Risolvere i problemi di sincronizzazione della password con il servizio di sincronizzazione Azure AD ConnectTroubleshoot password synchronization with Azure AD Connect sync

In questo argomento viene descritta la procedura per risolvere i problemi di sincronizzazione della password.This topic provides steps for how to troubleshoot issues with password synchronization. Se le password non vengono sincronizzate come previsto, il problema può riguardare un subset di utenti o tutti gli utenti.If passwords are not synchronizing as expected, it can be either for a subset of users or for all users.

Per la distribuzione di Azure Active Directory (Azure AD) Connect versione 1.1.614.0 o successiva, usare l'attività specifica nella procedura guidata per la risoluzione dei problemi di sincronizzazione delle password:For Azure Active Directory (Azure AD) Connect deployment with version 1.1.614.0 or after, use the troubleshooting task in the wizard to troubleshoot password synchronization issues:

Per la distribuzione con la versione 1.1.524.0 o successiva, è disponibile un cmdlet di diagnostica che è possibile usare per risolvere i problemi di sincronizzazione delle password:For deployment with version 1.1.524.0 or later, there is a diagnostic cmdlet that you can use to troubleshoot password synchronization issues:

Per le versioni precedenti della distribuzione di Azure AD Connect:For older versions of Azure AD Connect deployment:

Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemiNo passwords are synchronized: troubleshoot by using the troubleshooting task

Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare l'attività di risoluzione dei problemi.You can use the troubleshooting task to figure out why no passwords are synchronized.

Nota

L'attività di risoluzione dei problemi è disponibile solo per Azure AD Connect versione 1.1.614.0 o successiva.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Eseguire l'attività di risoluzione dei problemiRun the troubleshooting task

Per risolvere i problemi per cui nessuna password viene sincronizzata:To troubleshoot issues where no passwords are synchronized:

  1. Aprire una nuova sessione di Windows PowerShell nel server di Azure AD Connect con l'opzione Esegui come amministratore.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Avviare la procedura guidata di Azure AD Connect.Start the Azure AD Connect wizard.

  4. Passare alla pagina Attività aggiuntive, selezionare Risoluzione dei problemi e fare clic su Avanti.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Nella pagina Risoluzione dei problemi fare clic su Avvia per avviare il menu per la risoluzione dei problemi in PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. Dal menu principale scegliere Risolvere i problemi di sincronizzazione delle password.In the main menu, select Troubleshoot Password Synchronization.

  7. Dal sottomenu scegliere Password Synchronization does not work at all (La sincronizzazione delle password non funziona).In the sub menu, select Password Synchronization does not work at all.

Informazioni sui risultati dell'attività di risoluzione dei problemiUnderstand the results of the troubleshooting task

L'attività di risoluzione dei problemi effettua i controlli seguenti:The troubleshooting task performs the following checks:

  • Verifica che la funzionalità di sincronizzazione delle password sia abilitata per il tenant di Azure AD.Validates that the password synchronization feature is enabled for your Azure AD tenant.

  • Verifica che il server di Azure AD Connect non sia in modalità di gestione temporanea.Validates that the Azure AD Connect server is not in staging mode.

  • Per ogni istanza locale esistente di Active Directory Connector, corrispondente a una foresta di Active Directory esistente:For each existing on-premises Active Directory connector (which corresponds to an existing Active Directory forest):

    • Verifica che la funzionalità di sincronizzazione delle password sia abilitata.Validates that the password synchronization feature is enabled.

    • Cerca gli eventi heartbeat di sincronizzazione delle password nei log eventi delle applicazioni di Windows.Searches for password synchronization heartbeat events in the Windows Application Event logs.

    • Per ogni dominio di Active Directory nell'istanza locale di Active Directory Connector:For each Active Directory domain under the on-premises Active Directory connector:

      • Verifica che il dominio sia raggiungibile dal server di Azure AD Connect.Validates that the domain is reachable from the Azure AD Connect server.

