Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
Questo argomento descrive la procedura per risolvere i problemi di sincronizzazione dell'hash delle password. Se le password non vengono sincronizzate come previsto, il problema può riguardare un subset di utenti o tutti gli utenti.
Per la distribuzione di Microsoft Entra Connessione con la versione 1.1.614.0 o successiva, usare l'attività di risoluzione dei problemi nella procedura guidata per risolvere i problemi di sincronizzazione dell'hash delle password:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi.
Per la distribuzione con la versione 1.1.524.0 o successiva, è disponibile un cmdlet di diagnostica che è possibile usare per risolvere i problemi di sincronizzazione dell'hash delle password:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi tramite il cmdlet di diagnostica.
Per le versioni precedenti della distribuzione di Microsoft Entra Connessione:
Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi.
Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: passaggi per la risoluzione manuale dei problemi.
Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi
Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare l'attività di risoluzione dei problemi.
Nota
L'attività di risoluzione dei problemi è disponibile solo per Microsoft Entra Connessione versione 1.1.614.0 o successiva.
Eseguire l'attività di risoluzione dei problemi
Per risolvere i problemi per cui nessuna password viene sincronizzata:
Aprire una nuova sessione di Windows PowerShell nel server Microsoft Entra Connessione con l'opzione Esegui come Amministrazione istrator.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Avviare la procedura guidata Microsoft Entra Connect.
Passare alla pagina Attività aggiuntive, selezionare Risoluzione dei problemi e fare clic su Avanti.
Nella pagina Risoluzione dei problemi fare clic su Avvia per avviare il menu per la risoluzione dei problemi in PowerShell.
Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).
Nel sottomenu scegliere Password hash synchronization does not work at all (La sincronizzazione dell'hash delle password non funziona).
Informazioni sui risultati dell'attività di risoluzione dei problemi
L'attività di risoluzione dei problemi effettua i controlli seguenti:
Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata per il tenant di Microsoft Entra.
Verifica che il server Microsoft Entra Connessione non sia in modalità di gestione temporanea.
Per ogni istanza locale esistente di Active Directory Connector, corrispondente a una foresta di Active Directory esistente:
Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata.
Cerca gli eventi heartbeat di sincronizzazione dell'hash delle password nei log eventi delle applicazioni di Windows.
Per ogni dominio di Active Directory nell'istanza locale di Active Directory Connector:
Verifica che il dominio sia raggiungibile dal server microsoft Entra Connessione.
Verifica che gli account di Active Directory Domain Services usati da Active Directory Connector locale abbiano il nome utente e la password corretti e le autorizzazioni necessarie per la sincronizzazione dell'hash delle password.
Il diagramma seguente illustra i risultati del cmdlet per una topologia di Active Directory locale a dominio singolo:
La parte restante di questa sezione descrive i risultati specifici restituiti dall'attività e i problemi corrispondenti.
La funzionalità di sincronizzazione dell'hash delle password non è abilitata
Se la sincronizzazione dell'hash delle password non è stata abilitata tramite la procedura guidata microsoft Entra Connessione, viene restituito l'errore seguente:
Microsoft Entra Connessione server è in modalità di gestione temporanea
Se il server Microsoft Entra Connessione è in modalità di gestione temporanea, la sincronizzazione dell'hash delle password è temporaneamente disabilitata e viene restituito l'errore seguente:
Eventi heartbeat di mancata sincronizzazione dell'hash delle password
Ogni istanza locale di Active Directory Connector ha uno specifico canale di sincronizzazione dell'hash delle password. Quando il canale di sincronizzazione dell'hash delle password è attivo e non vi sono modifiche di password da sincronizzare, nel log eventi delle applicazioni di Windows viene generato un evento heartbeat (EventId 654) ogni 30 minuti. Per ogni istanza locale di Active Directory Connector, il cmdlet cerca gli eventi heartbeat corrispondenti che si sono verificati nelle ultime tre ore. Se la ricerca ha esito negativo, viene restituito l'errore seguente:
L'account di Active Directory Domain Services non ha le autorizzazioni corrette
Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password non ha le autorizzazioni appropriate, viene restituito l'errore seguente:
La password o il nome utente dell'account di Active Directory Domain Services non è corretto
Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password ha una password o un nome utente non corretto, viene restituito l'errore seguente:
Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi
Per stabilire il motivo per cui un oggetto non sincronizza le password, è possibile usare l'attività di risoluzione dei problemi.
