Share via

Pemecahan masalah: Perlindungan Kata Sandi Microsoft Entra lokal

  • Artikel

Setelah penyebaran Perlindungan Kata Sandi Microsoft Entra, pemecahan masalah mungkin diperlukan. Artikel ini menjelaskan secara rinci untuk membantu Anda memahami beberapa langkah pemecahan masalah umum.

Agen DC tidak dapat menemukan proksi di direktori

Gejala utama dari masalah ini adalah aktivitas 30017 di log aktivitas Admin agen DC.

Penyebab umum masalah ini adalah bahwa proksi belum terdaftar. Jika proksi telah terdaftar, mungkin ada sedikit keterlambatan dikarenakan oleh latensi replikasi AD, dan terjadi hingga agen DC tertentu dapat melihat proksi tersebut.

Agen DC tidak dapat berkomunikasi dengan proksi

Gejala utama dari masalah ini adalah aktivitas 30018 di log aktivitas Admin agen DC. Masalah ini mungkin memiliki beberapa kemungkinan penyebab:

  1. Agen DC terletak di bagian terisolasi dari jaringan yang tidak memungkinkan konektivitas jaringan ke proksi terdaftar. Masalah ini mungkin tidak berdampak besar selama agen DC lainnya dapat berkomunikasi dengan proksi untuk mengunduh kebijakan sandi dari Azure. Setelah diunduh, kebijakan tersebut kemudian akan diperoleh oleh DC yang terisolasi melalui replikasi file kebijakan di berbagi sysvol.

  2. Mesin host proksi memblokir akses ke titik akhir pemetaan titik akhir RPC (port 135)

    Alat penginstal Proksi Perlindungan Kata Sandi Microsoft Entra secara otomatis membuat aturan masuk Windows Firewall yang memungkinkan akses ke port 135. Jika aturan ini nantinya dihapus atau dinonaktifkan, agen DC tidak akan bisa berkomunikasi dengan layanan Proksi. Jika Windows Firewall bawaan telah dinonaktifkan sebagai pengganti produk firewall lain, Anda harus mengonfigurasi firewall tersebut untuk mengizinkan akses ke port 135.

  3. Mesin host proksi memblokir akses ke titik akhir RPC (dinamis atau statis) yang didengarkan oleh layanan Proksi

    Alat penginstal Proksi Perlindungan Kata Sandi Microsoft Entra secara otomatis membuat aturan masuk Windows Firewall yang memungkinkan akses ke port masuk apa pun yang didengarkan oleh layanan Proksi Perlindungan Kata Sandi Microsoft Entra. Jika aturan ini nantinya dihapus atau dinonaktifkan, agen DC tidak akan bisa berkomunikasi dengan layanan Proksi. Jika Windows Firewall bawaan telah dinonaktifkan sebagai pengganti produk firewall lain, Anda harus mengonfigurasi firewall tersebut untuk mengizinkan akses ke port masuk yang didengarkan oleh layanan Proksi Perlindungan Kata Sandi Microsoft Entra. Konfigurasi ini dapat dibuat lebih spesifik jika layanan Proksi telah dikonfigurasi untuk mendengarkan port RPC statis tertentu (menggunakan cmdlet Set-AzureADPasswordProtectionProxyConfiguration).

  4. Mesin host proksi tidak dikonfigurasi untuk memberikan pengontrol domain kemampuan untuk masuk ke mesin. Perilaku ini dikontrol melalui penetapan hak istimewa pengguna "Akses komputer ini dari jaringan". Semua pengontrol domain di semua domain di forest harus diberikan hak istimewa ini. Pengaturan ini sering dibatasi sebagai bagian dari upaya memperkuat jaringan yang lebih besar.

Layanan proksi tidak dapat berkomunikasi dengan Azure

  1. Pastikan mesin proxy memiliki konektivitas ke titik akhir yang tercantum dalam syarat penerapan.

  2. Pastikan bahwa forest dan semua server proksi terdaftar terhadap penyewa Azure yang sama.

    Anda dapat memeriksa persyaratan ini dengan menjalankan cmdlet PowerShell cmdlets Get-AzureADPasswordProtectionProxy dan Get-AzureADPasswordProtectionDCAgent, lalu membandingkan properti AzureTenant dari setiap item yang dikembalikan. Untuk pengoperasian yang benar, nama penyewa yang dilaporkan harus sama di semua agen DC dan server proksi.