      • Verifica che gli account di Active Directory Domain Services usati dall'istanza locale di Active Directory Connector abbiano il nome utente e la password corretti e le autorizzazioni necessarie per la sincronizzazione delle password.Validates that the Active Directory Domain Services (AD DS) accounts used by the on-premises Active Directory connector has the correct username, password, and permissions required for password synchronization.

Il diagramma seguente illustra i risultati del cmdlet per una topologia di Active Directory locale a dominio singolo:The following diagram illustrates the results of the cmdlet for a single-domain, on-premises Active Directory topology:

Output di diagnostica per la sincronizzazione delle password

La parte restante di questa sezione descrive i risultati specifici restituiti dall'attività e i problemi corrispondenti.The rest of this section describes specific results that are returned by the task and corresponding issues.

La funzionalità di sincronizzazione delle password non è abilitataPassword synchronization feature isn't enabled

Se la sincronizzazione delle password non è stata abilitata tramite la procedura guidata di Azure AD Connect, viene restituito l'errore seguente:If you haven't enabled password synchronization by using the Azure AD Connect wizard, the following error is returned:

La sincronizzazione delle password non è abilitata

Il server di Azure AD Connect è in modalità di gestione temporaneaAzure AD Connect server is in staging mode

Se il server di Azure AD Connect è in modalità di gestione temporanea, la sincronizzazione delle password è temporaneamente disabilitata e viene restituito l'errore seguente:If the Azure AD Connect server is in staging mode, password synchronization is temporarily disabled, and the following error is returned:

Il server di Azure AD Connect è in modalità di gestione temporanea

Eventi heartbeat di mancata sincronizzazione delle passwordNo password synchronization heartbeat events

Ogni istanza locale di Active Directory Connector ha uno specifico canale di sincronizzazione delle password.Each on-premises Active Directory connector has its own password synchronization channel. Quando il canale di sincronizzazione delle password è attivo e non vi sono modifiche di password da sincronizzare, nel log eventi delle applicazioni di Windows viene generato un evento heartbeat (EventId 654) ogni 30 minuti.When the password synchronization channel is established and there aren't any password changes to be synchronized, a heartbeat event (EventId 654) is generated once every 30 minutes under the Windows Application Event Log. Per ogni istanza locale di Active Directory Connector, il cmdlet cerca gli eventi heartbeat corrispondenti che si sono verificati nelle ultime tre ore.For each on-premises Active Directory connector, the cmdlet searches for corresponding heartbeat events in the past three hours. Se la ricerca ha esito negativo, viene restituito l'errore seguente:If no heartbeat event is found, the following error is returned:

Evento heartbeat di mancata sincronizzazione delle password

L'account di Active Directory Domain Services non ha le autorizzazioni corretteAD DS account does not have correct permissions

Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password non ha le autorizzazioni appropriate, viene restituito l'errore seguente:If the AD DS account that's used by the on-premises Active Directory connector to synchronize password hashes does not have the appropriate permissions, the following error is returned:

Credenziali non corrette

La password o il nome utente dell'account di Active Directory Domain Services non è correttoIncorrect AD DS account username or password

Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password ha una password o un nome utente non corretto, viene restituito l'errore seguente:If the AD DS account used by the on-premises Active Directory connector to synchronize password hashes has an incorrect username or password, the following error is returned:

Credenziali non corrette

Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemiOne object is not synchronizing passwords: troubleshoot by using the troubleshooting task

Per stabilire il motivo per cui un oggetto non sincronizza le password, è possibile usare l'attività di risoluzione dei problemi.You can use the troubleshooting task to determine why one object is not synchronizing passwords.