Nota
L'attività di risoluzione dei problemi è disponibile solo per Microsoft Entra Connessione versione 1.1.614.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi relativi a un oggetto utente specifico:
Aprire una nuova sessione di Windows PowerShell nel server Microsoft Entra Connessione con l'opzione Esegui come Amministrazione istrator.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Avviare la procedura guidata Microsoft Entra Connect.
Passare alla pagina Attività aggiuntive, selezionare Risoluzione dei problemi e fare clic su Avanti.
Nella pagina Risoluzione dei problemi fare clic su Avvia per avviare il menu per la risoluzione dei problemi in PowerShell.
Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).
Dal sottomenu scegliere Password is not synchronized for a specific user account (La password non viene sincronizzata per un oggetto utente specifico).
Informazioni sui risultati dell'attività di risoluzione dei problemi
L'attività di risoluzione dei problemi effettua i controlli seguenti:
Esamina lo stato dell'oggetto Active Directory nello spazio connettore di Active Directory, metaverse e nello spazio connettore Microsoft Entra.
Verifica che siano definite regole di sincronizzazione con la sincronizzazione dell'hash delle password abilitata e applicata all'oggetto Active Directory.
Prova a recuperare e visualizzare i risultati dell'ultimo tentativo di sincronizzazione della password per l'oggetto.
Il diagramma seguente illustra i risultati del cmdlet durante la risoluzione dei problemi di sincronizzazione dell'hash delle password per un singolo oggetto:
La parte restante di questa sezione descrive i risultati specifici restituiti dal cmdlet e i problemi corrispondenti.
L'oggetto Active Directory non viene esportato in Microsoft Entra ID
La sincronizzazione dell'hash delle password per questo account Active Directory locale ha esito negativo perché non esiste alcun oggetto corrispondente nel tenant di Microsoft Entra. Viene restituito l'errore seguente:
L'utente ha una password temporanea
Le versioni precedenti di Microsoft Entra Connessione non supportavano la sincronizzazione delle password temporanee con Microsoft Entra ID. Una password viene considerata temporanea se l'opzione Cambiamento obbligatorio password all'accesso successivo è impostata per l'utente di Active Directory locale. L'errore seguente viene restituito con queste versioni precedenti:
Per abilitare la sincronizzazione delle password temporanee, è necessario che Sia installato Microsoft Entra Connessione versione 2.0.3.0 o successiva e che la funzionalità ForcePasswordChangeOnLogon sia abilitata.
I risultati dell'ultimo tentativo di sincronizzare la password non sono disponibili
Per impostazione predefinita, Microsoft Entra Connessione archivia i risultati dei tentativi di sincronizzazione dell'hash delle password per sette giorni. Se per l'oggetto Active Directory selezionato non sono disponibili risultati, viene restituito l'avviso seguente:
Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica
Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare il cmdlet Invoke-ADSyncDiagnostics.
Nota
Il Invoke-ADSyncDiagnostics cmdlet è disponibile solo per Microsoft Entra Connessione versione 1.1.524.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi per cui nessuna password viene sincronizzata:
Aprire una nuova sessione di Windows PowerShell nel server Microsoft Entra Connessione con l'opzione Esegui come Amministrazione istrator.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Eseguire
Import-Module ADSyncDiagnostics.Eseguire
Invoke-ADSyncDiagnostics -PasswordSync.
Un oggetto non sincronizza le password: risolvere i problemi tramite il cmdlet di diagnostica
Per stabilire il motivo per cui un oggetto non sincronizza le password è possibile usare il cmdlet Invoke-ADSyncDiagnostics.
Nota
Il Invoke-ADSyncDiagnostics cmdlet è disponibile solo per Microsoft Entra Connessione versione 1.1.524.0 o successiva.
Eseguire il cmdlet di diagnostica
Per risolvere i problemi per cui nessuna password viene sincronizzata per un utente:
Aprire una nuova sessione di Windows PowerShell nel server Microsoft Entra Connessione con l'opzione Esegui come Amministrazione istrator.