    Jika kondisi ketidakcocokan pendaftaran penyewa Azure memang ada, masalah ini dapat diperbaiki dengan menjalankan cmdlet PowerShell Register-AzureADPasswordProtectionProxy dan/atau Register-AzureADPasswordProtectionForest sesuai kebutuhan, pastikan untuk menggunakan info masuk dari penyewa Azure yang sama untuk semua pendaftaran.

Agen DC tidak dapat mengenkripsi atau mendekripsi file kebijakan sandi

Perlindungan Kata Sandi Microsoft Entra memiliki dependensi penting pada fungsionalitas enkripsi dan dekripsi yang disediakan oleh Layanan Distribusi Kunci Microsoft. Kegagalan enkripsi atau dekripsi dapat bermanifestasi dengan berbagai gejala dan memiliki beberapa potensi penyebab.

  1. Pastikan bahwa layanan KDS diaktifkan dan berfungsi pada semua pengontrol domain Windows Server 2012 dan yang lebih baru di domain.

    Secara default, mode mulai layanan KDS dikonfigurasi sebagai Manual (Trigger Start). Konfigurasi ini berarti bahwa pertama kali klien mencoba menggunakan layanan, layanan dimulai sesuai permintaan. Mode mulai layanan default ini dapat diterima agar Perlindungan Kata Sandi Microsoft Entra berfungsi.

    Jika mode mulai layanan KDS telah dikonfigurasi ke Dinonaktifkan, konfigurasi ini harus diperbaiki sebelum Perlindungan Kata Sandi Microsoft Entra akan berfungsi dengan baik.

    Pengujian sederhana untuk masalah ini adalah memulai layanan KDS secara manual, baik melalui konsol MMC Manajemen Layanan, atau menggunakan alat manajemen lainnya (misalnya, jalankan "net start kdssvc" dari konsol prompt perintah). Layanan KDS diharapkan berhasil memulai dan tetap berjalan.

    Akar penyebab paling umum untuk layanan KDS tidak dapat memulai adalah objek pengontrol domain Active Directory terletak di luar OU Pengontrol Domain default. Konfigurasi ini tidak didukung oleh layanan KDS dan bukan batasan yang diberlakukan oleh Perlindungan Kata Sandi Microsoft Entra. Perbaikan untuk kondisi ini adalah dengan memindahkan objek pengontrol domain ke lokasi di bawah OU Pengontrol Domain default.

  2. Perubahan format buffer terenkripsi KDS yang tidak kompatibel dari Windows Server 2012 R2 ke Windows Server 2016

    Perbaikan keamanan KDS diperkenalkan di Windows Server 2016 yang memodifikasi format buffer terenkripsi KDS; buffer ini kadang akan gagal mendekripsi pada Windows Server 2012 dan Windows Server 2012 R2. Arah sebaliknya tidak masalah - buffer yang dienkripsi KDS pada Windows Server 2012 dan Windows Server 2012 R2 akan selalu berhasil mendekripsi pada Windows Server 2016 dan yang lebih baru. Jika pengendali domain di domain Direktori Aktif Anda menjalankan campuran sistem operasi ini, kegagalan dekripsi Perlindungan Kata Sandi Microsoft Entra sesekali dapat dilaporkan. Tidak dimungkinkan untuk memprediksi waktu atau gejala kegagalan ini secara akurat mengingat sifat perbaikan keamanan, dan mengingat bahwa itu non-deterministik agen DC Perlindungan Kata Sandi Microsoft Entra di mana pengendali domain akan mengenkripsi data pada waktu tertentu.

    Tidak ada solusi untuk masalah ini selain tidak menjalankan campuran sistem operasi yang tidak kompatibel ini di domain Active Directory Anda. Dengan kata lain, Anda seharusnya hanya menjalankan pengontrol domain Windows Server 2012 dan Windows Server 2012 R2, ATAU Anda seharusnya hanya menjalankan pengontrol domain Windows Server 2016 dan di atasnya.

Agen DC berpikir forest belum terdaftar

Gejala dari masalah ini adalah aktivitas 30016 yang masuk ke saluran DC Agent\Admin yang mengatakan sebagian:

The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.

Ada dua kemungkinan penyebab kesalahan ini.