Nota

L'attività di risoluzione dei problemi è disponibile solo per Azure AD Connect versione 1.1.614.0 o successiva.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Eseguire il cmdlet di diagnosticaRun the diagnostics cmdlet

Per risolvere i problemi relativi a un oggetto utente specifico:To troubleshoot issues for a specific user object:

  1. Aprire una nuova sessione di Windows PowerShell nel server di Azure AD Connect con l'opzione Esegui come amministratore.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Avviare la procedura guidata di Azure AD Connect.Start the Azure AD Connect wizard.

  4. Passare alla pagina Attività aggiuntive, selezionare Risoluzione dei problemi e fare clic su Avanti.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Nella pagina Risoluzione dei problemi fare clic su Avvia per avviare il menu per la risoluzione dei problemi in PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. Dal menu principale scegliere Risolvere i problemi di sincronizzazione delle password.In the main menu, select Troubleshoot Password Synchronization.

  7. Dal sottomenu scegliere Password is not synchronized for a specific user account (La password non viene sincronizzata per un oggetto utente specifico).In the sub menu, select Password is not synchronized for a specific user account.

Informazioni sui risultati dell'attività di risoluzione dei problemiUnderstand the results of the troubleshooting task

L'attività di risoluzione dei problemi effettua i controlli seguenti:The troubleshooting task performs the following checks:

  • Esamina lo stato dell'oggetto Active Directory nello spazio di Active Directory Connector, nel metaverse e nello spazio di Azure AD Connector.Examines the state of the Active Directory object in the Active Directory connector space, Metaverse, and Azure AD connector space.

  • Verifica che siano definite regole di sincronizzazione con la sincronizzazione delle password abilitata e applicata all'oggetto Active Directory.Validates that there are synchronization rules with password synchronization enabled and applied to the Active Directory object.

  • Prova a recuperare e visualizzare i risultati dell'ultimo tentativo di sincronizzazione della password per l'oggetto.Attempts to retrieve and display the results of the last attempt to synchronize the password for the object.

Il diagramma seguente illustra i risultati del cmdlet durante la risoluzione dei problemi di sincronizzazione delle password per un singolo oggetto:The following diagram illustrates the results of the cmdlet when troubleshooting password synchronization for a single object:

Output di diagnostica per la sincronizzazione delle password: singolo oggetto

La parte restante di questa sezione descrive i risultati specifici restituiti dal cmdlet e i problemi corrispondenti.The rest of this section describes specific results returned by the cmdlet and corresponding issues.

L'oggetto Active Directory non viene esportato in Azure ADThe Active Directory object isn't exported to Azure AD

La sincronizzazione delle password per questo account di Active Directory locale non riesce perché non è presente alcun oggetto corrispondente nel tenant di Azure AD.Password synchronization for this on-premises Active Directory account fails because there is no corresponding object in the Azure AD tenant. Viene restituito l'errore seguente:The following error is returned:

Oggetto Azure AD mancante

L'utente ha una password temporaneaUser has a temporary password

Azure AD Connect non supporta attualmente la sincronizzazione delle password temporanee con Azure AD.Currently, Azure AD Connect does not support synchronizing temporary passwords with Azure AD. Una password viene considerata temporanea se l'opzione Cambiamento obbligatorio password all'accesso successivo è impostata per l'utente di Active Directory locale.A password is considered to be temporary if the Change password at next logon option is set on the on-premises Active Directory user. Viene restituito l'errore seguente:The following error is returned:

Password temporanea non esportata

I risultati dell'ultimo tentativo di sincronizzare la password non sono disponibiliResults of last attempt to synchronize password aren't available

Per impostazione predefinita, Azure AD Connect archivia i risultati dei tentativi di sincronizzazione delle password per sette giorni.By default, Azure AD Connect stores the results of password synchronization attempts for seven days. Se per l'oggetto Active Directory selezionato non sono disponibili risultati, viene restituito l'avviso seguente:If there are no results available for the selected Active Directory object, the following warning is returned:

Output di diagnostica per un singolo oggetto: cronologia di mancata sincronizzazione delle password

Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnosticaNo passwords are synchronized: troubleshoot by using the diagnostic cmdlet

Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare il cmdlet Invoke-ADSyncDiagnostics.You can use the Invoke-ADSyncDiagnostics cmdlet to figure out why no passwords are synchronized.

