Risolvere i problemi: Protezione password di Microsoft Entra locale
Dopo la distribuzione di Microsoft Entra Password Protection, potrebbe essere necessaria la risoluzione dei problemi. Questo articolo presenta informazioni dettagliate su alcuni passaggi comuni per la risoluzione dei problemi.
L'agente del controller di dominio non è in grado di individuare un proxy nella directory
Il sintomo principale di questo problema è 30017 eventi nell'agente del controller di dominio Amministrazione registro eventi.
La causa consueta di questo problema è che un proxy non è ancora stato registrato. Se è stato registrato un proxy, potrebbe verificarsi un ritardo dovuto alla latenza di replica di Active Directory fino a quando un determinato agente del controller di dominio non è in grado di visualizzare tale proxy.
L'agente del controller di dominio non è in grado di comunicare con un proxy
Il sintomo principale di questo problema è 30018 eventi nell'agente del controller di dominio Amministrazione registro eventi. Questo problema può avere diverse possibili cause:
L'agente del controller di dominio si trova in una parte isolata della rete che non consente la connettività di rete ai proxy registrati. Questo problema può essere non dannoso, purché altri agenti del controller di dominio possano comunicare con i proxy per scaricare i criteri password da Azure. Dopo il download, questi criteri verranno ottenuti dal controller di dominio isolato tramite la replica dei file di criteri nella condivisione sysvol.
Il computer host proxy blocca l'accesso all'endpoint del mapper dell'endpoint RPC (porta 135)
Il programma di installazione di Microsoft Entra Password Protection Proxy crea automaticamente una regola in ingresso di Windows Firewall che consente l'accesso alla porta 135. Se questa regola viene eliminata o disabilitata in un secondo momento, gli agenti del controller di dominio non potranno comunicare con il servizio proxy. Se Windows Firewall predefinito è stato disabilitato al posto di un altro prodotto firewall, è necessario configurare tale firewall per consentire l'accesso alla porta 135.
Il computer host proxy blocca l'accesso all'endpoint RPC (dinamico o statico) in ascolto dal servizio proxy
Il programma di installazione di Microsoft Entra Password Protection Proxy crea automaticamente una regola in ingresso di Windows Firewall che consente l'accesso a tutte le porte in ingresso ascoltate dal servizio Proxy di protezione password di Microsoft Entra. Se questa regola viene eliminata o disabilitata in un secondo momento, gli agenti del controller di dominio non potranno comunicare con il servizio proxy. Se Windows Firewall predefinito è stato disabilitato al posto di un altro prodotto firewall, è necessario configurare tale firewall per consentire l'accesso a tutte le porte in ingresso ascoltate dal servizio Proxy di protezione password di Microsoft Entra. Questa configurazione può essere resa più specifica se il servizio proxy è stato configurato per l'ascolto su una porta RPC statica specifica (usando il
Set-AzureADPasswordProtectionProxyConfigurationcmdlet ).Il computer host proxy non è configurato per consentire ai controller di dominio di accedere al computer. Questo comportamento viene controllato tramite l'assegnazione dei privilegi utente "Accedere a questo computer dalla rete". A tutti i controller di dominio in tutti i domini della foresta deve essere concesso questo privilegio. Questa impostazione è spesso vincolata come parte di una maggiore protezione avanzata della rete.
Il servizio proxy non è in grado di comunicare con Azure
Verificare che il computer proxy disponga della connettività agli endpoint elencati nei requisiti di distribuzione.
Assicurarsi che la foresta e tutti i server proxy siano registrati nello stesso tenant di Azure.
È possibile controllare questo requisito eseguendo i
Get-AzureADPasswordProtectionProxycmdlet eGet-AzureADPasswordProtectionDCAgentdi PowerShell, quindi confrontare laAzureTenantproprietà di ogni elemento restituito. Per un'operazione corretta, il nome del tenant segnalato deve essere lo stesso in tutti gli agenti del controller di dominio e i server proxy.Se esiste una condizione di mancata corrispondenza della registrazione del tenant di Azure, questo problema può essere risolto eseguendo i
Register-AzureADPasswordProtectionProxycmdlet e/oRegister-AzureADPasswordProtectionForestdi PowerShell in base alle esigenze, assicurandosi di usare le credenziali dello stesso tenant di Azure per tutte le registrazioni.