  1. Forest memang belum terdaftar. Untuk mengatasi masalah tersebut, jalankan perintah Register-AzureADPasswordProtectionForest seperti yang dijelaskan dalam syarat penerapan.
  2. Forest telah terdaftar, tetapi agen DC tidak dapat mendekripsi data pendaftaran forest. Kasus ini memiliki akar penyebab yang sama dengan masalah #2 yang tercantum di atas, padaAgen DC tidak dapat mengenkripsi atau mendekripsi file kebijakan sandi. Cara mudah untuk mengonfirmasi teori ini adalah Anda akan melihat kesalahan ini hanya pada agen DC yang berjalan pada pengontrol domain Windows Server 2012 atau Windows Server 2012R2, sementara agen DC yang berjalan pada pengontrol domain Windows Server 2016 dan yang lebih baru baik-baik saja. Solusinya sama: meningkatkan semua pengontrol domain ke Windows Server 2016 atau yang lebih baru.

Sandi yang lemah diterima tetapi tidak disarankan

Masalah ini mungkin memiliki beberapa penyebab.

  1. Agen DC Anda menjalankan versi perangkat lunak pratinjau publik yang telah kedaluwarsa. Lihat Perangkat lunak agen DC pratinjau publik telah kedaluwarsa.

  2. Agen DC Anda tidak dapat mengunduh kebijakan atau tidak dapat mendekripsi kebijakan yang ada. Periksa kemungkinan penyebabnya dalam topik di atas.

  3. Kebijakan sandi mode Enforce masih diatur ke Audit. Jika konfigurasi ini berlaku, konfigurasikan ulang untuk Memberlakukan menggunakan portal Perlindungan Kata Sandi Microsoft Entra. Untuk informasi selengkapnya, lihat Mode operasi.

  4. Kebijakan sandi telah dinonaktifkan. Jika konfigurasi ini berlaku, konfigurasikan ulang konfigurasi ke diaktifkan menggunakan portal Perlindungan Kata Sandi Microsoft Entra. Untuk informasi selengkapnya, lihat Mode operasi.

  5. Anda belum menginstal perangkat lunak agen DC pada semua pengontrol domain di domain. Dalam situasi ini, sulit untuk memastikan bahwa klien Windows jarak jauh menargetkan pengontrol domain tertentu selama operasi perubahan sandi. Jika Anda merasa telah berhasil menargetkan DC tertentu tempat perangkat lunak agen DC diinstal, Anda dapat memverifikasi dengan memeriksa ulang catatan aktivitas admin agen DC: terlepas dari hasilnya, setidaknya akan ada satu aktivitas untuk mendokumentasikan hasil validasi sandi. Jika tidak ada aktivitas yang ditampilkan untuk pengguna yang sandinya diubah, maka perubahan sandi kemungkinan diproses oleh pengontrol domain yang berbeda.

    Sebagai pengujian alternatif, coba atur\ubah sandi saat masuk langsung ke DC tempat perangkat lunak agen DC diinstal. Teknik ini tidak direkomendasikan untuk domain Active Directory produksi.

    Meskipun penerapan bertahap pada perangkat lunak agen DC didukung menurut batasan ini, Microsoft sangat menyarankan agar perangkat lunak agen DC diinstal pada semua pengontrol domain di domain sesegera mungkin.

  6. Algoritma validasi sandi mungkin benar-benar berfungsi seperti yang diharapkan. Lihat Bagaimana sandi dievaluasi.

Ntdsutil.exe gagal mengatur sandi DSRM yang lemah

Direktori Aktif akan selalu memvalidasi kata sandi Mode Perbaikan Layanan Direktori baru untuk memastikan kata sandi tersebut memenuhi persyaratan kompleksitas kata sandi domain; Validasi ini juga memanggil dll filter kata sandi seperti Perlindungan Kata Sandi Microsoft Entra. Jika sandi DSRM baru ditolak, pesan kesalahan berikut menghasilkan:

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Ketika Perlindungan Kata Sandi Microsoft Entra mencatat peristiwa log peristiwa validasi kata sandi untuk kata sandi DSRM Direktori Aktif, diharapkan bahwa pesan log peristiwa tidak akan menyertakan nama pengguna. Perilaku ini terjadi karena akun DSRM adalah akun lokal yang bukan bagian dari domain Active Directory yang sebenarnya.

Promosi replika pengontrol domain gagal karena sandi DSRM yang lemah

Selama proses promosi DC, sandi Mode Perbaikan Layanan Direktori baru akan diserahkan ke DC yang ada di domain untuk validasi. Jika sandi DSRM baru ditolak, pesan kesalahan berikut menghasilkan:

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.