Nota

Il cmdlet Invoke-ADSyncDiagnostics è disponibile solo per Azure AD Connect versione 1.1.524.0 o successiva.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Eseguire il cmdlet di diagnosticaRun the diagnostics cmdlet

Per risolvere i problemi per cui nessuna password viene sincronizzata:To troubleshoot issues where no passwords are synchronized:

  1. Aprire una nuova sessione di Windows PowerShell nel server di Azure AD Connect con l'opzione Esegui come amministratore.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Eseguire Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Eseguire Invoke-ADSyncDiagnostics -PasswordSync.Run Invoke-ADSyncDiagnostics -PasswordSync.

Un oggetto non sincronizza le password: risolvere i problemi tramite il cmdlet di diagnosticaOne object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet

Per stabilire il motivo per cui un oggetto non sincronizza le password è possibile usare il cmdlet Invoke-ADSyncDiagnostics.You can use the Invoke-ADSyncDiagnostics cmdlet to determine why one object is not synchronizing passwords.

Nota

Il cmdlet Invoke-ADSyncDiagnostics è disponibile solo per Azure AD Connect versione 1.1.524.0 o successiva.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Eseguire il cmdlet di diagnosticaRun the diagnostics cmdlet

Per risolvere i problemi per cui nessuna password viene sincronizzata per un utente:To troubleshoot issues where no passwords are synchronized for a user:

  1. Aprire una nuova sessione di Windows PowerShell nel server di Azure AD Connect con l'opzione Esegui come amministratore.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Eseguire Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Eseguire il cmdlet seguente:Run the following cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    ad esempio:For example:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemiNo passwords are synchronized: manual troubleshooting steps

Per stabilire il motivo per cui nessuna password viene sincronizzata, seguire questi passaggi:Follow these steps to determine why no passwords are synchronized:

  1. Il server di connessione è in modalità di gestione temporanea?Is the Connect server in staging mode? Un server in modalità di gestione temporanea non sincronizza le password.A server in staging mode does not synchronize any passwords.

  2. Eseguire lo script nella sezione Ottenere lo stato delle impostazioni di sincronizzazione password.Run the script in the Get the status of password sync settings section. Fornisce una panoramica della configurazione della sincronizzazione password.It gives you an overview of the password sync configuration.

    Output dello script di PowerShell dalle impostazioni di sincronizzazione password

  3. Se la funzionalità non è abilitata in Azure AD o se lo stato del canale di sincronizzazione non è abilitato, eseguire l'Installazione guidata di Connect.If the feature is not enabled in Azure AD or if the sync channel status is not enabled, run the Connect installation wizard. Selezionare Personalizzazione delle opzioni di sincronizzazione e deselezionare l'opzione di sincronizzazione delle password. Questa modifica disabilita temporaneamente la funzionalità.Select Customize synchronization options, and unselect password sync. This change temporarily disables the feature. Eseguire quindi di nuovo la procedura guidata e riabilitare la sincronizzazione password. Eseguire di nuovo lo script per verificare che la configurazione sia corretta.Then run the wizard again and re-enable password sync. Run the script again to verify that the configuration is correct.

  4. Esaminare il log eventi per cercare eventuali errori.Look in the event log for errors. Cercare gli eventi seguenti che potrebbero indicare un problema:Look for the following events, which would indicate a problem:

    • Origine: ID "Sincronizzazione della directory": 0, 611, 652, 655 Se vengono visualizzati eventi di questo tipo, c'è un problema di connettività.Source: "Directory synchronization" ID: 0, 611, 652, 655 If you see these events, you have a connectivity problem. Il messaggio del log eventi contiene informazioni relative alla foresta in cui è presente un problema.The event log message contains forest information where you have a problem. Per altre informazioni, vedere Problemi di connettività.For more information, see Connectivity problem.
  5. Se non viene visualizzato alcun heartbeat o non si sono trovate altre soluzioni al problema, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password.If you see no heartbeat or if nothing else worked, run Trigger a full sync of all passwords. Eseguire lo script una sola volta.Run the script only once.