L'agente del controller di dominio non è in grado di crittografare o decrittografare i file dei criteri password
La protezione password di Microsoft Entra ha una dipendenza critica dalla funzionalità di crittografia e decrittografia fornita dal servizio di distribuzione delle chiavi Microsoft. Gli errori di crittografia o decrittografia possono manifestarsi con un'ampia gamma di sintomi e avere diverse possibili cause.
Verificare che il servizio KDS sia abilitato e funzionante in tutti i controller di dominio di Windows Server 2012 e versioni successive in un dominio.
Per impostazione predefinita, la modalità di avvio del servizio KDS è configurata come Manuale (Avvio trigger). Questa configurazione significa che la prima volta che un client tenta di usare il servizio, viene avviato su richiesta. Questa modalità di avvio del servizio predefinita è accettabile per il funzionamento di Microsoft Entra Password Protection.
Se la modalità di avvio del servizio KDS è stata configurata su Disabilitata, questa configurazione deve essere corretta prima che Microsoft Entra Password Protection funzioni correttamente.
Un semplice test per questo problema consiste nell'avviare manualmente il servizio KDS, tramite la console MMC di gestione dei servizi o usando altri strumenti di gestione( ad esempio, eseguire "net start kdssvc" da una console del prompt dei comandi). Si prevede che il servizio KDS venga avviato correttamente e rimanga in esecuzione.
La causa radice più comune per il servizio KDS non è in grado di avviare è che l'oggetto controller di dominio Active Directory si trova all'esterno dell'unità organizzativa controller di dominio predefinita. Questa configurazione non è supportata dal servizio KDS e non è una limitazione imposta da Microsoft Entra Password Protection. La correzione per questa condizione consiste nello spostare l'oggetto controller di dominio in un percorso nell'unità organizzativa controller di dominio predefinita.
Modifica del formato del buffer crittografato KDS non compatibile da Windows Server 2012 R2 a Windows Server 2016
Una correzione di sicurezza KDS è stata introdotta in Windows Server 2016 che modifica il formato dei buffer crittografati KDS; questi buffer a volte non riusciranno a decrittografare in Windows Server 2012 e Windows Server 2012 R2. La direzione inversa è ok. I buffer crittografati da KDS in Windows Server 2012 e Windows Server 2012 R2 verranno sempre decrittografati correttamente in Windows Server 2016 e versioni successive. Se i controller di dominio nei domini di Active Directory eseguono una combinazione di questi sistemi operativi, possono essere segnalati occasionalmente errori di decrittografia di Protezione password di Microsoft Entra. Non è possibile prevedere in modo accurato i tempi o i sintomi di questi errori, data la natura della correzione della sicurezza, e dato che è non deterministico quale Agente del controller di dominio di Protezione password di Microsoft Entra in cui il controller di dominio crittograferà i dati in un determinato momento.
Non esiste alcuna soluzione alternativa per questo problema diverso dall'esecuzione di una combinazione di questi sistemi operativi incompatibili nei domini di Active Directory. In altre parole, è consigliabile eseguire solo i controller di dominio Windows Server 2012 e Windows Server 2012 R2 oppure è consigliabile eseguire solo i controller di dominio Windows Server 2016 e versioni successive.
L'agente del controller di dominio ritiene che la foresta non sia stata registrata
Il sintomo di questo problema è 30016 eventi che vengono registrati nel canale agente dc\Amministrazione che dice in parte:
The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.
Esistono due possibili cause per questo problema.
- La foresta non è stata effettivamente registrata. Per risolvere il problema, eseguire il comando Register-AzureADPasswordProtectionForest come descritto nei requisiti di distribuzione.
- La foresta è stata registrata, ma l'agente del controller di dominio non è in grado di decrittografare i dati di registrazione della foresta. Questo caso ha la stessa causa radice del problema n. 2 elencato sopra in Agente del controller di dominio non è in grado di crittografare o decrittografare i file dei criteri password. Un modo semplice per confermare questa teoria è che verrà visualizzato questo errore solo negli agenti del controller di dominio in esecuzione in controller di dominio Windows Server 2012 o Windows Server 2012R2, mentre gli agenti del controller di dominio in esecuzione in Windows Server 2016 e versioni successive sono soddisfatti. La soluzione alternativa è la stessa: aggiornare tutti i controller di dominio a Windows Server 2016 o versione successiva.