Eseguire
Set-ExecutionPolicy RemoteSignedoSet-ExecutionPolicy Unrestricted.Eseguire
Import-Module ADSyncDiagnostics.Eseguire il cmdlet seguente:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>Ad esempio:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi
Per stabilire il motivo per cui nessuna password viene sincronizzata, seguire questi passaggi:
Il server di connessione è in modalità di gestione temporanea? Un server in modalità di gestione temporanea non sincronizza le password.
Eseguire lo script nella sezione Ottenere lo stato delle impostazioni di sincronizzazione password. Fornisce una panoramica della configurazione della sincronizzazione password.
Se la funzionalità non è abilitata in Microsoft Entra ID o se lo stato del canale di sincronizzazione non è abilitato, eseguire l'installazione guidata di Connessione. Selezionare Personalizza opzioni di sincronizzazione e deselezionare la sincronizzazione delle password. Questa modifica disabilita temporaneamente la funzionalità. Eseguire di nuovo la procedura guidata e riabilitare la sincronizzazione delle password. Eseguire di nuovo lo script per verificare che la configurazione sia corretta.
Esaminare il log eventi per cercare eventuali errori. Cercare gli eventi seguenti che potrebbero indicare un problema:
- Origine: ID "Sincronizzazione della directory": 0, 611, 652, 655 Se vengono visualizzati eventi di questo tipo, c'è un problema di connettività. Il messaggio del log eventi contiene informazioni relative alla foresta in cui è presente un problema.
Se non viene visualizzato alcun heartbeat o non si sono trovate altre soluzioni al problema, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password. Eseguire lo script una sola volta.
Vedere la sezione Risolvere i problemi relativi a un oggetto che non sincronizza le password.
Problemi di connettività
Si ha connettività con Microsoft Entra ID?
L'account dispone delle autorizzazioni necessarie per leggere gli hash delle password in tutti i domini? Se si è installato Connect usando le impostazioni rapide, le autorizzazioni dovrebbero già essere corrette.
Se invece si è usata l'installazione personalizzata, impostare manualmente le autorizzazioni eseguendo queste le operazioni:
Per trovare l'account usato dall'istanza di Active Directory Connector, avviare Synchronization Service Manager.
Passare a Connettori e cercare la foresta di Active Directory locale per cui risolvere i problemi.
Selezionare il connettore e quindi fare clic su Proprietà.
Passare a Connetti a Foresta Active Directory.
Prendere nota del nome utente e del dominio in cui si trova l'account.Avviare Utenti e computer di Active Directory e verificare che l'account trovato in precedenza disponga delle autorizzazioni seguenti impostate nella radice di tutti i domini della foresta:
- Replica modifiche directory
- Replica modifiche directory - Tutto
I controller di dominio sono raggiungibili da Microsoft Entra Connessione? Se il server Connect non riesce a connettersi a tutti i controller di dominio, configurare Only use preferred domain controller (Usare solo controller di dominio preferito).
Tornare a Synchronization Service Manager e Configure Directory Partition (Configurare la partizione della directory).
Selezionare il dominio in Select directory partitions (Selezionare le partizioni della directory), selezionare la casella di controllo Only use preferred domain controller (Usare solo controller di dominio preferito) e quindi fare clic su Configura.
Nell'elenco immettere i controller di dominio che Connessione usare per la sincronizzazione delle password. Lo stesso elenco viene usato anche per l'importazione e l'esportazione. Eseguire questi passaggi per tutti i domini.
Nota
Per applicare queste modifiche, riavviare il servizio Microsoft Entra ID Sync (ADSync).
- Se lo script mostra che non sono stati generati heartbeat, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password.
Un oggetto non sincronizza le password: passaggi per la risoluzione manuale dei problemi
È possibile risolvere facilmente i problemi di sincronizzazione dell'hash delle password esaminando lo stato di un oggetto.
In Utenti e computer di Active Directory cercare l'utente e verificare che la casella di controllo Cambiamento obbligatorio password all'accesso successivo sia deselezionata.
Se la casella di controllo è selezionata, chiedere all'utente di accedere e modificare la password. Le password temporanee non vengono sincronizzate con Microsoft Entra ID.