  6. Vedere la sezione Risolvere i problemi relativi a un oggetto che non sincronizza le password.See the Troubleshoot one object that is not synchronizing passwords section.

Problemi di connettivitàConnectivity problems

La connettività con Azure AD è presente?Do you have connectivity with Azure AD?

L'account dispone delle autorizzazioni necessarie per leggere gli hash delle password in tutti i domini?Does the account have required permissions to read the password hashes in all domains? Se si è installato Connect usando le impostazioni rapide, le autorizzazioni dovrebbero già essere corrette.If you installed Connect by using Express settings, the permissions should already be correct.

Se invece si è usata l'installazione personalizzata, impostare manualmente le autorizzazioni eseguendo queste le operazioni:If you used custom installation, set the permissions manually by doing the following:

  1. Per trovare l'account usato dall'istanza di Active Directory Connector, avviare Synchronization Service Manager.To find the account used by the Active Directory connector, start Synchronization Service Manager.

  2. Passare a Connettori e cercare la foresta di Active Directory locale per cui risolvere i problemi.Go to Connectors, and then search for the on-premises Active Directory forest you are troubleshooting.

  3. Selezionare il connettore e quindi fare clic su Proprietà.Select the connector, and then click Properties.

  4. Passare a Connetti a Foresta Active Directory.Go to Connect to Active Directory Forest.

    Account usato da Active Directory Connector
    Prendere nota del nome utente e del dominio in cui si trova l'account.Note the username and the domain where the account is located.

  5. Avviare Utenti e computer di Active Directory e verificare che l'account trovato in precedenza disponga delle autorizzazioni seguenti impostate nella radice di tutti i domini della foresta:Start Active Directory Users and Computers, and then verify that the account you found earlier has the follow permissions set at the root of all domains in your forest:

    • Replica modifiche directoryReplicate Directory Changes
    • Replica modifiche directory - TuttoReplicate Directory Changes All
  6. I controller di dominio sono raggiungibili da Azure AD Connect?Are the domain controllers reachable by Azure AD Connect? Se il server Connect non riesce a connettersi a tutti i controller di dominio, configurare Only use preferred domain controller (Usare solo controller di dominio preferito).If the Connect server cannot connect to all domain controllers, configure Only use preferred domain controller.

    Controller di dominio usato da Active Directory Connector

  7. Tornare a Synchronization Service Manager e Configure Directory Partition (Configurare la partizione della directory).Go back to Synchronization Service Manager and Configure Directory Partition.

  8. Selezionare il dominio in Select directory partitions (Selezionare le partizioni della directory), selezionare la casella di controllo Only use preferred domain controller (Usare solo controller di dominio preferito) e quindi fare clic su Configura.Select your domain in Select directory partitions, select the Only use preferred domain controllers check box, and then click Configure.

  9. Nell'elenco immettere i controller di dominio che Connect deve usare per la sincronizzazione delle password. Lo stesso elenco viene usato anche per importare ed esportare.In the list, enter the domain controllers that Connect should use for password sync. The same list is used for import and export as well. Eseguire questi passaggi per tutti i domini.Do these steps for all your domains.

  10. Se lo script mostra che non sono stati generati heartbeat, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password.If the script shows that there is no heartbeat, run the script in Trigger a full sync of all passwords.

Un oggetto non sincronizza le password: passaggi per la risoluzione manuale dei problemiOne object is not synchronizing passwords: manual troubleshooting steps

È possibile risolvere facilmente i problemi di sincronizzazione password esaminando lo stato di un oggetto.You can easily troubleshoot password synchronization issues by reviewing the status of an object.

