi a parancsmag által támogatott összes olyan teszt tömeges futtatását, amely nem igényel paraméterbemenetet. A sikeres futtatás a következőképpen fog kinézni:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyTLSConfiguration  Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed

DC-ügynök állapottesztelése

A Test-AzureADPasswordProtectionDCAgentHealth parancsmag számos, egyenként futtatható állapottesztet támogat. A harmadik mód lehetővé teszi az összes olyan teszt futtatását, amely nem igényel paraméterbemenetet.

Alapszintű DC-ügynökállapot-tesztek

Az alábbi tesztek egyenként futtathatók, és nem fogadnak el paramétereket. Az egyes tesztek rövid leírása az alábbi táblázatban található.

DC-ügynök állapottesztje Leírás
-VerifyPasswordFilterDll Ellenőrzi, hogy a jelszószűrő DLL jelenleg betöltve van-e, és képes-e meghívni a DC agent szolgáltatást
-VerifyForestRegistration Ellenőrzi, hogy az erdő jelenleg regisztrálva van-e
-VerifyEncryptionDecryption Ellenőrzi, hogy az alapszintű titkosítás és visszafejtés működik-e a Microsoft KDS szolgáltatással
-VerifyDomainIsUsingDFSR Ellenőrzi, hogy az aktuális tartomány elosztott fájlrendszer-replikációs szolgáltatást használ-e a sysvol replikációhoz
-VerifyAzure Csatlakozás ivity Ellenőrzi, hogy az Azure-ral folytatott végpontok közötti kommunikáció működik-e bármilyen elérhető proxy használatával

Íme egy példa a -VerifyPasswordFilterDll teszt átadására; a többi teszt a sikerhez hasonlóan fog kinézni:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyPasswordFilterDll Passed

Az összes teszt DC-ügynök általi ellenőrzése

Ez a mód lehetővé teszi a parancsmag által támogatott összes olyan teszt tömeges futtatását, amely nem igényel paraméterbemenetet. A sikeres futtatás a következőképpen fog kinézni:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll

DiagnosticName             Result AdditionalInfo
--------------             ------ --------------
VerifyPasswordFilterDll    Passed
VerifyForestRegistration   Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR    Passed
VerifyAzureConnectivity    Passed

Csatlakozás tivitástesztelés adott proxykiszolgálók használatával

Számos hibaelhárítási helyzethez tartozik a tartományvezérlő-ügynökök és proxyk közötti hálózati kapcsolat vizsgálata. Két állapotteszt áll rendelkezésre, amelyek kifejezetten az ilyen problémákra összpontosítanak. Ezekhez a tesztekhez meg kell adni egy adott proxykiszolgálót.

Egy tartományvezérlő-ügynök és egy adott proxy közötti kapcsolat ellenőrzése

Ez a teszt ellenőrzi a tartományvezérlő-ügynök és a proxy közötti első kommunikációs lábon keresztüli kapcsolatot. Ellenőrzi, hogy a proxy fogadja-e a hívást, de nincs kapcsolat az Azure-ral. A sikeres futtatás a következőképpen néz ki:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Passed

Íme egy példa hibafeltétel, amelyben a célkiszolgálón futó proxyszolgáltatás le lett állítva:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.

A DC-ügynök és az Azure közötti kapcsolat ellenőrzése (adott proxy használatával)

Ez a teszt egy adott proxy használatával ellenőrzi a dc-ügynök és az Azure közötti teljes körű kapcsolatot. A sikeres futtatás a következőképpen néz ki:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com

DiagnosticName                          Result AdditionalInfo
--------------                          ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed

További lépések

A Microsoft Entra Jelszóvédelemmel kapcsolatos gyakori kérdések

A globális és egyéni tiltott jelszólistákról további információt a Hibás jelszavak tiltása című cikkben talál.