Sama seperti dalam masalah di atas, setiap peristiwa validasi kata sandi Perlindungan Kata Sandi Microsoft Entra akan memiliki nama pengguna kosong untuk skenario ini.

Penurunan tingkat pengontrol domain gagal karena kata sandi Administrator lokal yang lemah

Hal ini didukung untuk menurunkan pengontrol domain yang masih menjalankan perangkat lunak agen DC. Administrator harus menyadari bahwa perangkat lunak agen DC terus memberlakukan kebijakan sandi saat ini selama prosedur penurunan level. Sandi akun Administrator lokal baru (ditentukan sebagai bagian dari operasi penurunan level) divalidasi seperti kata sandi lainnya. Microsoft menyarankan agar sandi aman dipilih untuk akun Administrator lokal sebagai bagian dari prosedur penurunan level DC.

Setelah penurunan level berhasil, dan pengontrol domain telah di-boot ulang dan kembali berjalan sebagai server anggota normal, perangkat lunak agen DC kembali berjalan dalam mode pasif. Penginstalan perangkat lunak agen DC dapat dihapus kapan saja.

Booting ke Mode Perbaikan Layanan Direktori

Jika pengontrol domain di-boot ke Mode Perbaikan Layanan Direktori, dll filter sandi agen DC mendeteksi kondisi ini dan akan menyebabkan semua validasi sandi atau aktivitas penerapan dinonaktifkan, terlepas dari konfigurasi kebijakan yang saat ini aktif. Dll filter sandi agen DC akan mencatat aktivitas peringatan 10023 ke log aktivitas Admin, misalnya:

The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.

Perangkat lunak agen DC pratinjau publik telah kedaluwarsa

Selama periode pratinjau publik Perlindungan Kata Sandi Microsoft Entra, perangkat lunak agen DC dikodekan secara permanen untuk berhenti memproses permintaan validasi kata sandi pada tanggal berikut:

  • Versi 1.2.65.0 akan berhenti memproses permintaan validasi sandi pada 1 September 2019.
  • Versi 1.2.25.0 dan sebelumnya berhenti memproses permintaan validasi sandi pada 1 Juli 2019.

Saat tenggat waktu mendekati, semua versi agen DC terbatas waktu akan memunculkan aktivitas 10021 di log aktivitas admin agen DC pada waktu boot yang terlihat seperti ini:

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message will not be repeated until the next reboot.

Setelah tenggat waktu berlalu, semua versi agen DC terbatas waktu akan memunculkan aktivitas 10022 di log aktivitas admin agen DC pada waktu boot yang terlihat seperti ini:

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages will be logged until after the next reboot.

Karena tenggat waktu hanya diperiksa pada boot awal, Anda mungkin tidak melihat aktivitas ini sampai beberapa saat setelah tanggal tenggat waktu berlalu. Setelah tenggat waktu diakui, tidak ada efek negatif pada pengontrol domain atau lingkungan yang lebih besar akan terjadi selain semua sandi akan disetujui secara otomatis.

Penting

Microsoft merekomendasikan agar agen DC pratinjau publik yang kedaluwarsa segera ditingkatkan ke versi terbaru.

Cara mudah untuk menemukan agen DC di lingkungan Anda yang perlu ditingkatkan adalah dengan menjalankan cmdlet Get-AzureADPasswordProtectionDCAgent, misalnya:

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

Untuk topik ini, bidang SoftwareVersion jelas merupakan properti utama untuk dilihat. Anda juga dapat menggunakan pemfilteran PowerShell untuk memfilter agen DC yang sudah berada di atau di atas versi dasar yang diperlukan, misalnya:

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

Perangkat lunak Proksi Perlindungan Kata Sandi Microsoft Entra tidak terbatas waktu dalam versi apa pun. Microsoft masih merekomendasikan agar DC dan agen proksi ditingkatkan ke versi terbaru saat dirilis. Cmdlet Get-AzureADPasswordProtectionProxy dapat digunakan untuk menemukan agen Proksi yang memerlukan peningkatan, mirip dengan contoh di atas untuk agen DC.

Lihat Meningkatkan agen DC dan Meningkatkan layanan Proksi untuk detail selengkapnya tentang prosedur peningkatan yang spesifik.