  1. In Utenti e computer di Active Directory cercare l'utente e verificare che la casella di controllo Cambiamento obbligatorio password all'accesso successivo sia deselezionata.In Active Directory Users and Computers, search for the user, and then verify that the User must change password at next logon check box is cleared.

    Password per la produttività di Active Directory

    Se la casella di controllo è selezionata, chiedere all'utente di accedere e modificare la password.If the check box is selected, ask the user to sign in and change the password. Le password temporanee non vengono sincronizzate con Azure AD.Temporary passwords are not synchronized with Azure AD.

  2. Se in Active Directory la password sembra corretta, seguire l'utente nel motore di sincronizzazione.If the password looks correct in Active Directory, follow the user in the sync engine. Seguendo l'utente da Active Directory locale ad Azure AD, è possibile verificare se viene generato un errore descrittivo per l'oggetto.By following the user from on-premises Active Directory to Azure AD, you can see whether there is a descriptive error on the object.

    a.a. Avviare Synchronization Service Manager.Start the Synchronization Service Manager.

    b.b. Fare clic su Connectors(Connettori).Click Connectors.

    c.c. Selezionare l'istanza di Active Directory Connector in cui si trova l'utente.Select the Active Directory Connector where the user is located.

    d.d. Selezionare Search Connector Space(Cerca spazio connettore).Select Search Connector Space.

    e.e. Nella casella Ambito selezionare DN or Anchor (DN o ancoraggio) e quindi immettere il nome distinto completo dell'utente per il quale si devono risolvere i problemi.In the Scope box, select DN or Anchor, and then enter the full DN of the user you are troubleshooting.

    Cercare l'utente nello spazio connettore con nome distinto

    f.f. Trovare l'utente e fare clic su Proprietà per visualizzare tutti gli attributi.Locate the user you are looking for, and then click Properties to see all the attributes. Se l'utente non è incluso nei risultati della ricerca, verificare le regole di filtro e accertarsi di seguire le istruzioni in Applicare e verificare le modifiche per visualizzare l'utente in Connect.If the user is not in the search result, verify your filtering rules and make sure that you run Apply and verify changes for the user to appear in Connect.

    g.g. Per visualizzare i dettagli della sincronizzazione della password dell'oggetto per la settimana precedente, fare clic su Log.To see the password sync details of the object for the past week, click Log.

    Dettagli del log dell'oggetto

    Se il log dell'oggetto è vuoto, Azure AD Connect non è stato in grado di leggere l'hash della password da Active Directory.If the object log is empty, Azure AD Connect has been unable to read the password hash from Active Directory. Continuare la risoluzione dei problemi con Errori di connettività.Continue your troubleshooting with Connectivity Errors. Se viene visualizzato un valore diverso da success, fare riferimento alla tabella Log di sincronizzazione delle password.If you see any other value than success, refer to the table in Password sync log.

    h.h. Selezionare la scheda Lineage (Derivazione) e verificare che almeno una regola di sincronizzazione nella colonna PasswordSync (Sincronizzazione password) sia impostata su True.Select the lineage tab, and make sure that at least one sync rule in the PasswordSync column is True. Nella configurazione predefinita il nome della regola di sincronizzazione è In from AD - User AccountEnabled.In the default configuration, the name of the sync rule is In from AD - User AccountEnabled.

    Informazioni sulla derivazione relative a un utente

    i.i. Fare clic su Metaverse Object Properties (Proprietà dell'oggetto Metaverse) per visualizzare un elenco di attributi utente.Click Metaverse Object Properties to display a list of user attributes.