Se in Active Directory la password sembra corretta, seguire l'utente nel motore di sincronizzazione. Seguendo l'utente da Active Directory locale a Microsoft Entra ID, è possibile verificare se è presente un errore descrittivo nell'oggetto.
a. Avviare Synchronization Service Manager.
b. Fare clic su Connettori.
c. Selezionare l'istanza di Active Directory Connector in cui si trova l'utente.
d. Selezionare Search Connector Space(Cerca spazio connettore).
e. Nella casella Ambito selezionare DN or Anchor (DN o ancoraggio) e quindi immettere il nome distinto completo dell'utente per il quale si devono risolvere i problemi.
f. Trovare l'utente e fare clic su Proprietà per visualizzare tutti gli attributi. Se l'utente non è incluso nei risultati della ricerca, verificare le regole di filtro e accertarsi di seguire le istruzioni in Applicare e verificare le modifiche per visualizzare l'utente in Connect.
g. Per visualizzare i dettagli della sincronizzazione della password dell'oggetto per la settimana precedente, fare clic su Log.
Se il log oggetti è vuoto, Microsoft Entra Connessione non è riuscito a leggere l'hash della password da Active Directory. Continuare la risoluzione dei problemi con Errori di connettività. Se viene visualizzato un valore diverso da success, fare riferimento alla tabella Log di sincronizzazione delle password.
h. Selezionare la scheda Lineage (Derivazione) e verificare che almeno una regola di sincronizzazione nella colonna PasswordSync (Sincronizzazione password) sia impostata su True. Nella configurazione predefinita il nome della regola di sincronizzazione è In from AD - User AccountEnabled.
i. Fare clic su Metaverse Object Properties (Proprietà dell'oggetto Metaverse) per visualizzare un elenco di attributi utente.
Verificare che non sia presente alcun attributo cloudFiltered. Assicurarsi che gli attributi di dominio (domainFQDN e domainNetBios) abbiano i valori previsti.
j. Fare clic sulla scheda Connessione ors. Assicurarsi di visualizzare i connettori sia per Active Directory locale che per Microsoft Entra ID.
k. Selezionare la riga che rappresenta Microsoft Entra ID, fare clic su Proprietà e quindi sulla scheda Derivazione . L'oggetto spazio connettore deve avere una regola in uscita nella colonna PasswordSync impostata su True. Nella configurazione predefinita il nome della regola di sincronizzazione è Out to Microsoft Entra ID - User Join.
Log di sincronizzazione delle password
I valori possibili per la colonna dello stato sono i seguenti:
| Stato | Description |
|---|---|
| Riuscita | La password è stata sincronizzata. |
| FilteredByTarget | La password è impostata su Richiedi modifica della password all'accesso successivo. La password non è stata sincronizzata. |
| NoTargetConnection | Nessun oggetto nel metaverse o nello spazio connettore Microsoft Entra. |
| SourceConnectorNotPresent | Nessun oggetto trovato nello spazio connettore di Active Directory locale. |
| TargetNotExportedToDirectory | L'oggetto nello spazio connettore Microsoft Entra non è ancora stato esportato. |
| MigratedCheckDetailsForMoreInfo | La voce di log è stata creata prima della compilazione 1.0.9125.0 e viene visualizzata nello stato precedente. |
| Errore | Il servizio ha restituito un errore sconosciuto. |
| Sconosciuto | Si è verificato un errore durante il tentativo di elaborare un batch di hash delle password. |
| MissingAttribute | Attributi specifici (ad esempio, hash Kerberos) richiesti da Microsoft Entra Domain Services non sono disponibili. |
| RetryRequestedByTarget | Gli attributi specifici (ad esempio, hash Kerberos) richiesti da Microsoft Entra Domain Services non erano disponibili in precedenza. Viene effettuato un tentativo di risincronizzare l'hash della password dell'utente. |
Script per facilitare la risoluzione dei problemi
Ottenere lo stato delle impostazioni di sincronizzazione password
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Attivare una sincronizzazione completa di tutte le password
Nota
Eseguire questo script una sola volta. Se è necessario eseguirlo più volte, il problema è dovuto a un'altra causa. Per risolverlo, contattare il supporto tecnico Microsoft.
È possibile attivare una sincronizzazione completa di tutte le password usando lo script seguente:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true