Le password deboli vengono accettate ma non devono essere
Questo problema può avere diverse cause.
Gli agenti del controller di dominio eseguono una versione del software di anteprima pubblica scaduta. Vedere Public preview DC agent software has expired (Il software dell'agente del controller di dominio in anteprima pubblica è scaduto).
Gli agenti del controller di dominio non possono scaricare un criterio o non è in grado di decrittografare i criteri esistenti. Verificare la presenza di possibili cause negli argomenti precedenti.
La modalità di imposizione dei criteri password è ancora impostata su Controllo. Se questa configurazione è attiva, riconfigurarla in Imponi tramite il portale di protezione password di Microsoft Entra. Per altre informazioni, vedere Modalità di funzionamento.
I criteri password sono stati disabilitati. Se questa configurazione è attiva, riconfigurarla in modo che sia abilitata tramite il portale di protezione password di Microsoft Entra. Per altre informazioni, vedere Modalità di funzionamento.
Non è stato installato il software agente del controller di dominio in tutti i controller di dominio nel dominio. In questo caso, è difficile assicurarsi che i client Windows remoti siano destinati a un determinato controller di dominio durante un'operazione di modifica della password. Se si ritiene di avere correttamente destinato un determinato controller di dominio in cui è installato il software agente del controller di dominio, è possibile verificare controllando il registro eventi dell'amministratore dell'agente del controller di dominio: indipendentemente dal risultato, sarà presente almeno un evento per documentare il risultato della convalida della password. Se non è presente alcun evento per l'utente la cui password viene modificata, è probabile che la modifica della password sia stata elaborata da un controller di dominio diverso.
Come test alternativo, provare a impostare o modificare le password durante l'accesso diretto a un controller di dominio in cui è installato il software dell'agente del controller di dominio. Questa tecnica non è consigliata per i domini di Active Directory di produzione.
Sebbene la distribuzione incrementale del software agente del controller di dominio sia supportata in base a queste limitazioni, Microsoft consiglia vivamente di installare il software agente del controller di dominio in tutti i controller di dominio in un dominio il prima possibile.
L'algoritmo di convalida delle password può effettivamente funzionare come previsto. Vedere Come vengono valutate le password.
Ntdsutil.exe non riesce a impostare una password DSRM debole
Active Directory convaliderà sempre una nuova password della modalità di ripristino dei servizi directory per assicurarsi che soddisfi i requisiti di complessità delle password del dominio; questa convalida chiama anche dll di filtro delle password come microsoft Entra Password Protection. Se la nuova password DSRM viene rifiutata, viene visualizzato il messaggio di errore seguente:
C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
WIN32 Error Code: 0xa91
Error Message: Password doesn't meet the requirements of the filter dll's
Quando Microsoft Entra Password Protection registra gli eventi del registro eventi di convalida delle password per una password DSRM di Active Directory, è previsto che i messaggi del registro eventi non includano un nome utente. Questo comportamento si verifica perché l'account DSRM è un account locale che non fa parte del dominio Active Directory effettivo.
L'innalzamento di livello della replica del controller di dominio non riesce a causa di una password DSRM debole
Durante il processo di promozione del controller di dominio, la nuova password della modalità di ripristino dei servizi directory verrà inviata a un controller di dominio esistente nel dominio per la convalida. Se la nuova password DSRM viene rifiutata, viene visualizzato il messaggio di errore seguente:
Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.
Proprio come nel problema precedente, qualsiasi evento del risultato di convalida della password di protezione password di Microsoft Entra avrà nomi utente vuoti per questo scenario.
L'abbassamento di livello del controller di dominio non riesce a causa di una password locale Amministrazione istrator debole
È possibile abbassare di livello un controller di dominio che è ancora in esecuzione nel software dell'agente del controller di dominio. Gli amministratori devono tenere tuttavia presente il fatto che durante la procedura di abbassamento di livello il software dell'agente del controller di dominio continua a imporre i criteri password correnti. La nuova password dell'account amministratore locale (specificata come parte dell'operazione di abbassamento di livello) viene convalidata come qualsiasi altra password. Microsoft consiglia di scegliere password sicure per gli account Amministrazione istrator locali come parte di una procedura di abbassamento di livello del controller di dominio.