    Informazioni del metaverse

    Verificare che non sia presente alcun attributo cloudFiltered.Verify that there is no cloudFiltered attribute present. Assicurarsi che gli attributi di dominio (domainFQDN e domainNetBios) abbiano i valori previsti.Make sure that the domain attributes (domainFQDN and domainNetBios) have the expected values.

    j.j. Fare clic sulla scheda Connettori. Assicurarsi che i connettori per Active Directory locale e Azure AD siano visualizzati.Click the Connectors tab. Make sure that you see connectors to both on-premises Active Directory and Azure AD.

    Informazioni del metaverse

    k.k. Selezionare la riga che rappresenta Azure AD, fare clic su Proprietà e quindi sulla scheda Lineage (Derivazione). L'oggetto spazio connettore deve avere una regola in uscita con la colonna PasswordSync (Sincronizzazione password) impostata su True.Select the row that represents Azure AD, click Properties, and then click the Lineage tab. The connector space object should have an outbound rule in the PasswordSync column set to True. Nella configurazione predefinita il nome della regola di sincronizzazione è Out to AAD - User Join.In the default configuration, the name of the sync rule is Out to AAD - User Join.

    Finestra di dialogo Proprietà dell'oggetto spazio connettore

Log di sincronizzazione delle passwordPassword sync log

I valori possibili per la colonna dello stato sono i seguenti:The status column can have the following values:

StatoStatus DescrizioneDescription
SuccessSuccess La password è stata sincronizzata.Password has been successfully synchronized.
FilteredByTargetFilteredByTarget La password è impostata su Richiedi modifica della password all'accesso successivo.Password is set to User must change password at next logon. La password non è stata sincronizzata.Password has not been synchronized.
NoTargetConnectionNoTargetConnection Nessun oggetto in metaverse o nello spazio connettore di Azure ADNo object in the metaverse or in the Azure AD connector space.
SourceConnectorNotPresentSourceConnectorNotPresent Nessun oggetto trovato nello spazio connettore di Active Directory locale.No object found in the on-premises Active Directory connector space.
TargetNotExportedToDirectoryTargetNotExportedToDirectory L'oggetto nello spazio connettore di Azure AD non è stato ancora esportato.The object in the Azure AD connector space has not yet been exported.
MigratedCheckDetailsForMoreInfoMigratedCheckDetailsForMoreInfo La voce di log è stata creata prima della compilazione 1.0.9125.0 e viene visualizzata nello stato precedente.Log entry was created before build 1.0.9125.0 and is shown in its legacy state.
ErroreError Il servizio ha restituito un errore sconosciuto.Service returned an unknown error.
SconosciutoUnknown Si è verificato un errore durante il tentativo di elaborare un batch di hash delle password.An error occurred while trying to process a batch of password hashes.
MissingAttributeMissingAttribute Gli attributi specifici (ad esempio hash Kerberos) richiesti da Azure AD Domain Services non sono disponibili.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services are not available.
RetryRequestedByTargetRetryRequestedByTarget Gli attributi specifici (ad esempio hash Kerberos) richiesti da Azure AD Domain Services non erano disponibili in precedenza.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services were not available previously. Viene effettuato un tentativo di risincronizzare l'hash della password dell'utente.An attempt to resynchronize the user's password hash is made.

Script per facilitare la risoluzione dei problemiScripts to help troubleshooting

Ottenere lo stato delle impostazioni di sincronizzazione passwordGet the status of password sync settings

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature -ConnectorName $aadConnectors[0].Name
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Attivare una sincronizzazione completa di tutte le passwordTrigger a full sync of all passwords

Nota

Eseguire questo script una sola volta.Run this script only once. Se è necessario eseguirlo più volte, il problema è dovuto a un'altra causa.If you need to run it more than once, something else is the problem. Per risolverlo, contattare il supporto tecnico Microsoft.To troubleshoot the problem, contact Microsoft support.

È possibile attivare una sincronizzazione completa di tutte le password usando lo script seguente:You can trigger a full sync of all passwords by using the following script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Passaggi successiviNext steps