Problemen met on-premises Microsoft Entra-wachtwoordbeveiliging oplossen
Na de implementatie van Microsoft Entra Password Protection is mogelijk probleemoplossing vereist. In dit artikel vindt u gedetailleerde informatie over enkele veelvoorkomende stappen voor probleemoplossing.
De DC-agent kan geen proxy vinden in de map
Het belangrijkste symptoom van dit probleem is 30017-gebeurtenissen in de DC-agent Gebeurtenislogboek beheerder.
De gebruikelijke oorzaak van dit probleem is dat er nog geen proxy is geregistreerd. Als er een proxy is geregistreerd, kan er enige vertraging optreden vanwege AD-replicatielatentie totdat een bepaalde DC-agent die proxy kan zien.
De DC-agent kan niet communiceren met een proxy
Het belangrijkste symptoom van dit probleem is 30018-gebeurtenissen in de DC-agent Gebeurtenislogboek beheerder. Dit probleem kan verschillende mogelijke oorzaken hebben:
De DC-agent bevindt zich in een geïsoleerd gedeelte van het netwerk dat geen netwerkverbinding met de geregistreerde proxy('s) toestaat. Dit probleem kan weinig kwaad, zolang andere DC-agents kunnen communiceren met de proxy('s) om wachtwoordbeleid van Azure te downloaden. Na het downloaden worden deze beleidsregels verkregen door de geïsoleerde domeincontroller via replicatie van de beleidsbestanden in de sysvol-share.
De proxyhostcomputer blokkeert de toegang tot het eindpunt van de RPC-eindpunttoewijzer (poort 135)
Het microsoft Entra Password Protection Proxy-installatieprogramma maakt automatisch een binnenkomende Windows Firewall-regel die toegang tot poort 135 toestaat. Als deze regel later wordt verwijderd of uitgeschakeld, kunnen DC-agents niet communiceren met de proxyservice. Als de ingebouwde Windows Firewall is uitgeschakeld omdat een ander firewallproduct wordt gebruikt, moet u die firewall zodanig configureren dat toegang tot poort 135 is toegestaan.
De proxyhostcomputer blokkeert de toegang tot het RPC-eindpunt (dynamisch of statisch) waarnaar door de proxyservice wordt geluisterd
Het microsoft Entra Password Protection Proxy-installatieprogramma maakt automatisch een binnenkomende Windows Firewall-regel waarmee toegang wordt toegestaan tot alle binnenkomende poorten waarnaar wordt geluisterd door de Microsoft Entra Password Protection Proxy-service. Als deze regel later wordt verwijderd of uitgeschakeld, kunnen DC-agents niet communiceren met de proxyservice. Als de ingebouwde Windows Firewall is uitgeschakeld in plaats van een ander firewallproduct, moet u die firewall configureren om toegang te verlenen tot alle binnenkomende poorten waarnaar wordt geluisterd door de Microsoft Entra Password Protection Proxy-service. Deze configuratie kan specifieker worden gemaakt als de proxyservice is geconfigureerd om te luisteren naar een specifieke statische RPC-poort (met behulp van de cmdlet
Set-AzureADPasswordProtectionProxyConfiguration).De proxyhostcomputer is niet geconfigureerd om domeincontrollers de mogelijkheid te bieden zich aan te melden bij de computer. Dit gedrag wordt beheerd via de toewijzing van gebruikersbevoegdheden voor toegang tot deze computer via het netwerk. Aan alle domeincontrollers in alle domeinen in het forest moet deze bevoegdheid worden verleend. Deze instelling wordt vaak beperkt als onderdeel van een grotere netwerkbeveiliging.
Proxyservice kan niet communiceren met Azure
Zorg ervoor dat de proxycomputer verbinding heeft met de eindpunten die worden vermeld in de implementatievereisten.
Zorg ervoor dat het forest en alle proxyservers zijn geregistreerd voor dezelfde Azure-tenant.