Al termine dell'abbassamento di livello e quando il controller di dominio è stato riavviato ed è di nuovo in esecuzione come normale server membro, il software dell'agente del controller di dominio torna a operare in modalità passiva. Può quindi essere disinstallato in qualsiasi momento.
Avvio in modalità di ripristino dei servizi directory
Se il controller di dominio viene avviato in modalità ripristino servizi directory, la DLL del filtro password dell'agente del controller di dominio rileva questa condizione e causerà la disabilitazione di tutte le attività di convalida o imposizione delle password, indipendentemente dalla configurazione dei criteri attualmente attiva. La DLL del filtro password dell'agente del controller di dominio registra un evento di avviso 10023 nel registro eventi Amministrazione, ad esempio:
The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.
Il software agente del controller di dominio di anteprima pubblica è scaduto
Durante il periodo di anteprima pubblica di Microsoft Entra Password Protection, il software agente del controller di dominio è stato hardcoded per interrompere l'elaborazione delle richieste di convalida delle password nelle date seguenti:
- La versione 1.2.65.0 interrompe l'elaborazione delle richieste di convalida delle password il 1° settembre 2019.
- La versione 1.2.25.0 e le versioni precedenti hanno interrotto l'elaborazione delle richieste di convalida della password il 1° luglio 2019.
Con l'avvicinarsi della scadenza, tutte le versioni dell'agente dc con limitazioni temporali genereranno un evento 10021 nell'agente del controller di dominio Amministrazione registro eventi in fase di avvio simile al seguente:
The password filter dll has successfully loaded and initialized.
The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.
Expiration date: 9/01/2019 0:00:00 AM
This message will not be repeated until the next reboot.
Una volta superata la scadenza, tutte le versioni dell'agente dc con limitazioni temporali genereranno un evento 10022 nell'agente del controller di dominio Amministrazione registro eventi in fase di avvio simile al seguente:
The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.
No further messages will be logged until after the next reboot.
Poiché la scadenza viene controllata solo all'avvio iniziale, è possibile che questi eventi non vengano visualizzati fino a quando non viene superata la scadenza del calendario. Una volta riconosciuta la scadenza, non verranno approvati automaticamente effetti negativi sul controller di dominio o sull'ambiente più grande.
Importante
Microsoft consiglia di aggiornare immediatamente gli agenti del controller di dominio di anteprima pubblica scaduti alla versione più recente.
Un modo semplice per individuare gli agenti del controller di dominio nell'ambiente che devono essere aggiornati consiste nell'eseguire il Get-AzureADPasswordProtectionDCAgent cmdlet, ad esempio:
PS C:\> Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bpl1.bpl.com
SoftwareVersion : 1.2.125.0
Domain : bpl.com
Forest : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC : 8/1/2019 10:00:00 PM
AzureTenant : bpltest.onmicrosoft.com
Per questo argomento, il campo SoftwareVersion è ovviamente la proprietà chiave da esaminare. È anche possibile usare il filtro di PowerShell per filtrare gli agenti del controller di dominio già presenti o sopra la versione di base richiesta, ad esempio:
PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}
Il software Microsoft Entra Password Protection Proxy non è limitato a tempo in alcuna versione. Microsoft consiglia comunque di aggiornare sia i controller di dominio che gli agenti proxy alle versioni più recenti man mano che vengono rilasciati. Il Get-AzureADPasswordProtectionProxy cmdlet può essere usato per trovare gli agenti proxy che richiedono aggiornamenti, come nell'esempio precedente per gli agenti del controller di dominio.
Per altre informazioni sulle procedure di aggiornamento specifiche, vedere Aggiornamento dell'agente del controller di dominio e Aggiornamento del servizio proxy.
Correzione di emergenza
Se si verifica una situazione in cui il servizio agente del controller di dominio provoca problemi, tale servizio può essere arrestato immediatamente. La DLL di filtro dell'agente del controller di dominio tenta ancora di chiamare il servizio non in esecuzione e registra eventi di avviso (10012, 10013), ma durante questo periodo di tempo tutte le password in ingresso vengono accettate. Il servizio agente del controller di dominio può quindi essere configurato anche tramite Gestione controllo servizi di Windows con tipo di avvio "Disabilitato" in base alle esigenze.