Remediasi darurat

Jika situasi terjadi di mana layanan agen DC menyebabkan masalah, layanan agen DC mungkin segera ditutup. Dll filter sandi agen DC masih berusaha memanggil layanan yang tidak berjalan dan akan mencatat aktivitas peringatan (10012, 10013), tetapi semua sandi masuk diterima saat itu. Layanan agen DC kemudian juga dapat dikonfigurasi melalui Manajer Kontrol Layanan Windows dengan jenis startup "Dinonaktifkan" sesuai kebutuhan.

Langkah remediasi lainnya adalah mengatur mode Aktifkan ke Tidak di portal Perlindungan Kata Sandi Microsoft Entra. Setelah kebijakan yang diperbarui diunduh, setiap layanan agen DC akan masuk ke mode quiescent di mana semua sandi diterima apa adanya. Untuk informasi selengkapnya, lihat Mode operasi.

Penghapusan

Jika diputuskan untuk menghapus instalan perangkat lunak perlindungan kata sandi Microsoft Entra dan membersihkan semua status terkait dari domain dan forest, tugas ini dapat dicapai menggunakan langkah-langkah berikut:

Penting

Penting untuk melakukan langkah ini secara runtut. Jika ada instans layanan Proksi yang dibiarkan berjalan, hal itu akan secara berkala membuat ulang objek serviceConnectionPoint. Jika ada instans layanan Proksi yang dibiarkan berjalan, hal itu akan secara berkala membuat ulang objek serviceConnectionPoint dan status sysvol.

  1. Hapus instalan perangkat lunak Proksi dari semua komputer. Langkah ini tidak memerlukan reboot.

  2. Hapus instalan perangkat lunak Agen DC dari semua pengontrol domain. Langkah ini membutuhkan reboot.

  3. Hapus semua titik koneksi layanan Proksi secara manual dalam setiap konteks penamaan domain. Lokasi objek ini dapat ditemukan dengan perintah Active Directory PowerShell berikut ini:

    $scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Jangan menghilangkan tanda bintang ("*") di akhir nilai variabel $keywords.

    Objek hasil yang ditemukan melalui perintah Get-ADObject kemudian dapat disalurkan ke Remove-ADObject, atau dihapus secara manual.

  4. Hapus semua titik koneksi agen DC secara manual dalam setiap konteks penamaan domain. Mungkin ada satu objek per pengontrol domain di forest, tergantung pada seberapa luas perangkat lunak itu diterapkan. Lokasi objek ini dapat ditemukan dengan perintah Active Directory PowerShell berikut ini:

    $scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

    Objek hasil yang ditemukan melalui perintah Get-ADObject kemudian dapat disalurkan ke Remove-ADObject, atau dihapus secara manual.

    Jangan menghilangkan tanda bintang ("*") di akhir nilai variabel $keywords.

  5. Hapus status konfigurasi level-forest secara manual. Status konfigurasi forest dipertahankan dalam kontainer dalam konteks penamaan konfigurasi Active Directory. Status konfigurasi dapat ditemukan dan dihapus sebagai berikut:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

  6. Hapus semua status terkait sysvol secara manual dengan menghapus folder berikut ini dan semua isinya secara manual:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    Jika perlu, jalur ini juga dapat diakses secara lokal pada pengontrol domain tertentu; lokasi default akan seperti jalur berikut:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    Jalur ini berbeda jika berbagi sysvol telah dikonfigurasi di lokasi non-default.

Pengujian kesehatan dengan cmdlet PowerShell

Modul AzureADPasswordProtection PowerShell mencakup dua cmdlet terkait kesehatan yang melakukan verifikasi dasar bahwa perangkat lunak diinstal dan berfungsi. Menjalankan cmdlet ini setelah mengatur penerapan baru, secara berkala setelahnya, dan ketika masalah sedang diselidiki adalah ide yang baik.

Setiap pengujian kesehatan individual menampilkan hasil Lulus atau Gagal dasar, ditambah pesan opsional tentang kegagalan. Dalam kasus di mana penyebab kegagalan tidak jelas, cari pesan log aktivitas kesalahan yang dapat menjelaskan kegagalan. Mengaktifkan pesan log teks mungkin juga berguna. Untuk detail selengkapnya, lihat Memantau Perlindungan Kata Sandi Microsoft Entra.

Pengujian kesehatan proksi

Cmdlet Test-AzureADPasswordProtectionProxyHealth mendukung dua pengujian kesehatan yang dapat dijalankan secara individual. Mode ketiga memungkinkan berjalannya semua pengujian yang tidak memerlukan input parameter apa pun.