U kunt deze eis controleren door de PowerShell-cmdlets
Get-AzureADPasswordProtectionProxyenGet-AzureADPasswordProtectionDCAgentuit te voeren en vervolgens de eigenschapAzureTenantvan elk geretourneerd item te vergelijken. Voor de juiste bewerking moet de gerapporteerde tenantnaam hetzelfde zijn voor alle DC-agents en proxyservers.Als er een niet-overeenkomende voorwaarde voor Azure-tenantregistratie bestaat, kan dit probleem worden opgelost door de PowerShell-cmdlets
Register-AzureADPasswordProtectionProxyen/ofRegister-AzureADPasswordProtectionForestindien nodig uit te voeren. Zorg ervoor dat u referenties van dezelfde Azure-tenant gebruikt voor alle registraties.
DC-agent kan geen wachtwoordbeleidsbestanden versleutelen of ontsleutelen
Microsoft Entra Password Protection heeft een kritieke afhankelijkheid van de versleutelings- en ontsleutelingsfunctionaliteit die wordt geleverd door de Microsoft Key Distribution-service. Versleutelings- of ontsleutelingsfouten kunnen zich voordoen met verschillende symptomen en kunnen verschillende mogelijke oorzaken hebben.
Zorg ervoor dat de KDS-service is ingeschakeld en functioneel is op alle Windows Server 2012 en latere domeincontrollers in een domein.
De servicestartmodus van de KDS-service is standaard geconfigureerd als handmatig (start via trigger). Deze configuratie houdt in dat de eerste keer dat een client de service probeert te gebruiken, deze on-demand wordt gestart. Deze standaardmodus voor het starten van de service is acceptabel voor Microsoft Entra-wachtwoordbeveiliging.
Als de startmodus van de KDS-service is geconfigureerd voor Uitgeschakeld, moet deze configuratie worden opgelost voordat Microsoft Entra-wachtwoordbeveiliging correct werkt.
Een eenvoudige test voor dit probleem is het handmatig starten van de KDS-service via de MMC-console van Service Management of door gebruik van andere beheerprogramma's (bijvoorbeeld 'net start kdssvc' uitvoeren vanuit een opdrachtpromptconsole). De KDS-service wordt naar verwachting gestart en blijft actief.
De meest voorkomende hoofdoorzaak voor de KDS-service die niet kan worden gestart, is dat het Active Directory-domeincontrollerobject zich buiten de standaard organisatie-eenheid voor domeincontrollers bevindt. Deze configuratie wordt niet ondersteund door de KDS-service en is geen beperking die wordt opgelegd door Microsoft Entra Password Protection. De oplossing voor deze voorwaarde is het verplaatsen van het domeincontrollerobject naar een locatie onder de standaard organisatie-eenheid voor domeincontrollers.
Niet-compatibele verandering in KDS-versleutelde bufferindeling van Windows Server 2012 R2 in Windows Server 2016
Er is een KDS-beveiligingsoplossing geïntroduceerd in Windows Server 2016 waarmee de indeling van versleutelde KDS-buffers wordt gewijzigd. Deze buffers kunnen soms niet worden ontsleuteld op Windows Server 2012 en Windows Server 2012 R2. De omgekeerde richting is geen probleem: buffers die zijn versleuteld met KDS op Windows Server 2012 en Windows Server 2012 R2 worden altijd met succes ontsleuteld op Windows Server 2016 en hoger. Als op de domeincontrollers in uw Active Directory-domeinen een combinatie van deze besturingssystemen wordt uitgevoerd, kunnen er af en toe fouten worden gemeld bij het ontsleutelen van Microsoft Entra Password Protection. Het is niet mogelijk om de timing of symptomen van deze fouten nauwkeurig te voorspellen, gezien de aard van de beveiligingsoplossing en gezien het feit dat het niet-deterministisch is welke Microsoft Entra Password Protection DC Agent waarop domeincontroller gegevens op een bepaald moment zal versleutelen.
Er is geen tijdelijke oplossing voor dit probleem anders dan het niet uitvoeren van een combinatie van deze niet-compatibele besturingssystemen in uw Active Directory-domein(en). Met andere woorden, u moet alleen Windows Server 2012 en Windows Server 2012 R2-domeincontrollers uitvoeren, OF u moet alleen Windows Server 2016 en hoger domeincontrollers uitvoeren.