Un'altra misura di correzione è quella di impostare la modalità Abilita su No nel portale di protezione password di Microsoft Entra. Dopo aver scaricato i criteri aggiornati, ogni servizio agente del controller di dominio passa a una modalità inattiva in cui tutte le password vengono accettate così come sono. Per altre informazioni, vedere Modalità di funzionamento.
Rimozione
Se si decide di disinstallare il software di protezione password di Microsoft Entra e di pulire tutti gli stati correlati dai domini e dalla foresta, questa attività può essere eseguita seguendo questa procedura:
Importante
È importante eseguire i passaggi nell'ordine specificato. Se un'istanza del servizio proxy viene lasciata in esecuzione, ne viene periodicamente ricreare il relativo oggetto serviceConnectionPoint. Se un'istanza del servizio agente del controller di dominio viene lasciata in esecuzione, ne vengono ricreati periodicamente l'oggetto serviceConnectionPoint e lo stato sysvol.
Disinstallare il software del proxy da tutti i computer. Questo passaggio non richiede un riavvio.
Disinstallare il software dell'agente del controller di dominio da tutti i controller di dominio. Questo passaggio richiede un riavvio.
Rimuovere manualmente tutti i punti di connessione del servizio proxy in ogni contesto dei nomi di dominio. Il percorso di questi oggetti può essere individuato con il comando di PowerShell per Active Directory seguente:
$scp = "serviceConnectionPoint" $keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*" Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }Non omettere l'asterisco ("*") alla fine del valore della variabile $keywords.
L'oggetto risultante individuabile tramite il comando
Get-ADObjectpuò quindi essere inoltrato tramite pipe aRemove-ADObjectoppure può essere eliminato manualmente.Rimuovere manualmente tutti i punti di connessione dell'agente del controller di dominio in ogni contesto dei nomi di dominio. Possono essere presenti uno di questi oggetti per ogni controller di dominio nella foresta, a seconda della quantità di distribuzione del software. Il percorso dell'oggetto può essere individuato con il comando di PowerShell per Active Directory seguente:
$scp = "serviceConnectionPoint" $keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*" Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }L'oggetto risultante individuabile tramite il comando
Get-ADObjectpuò quindi essere inoltrato tramite pipe aRemove-ADObjectoppure può essere eliminato manualmente.Non omettere l'asterisco ("*") alla fine del valore della variabile $keywords.
Rimuovere manualmente lo stato di configurazione a livello di foresta. Lo stato di configurazione a livello di foresta viene mantenuto in un contenitore nel contesto dei nomi della configurazione di Active Directory. Può essere individuato ed eliminato in questo modo:
$passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext Remove-ADObject -Recursive $passwordProtectionConfigContainerRimuovere manualmente tutto lo stato correlato a sysvol eliminando manualmente la cartella seguente e tutto il suo contenuto:
\\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtectionSe necessario, è possibile accedere a questo percorso anche in locale in un controller di dominio specificato. il percorso predefinito può essere simile al seguente:
%windir%\sysvol\domain\Policies\AzureADPasswordProtectionIl percorso è diverso se la condivisione sysvol è stata configurata in un percorso non predefinito.
Test dell'integrità con i cmdlet di PowerShell
Il modulo AzureADPasswordProtection di PowerShell include due cmdlet correlati all'integrità che eseguono la verifica di base dell'installazione e del funzionamento del software. È opportuno eseguire questi cmdlet dopo aver configurato una nuova distribuzione, periodicamente in un momento successivo e quando viene analizzato un problema.
Ogni singolo test di integrità restituisce un risultato superato o non riuscito di base, oltre a un messaggio facoltativo in caso di errore. Nei casi in cui la causa di un errore non è chiara, cercare i messaggi del registro eventi di errore che potrebbero spiegare l'errore. Anche l'abilitazione dei messaggi di log di testo può essere utile. Per altre informazioni, vedere Monitorare la protezione password di Microsoft Entra.