Verifikasi pendaftaran proksi

Pengujian ini memverifikasi bahwa agen Proxy terdaftar dengan benar dengan Azure dan dapat mengautentikasi ke Azure. Pengujian yang sukses akan terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Passed

Jika kesalahan terdeteksi, pengujian akan menampilkan hasil Gagal dan pesan kesalahan opsional. Berikut adalah contoh salah satu kemungkinan kegagalan:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.

Verifikasi proksi konektivitas Azure end-to-end

Pengujian ini adalah superset dari uji -VerifyProxyRegistration. Test ini mengharuskan agen Proksi terdaftar dengan benar di Azure, dapat mengautentikasi ke Azure, dan akhirnya menambahkan pemeriksaan bahwa pesan dapat berhasil dikirim ke Azure sehingga verifikasi komunikasi end-to-end penuh dapat berfungsi.

Pengujian yang sukses akan terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyAzureConnectivity Passed

Verifikasi proksi dari semua pengujian

Mode ini memungkinkan berjalannya semua pengujian secara massal yang didukung oleh cmdlet yang tidak memerlukan input parameter. Pengujian yang sukses akan terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyTLSConfiguration  Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed

Pengujian kesehatan Agen DC

Cmdlet Test-AzureADPasswordProtectionProxyHealth mendukung dua pengujian kesehatan yang dapat dijalankan secara individual. Mode ketiga memungkinkan berjalannya semua pengujian yang tidak memerlukan input parameter apa pun.

Pengujian kesehatan agen DC dasar

Semua tes berikut dapat dijalankan secara individual dan tidak menerima parameter. Deskripsi singkat dari setiap tes tercantum dalam tabel berikut.

Pengujian kesehatan Agen DC Deskripsi
-VerifyPasswordFilterDll Memverifikasi bahwa dll filter sandi saat ini dimuat dan dapat menghubungi layanan agen DC
-VerifyForestRegistration Memverifikasi bahwa forest saat ini terdaftar
-VerifyEncryptionDecryption Memverifikasi bahwa enkripsi dan dekripsi dasar berfungsi menggunakan layanan Microsoft KDS
-VerifyDomainIsUsingDFSR Memverifikasi bahwa domain saat ini menggunakan DFSR untuk replikasi sysvol
-VerifyAzureConnectivity Memverifikasi komunikasi end-to-end dengan Azure berfungsi menggunakan proksi apa pun yang tersedia

Berikut adalah contoh lulus uji -VerifyPasswordFilterDll; Pengujian lain akan terlihat mirip saat berhasil:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyPasswordFilterDll Passed

Verifikasi agen DC dari semua pengujian

Mode ini memungkinkan berjalannya semua pengujian secara massal yang didukung oleh cmdlet yang tidak memerlukan input parameter. Pengujian yang sukses akan terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll

DiagnosticName             Result AdditionalInfo
--------------             ------ --------------
VerifyPasswordFilterDll    Passed
VerifyForestRegistration   Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR    Passed
VerifyAzureConnectivity    Passed

Pengujian konektivitas menggunakan server proxy tertentu

Banyak situasi pemecahan masalah melibatkan penyelidikan konektivitas jaringan antara agen DC dan proksi. Ada dua pengujian kesehatan yang tersedia untuk fokus pada masalah tersebut secara khusus. Pengujian ini mengharuskan server proksi tertentu untuk ditentukan.

Memverifikasi konektivitas antara agen DC dan proxy tertentu

Pengujian ini memvalidasi konektivitas melalui leg komunikasi pertama dari agen DC ke proxy. Pengujian ini memverifikasi bahwa proxy menerima panggilan, namun tidak ada komunikasi dengan Azure yang terlibat. Pengujian yang sukses terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Passed

Berikut adalah contoh kondisi kegagalan di mana layanan proksi yang berjalan pada server target telah dihentikan:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com

DiagnosticName          Result AdditionalInfo
--------------          ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.

Memverifikasi konektivitas antara agen DC dan Azure (menggunakan proxy tertentu)

Pengujian ini memvalidasi konektivitas end-to-end penuh antara agen DC dan Azure menggunakan proxy tertentu. Pengujian yang sukses terlihat seperti ini:

PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com

DiagnosticName                          Result AdditionalInfo
--------------                          ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed

Langkah berikutnya

Tanya jawab umum untuk Perlindungan Kata Sandi Microsoft Entra

Untuk informasi selengkapnya tentang daftar kata sandi global dan kustom yang dilarang, lihat artikel Melarang kata sandi yang buruk