DC-agent denkt dat het forest niet is geregistreerd
Het symptoom van dit probleem is dat er 30016-gebeurtenissen worden geregistreerd in het kanaal DC Agent\Beheer dat gedeeltelijk zegt:
The forest has not been registered with Azure. Password policies cannot be downloaded from Azure unless this is corrected.
Er zijn twee mogelijke oorzaken voor deze fout.
- Het forest is inderdaad niet geregistreerd. Voer de opdracht Register-AzureADPasswordProtectionForest uit zoals beschreven in de implementatievereisten om het probleem op te lossen.
- Het forest is geregistreerd, maar de DC-agent kan de forestregistratiegegevens niet ontsleutelen. Dit probleem heeft dezelfde hoofdoorzaak als probleem #2 hierboven vermeld onder DC-agent kan geen bestanden met wachtwoordbeleid versleutelen of ontsleutelen. Een eenvoudige manier om deze theorie te bevestigen, is dat u deze fout alleen ziet op DC-agents die worden uitgevoerd op domeincontrollers op Windows Server 2012 of Windows Server 2012 R2, terwijl DC-agents die worden uitgevoerd op Windows Server 2016 en latere domeincontrollers wel werken. De tijdelijke oplossing is hetzelfde: voer een upgrade uit van alle domeincontrollers naar Windows Server 2016 of hoger.
Zwakke wachtwoorden worden wel geaccepteerd, maar dit zou niet zo moeten zijn
Dit probleem kan verschillende oorzaken hebben.
Uw DC-agent(s) voeren een openbare preview-softwareversie uit die is verlopen. Zie Openbare preview van DC-agentsoftware is verlopen.
Uw DC-agents kunnen geen beleid downloaden of kunnen bestaande beleidsregels niet ontsleutelen. Controleer op mogelijke oorzaken in bovenstaande onderwerpen.
De modus Afdwingen van wachtwoordbeleid is nog steeds ingesteld op Controleren. Als deze configuratie van kracht is, configureert u deze opnieuw om af te dwingen met behulp van de Microsoft Entra Password Protection-portal. Zie Bewerkingsmodi voor meer informatie.
Het wachtwoordbeleid is uitgeschakeld. Als deze configuratie van kracht is, configureert u deze opnieuw zodat deze is ingeschakeld met behulp van de Microsoft Entra Password Protection-portal. Zie Bewerkingsmodi voor meer informatie.
U hebt de DC-agentsoftware niet geïnstalleerd op alle domeincontrollers in het domein. In deze situatie is het moeilijk om ervoor te zorgen dat externe Windows-clients zich richten op een bepaalde domeincontroller tijdens een wachtwoordwijzigingsbewerking. Als u denkt dat u een bepaalde DC op het oog hebt waarop de DC-agentsoftware is geïnstalleerd, kunt u dit bevestigen door het gebeurtenislogboek van de DC-agent te controleren: ongeacht het resultaat zal er ten minste één gebeurtenis zijn om het resultaat van de wachtwoordvalidatie vast te leggen. Als er geen gebeurtenis aanwezig is voor de gebruiker waarvan het wachtwoord is gewijzigd, is de wachtwoordwijziging waarschijnlijk verwerkt door een andere domeincontroller.
Als alternatieve test kunt u wachtwoorden instellen/wijzigen terwijl u zich rechtstreeks aanmeldt bij een DC waarop de DC-agentsoftware is geïnstalleerd. Deze techniek wordt niet aanbevolen voor Active Directory-domeinen voor productie.
Hoewel incrementele implementatie van de DC-agentsoftware wordt ondersteund op basis van deze beperkingen, raadt Microsoft ten zeerste aan dat de DC-agentsoftware zo snel mogelijk wordt geïnstalleerd op alle domeincontrollers in een domein.
Het algoritme voor wachtwoordvalidatie werkt mogelijk wel naar behoren. Zie Hoe worden wachtwoorden geëvalueerd.