Test di integrità proxy
Il cmdlet Test-AzureADPasswordProtectionProxyHealth supporta due test di integrità che possono essere eseguiti singolarmente. Una terza modalità consente l'esecuzione di tutti i test che non richiedono alcun input di parametro.
Verifica della registrazione proxy
Questo test verifica che l'agente proxy sia registrato correttamente con Azure ed è in grado di eseguire l'autenticazione in Azure. Un'esecuzione riuscita avrà un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyRegistration Passed
Se viene rilevato un errore, il test restituirà un risultato non riuscito e un messaggio di errore facoltativo. Di seguito è riportato un esempio di un possibile errore:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.
Verifica proxy della connettività di Azure end-to-end
Questo test è un superset del test -VerifyProxyRegistration. Richiede che l'agente proxy sia registrato correttamente con Azure, sia in grado di eseguire l'autenticazione in Azure e infine aggiunge un controllo che un messaggio possa essere inviato correttamente ad Azure, verificando così che la comunicazione end-to-end completa funzioni.
Un'esecuzione riuscita avrà un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyAzureConnectivity Passed
Verifica proxy di tutti i test
Questa modalità consente l'esecuzione bulk di tutti i test supportati dal cmdlet che non richiedono l'input del parametro. Un'esecuzione riuscita avrà un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyTLSConfiguration Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed
Test dell'integrità dell'agente del controller di dominio
Il cmdlet Test-AzureADPasswordProtectionDCAgentHealth supporta diversi test di integrità che possono essere eseguiti singolarmente. Una terza modalità consente l'esecuzione di tutti i test che non richiedono alcun input di parametro.
Test di integrità dell'agente del controller di dominio di base
I test seguenti possono essere eseguiti singolarmente e non accettano parametri. Una breve descrizione di ogni test è elencata nella tabella seguente.
| Test di integrità dell'agente del controller di dominio | Descrizione |
|---|---|
| -VerifyPasswordFilterDll | Verifica che la DLL del filtro password sia attualmente caricata ed è in grado di chiamare il servizio agente del controller di dominio |
| -VerifyForestRegistration | Verifica che la foresta sia attualmente registrata |
| -VerifyEncryptionDecryption | Verifica che la crittografia e la decrittografia di base funzionino usando il servizio Microsoft KDS |
| -VerifyDomainIsUsingDFSR | Verifica che il dominio corrente usi DFSR per la replica sysvol |
| -VerifyAzure Connessione ivity | Verifica che la comunicazione end-to-end con Azure funzioni usando qualsiasi proxy disponibile |
Di seguito è riportato un esempio del superamento del test -VerifyPasswordFilterDll; gli altri test avranno un aspetto simile al successo:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyPasswordFilterDll Passed
Verifica dell'agente del controller di dominio di tutti i test
Questa modalità consente l'esecuzione bulk di tutti i test supportati dal cmdlet che non richiedono l'input del parametro. Un'esecuzione riuscita avrà un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyPasswordFilterDll Passed
VerifyForestRegistration Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR Passed
VerifyAzureConnectivity Passed
test di Connessione ivity con server proxy specifici
Molte situazioni di risoluzione dei problemi comportano l'analisi della connettività di rete tra agenti del controller di dominio e proxy. Sono disponibili due test di integrità per concentrarsi su tali problemi in particolare. Questi test richiedono che venga specificato un server proxy specifico.
Verifica della connettività tra un agente del controller di dominio e un proxy specifico
Questo test convalida la connettività durante la prima fase di comunicazione dall'agente del controller di dominio al proxy. Verifica che il proxy riceva la chiamata, ma non viene coinvolta alcuna comunicazione con Azure. Un'esecuzione riuscita ha un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyConnectivity Passed
Di seguito è riportato un esempio di condizione di errore in cui il servizio proxy in esecuzione nel server di destinazione è stato arrestato:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.
Verifica della connettività tra un agente del controller di dominio e Azure (usando un proxy specifico)
Questo test convalida la connettività end-to-end completa tra un agente del controller di dominio e Azure usando un proxy specifico. Un'esecuzione riuscita ha un aspetto simile al seguente:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed
Passaggi successivi
Domande frequenti sulla protezione password di Microsoft Entra
Per altre informazioni sugli elenchi personalizzati di password escluse, vedere l'articolo Eliminare le password non appropriate nell'organizzazione