Ntdsutil.exe kan geen zwak DSRM-wachtwoord instellen
Active Directory valideert altijd een nieuw wachtwoord voor de herstelmodus van Directory Services om ervoor te zorgen dat het voldoet aan de vereisten voor wachtwoordcomplexiteit van het domein; met deze validatie worden ook dll's voor wachtwoordfilters aanroepen, zoals Microsoft Entra-wachtwoordbeveiliging. Als het nieuwe DSRM-wachtwoord wordt geweigerd, wordt het volgende foutbericht weergegeven:
C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
WIN32 Error Code: 0xa91
Error Message: Password doesn't meet the requirements of the filter dll's
Wanneer Microsoft Entra Password Protection de gebeurtenislogboeken voor wachtwoordvalidatie registreert voor een Active Directory DSRM-wachtwoord, wordt verwacht dat de gebeurtenislogboekberichten geen gebruikersnaam bevatten. Dit gedrag treedt op omdat het DSRM-account een lokaal account is dat geen deel uitmaakt van het werkelijke Active Directory-domein.
Promotie van domeincontrollerreplica mislukt vanwege een zwak DSRM-wachtwoord
Tijdens het DC-promotieproces wordt het nieuwe wachtwoord voor de herstelmodus van Directory Services verzonden naar een bestaande domeincontroller in het domein voor validatie. Als het nieuwe DSRM-wachtwoord wordt geweigerd, wordt het volgende foutbericht weergegeven:
Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.
Net als in het bovenstaande probleem heeft elke gebeurtenis voor wachtwoordvalidatie van Microsoft Entra-wachtwoordbeveiliging lege gebruikersnamen voor dit scenario.
Degradatie van de domeincontroller mislukt vanwege een zwak lokaal beheerderswachtwoord
Er wordt ondersteuning geboden voor het degraderen van een domeincontroller waarop de DC-agentsoftware nog steeds wordt uitgevoerd. Beheerders moeten zich echter bewust zijn dat de DC-agentsoftware het huidige wachtwoordbeleid blijft afdwingen tijdens de degradatieprocedure. Het nieuwe lokale beheerdersaccountwachtwoord (opgegeven als onderdeel van de degradatiebewerking) wordt gevalideerd zoals elk ander wachtwoord. Microsoft raadt aan om veilige wachtwoorden te kiezen voor lokale beheerdersaccounts als onderdeel van een DC-degradatieprocedure.
Zodra de degradatie is geslaagd en de domeincontroller opnieuw is opgestart en opnieuw wordt uitgevoerd als een normale lidserver, keert de DC-agentsoftware terug naar uitvoering in een passieve modus. Het kan vervolgens op elk gewenst moment worden verwijderd.
Opstarten naar Directory Services Repair Mode
Als de domeincontroller wordt opgestart in de herstelmodus van Directory Services, detecteert de DLL voor het wachtwoordfilter van de DC-agent deze voorwaarde en zorgt ervoor dat alle activiteiten voor wachtwoordvalidatie of afdwinging worden uitgeschakeld, ongeacht de huidige actieve beleidsconfiguratie. Met de DLL voor het wachtwoordfilter van de DC-agent wordt een waarschuwingsgebeurtenis 10023 vastgelegd in het Gebeurtenislogboek van de beheerder, bijvoorbeeld:
The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.
Openbare preview van DC-agentsoftware is verlopen
Tijdens de openbare previewperiode van Microsoft Entra Password Protection is de DC-agentsoftware vastgelegd om te stoppen met het verwerken van aanvragen voor wachtwoordvalidatie op de volgende datums:
- Versie 1.2.65.0 stopt met het verwerken van aanvragen voor wachtwoordvalidatie op 1 september 2019.
- Versie 1.2.25.0 en eerder is gestopt met het verwerken van aanvragen voor wachtwoordvalidatie op 1 juli 2019.
Naarmate de deadline nadert, verzenden alle DC-agentversies waarvoor een tijdslimiet geldt een 10021-gebeurtenis in het gebeurtenislogboek van de DC-agentbeheerder tijdens het opstarten. De gebeurtenis ziet er als volgt uit:
The password filter dll has successfully loaded and initialized.
The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.
Expiration date: 9/01/2019 0:00:00 AM
This message will not be repeated until the next reboot.
Zodra de deadline is verstreken, verzenden alle DC-agentversies waarvoor een tijdslimiet geldt een 10022-gebeurtenis in het gebeurtenislogboek van de DC-agentbeheerder tijdens het opstarten. De gebeurtenis ziet er als volgt uit:
The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.
No further messages will be logged until after the next reboot.
Omdat de deadline alleen wordt gecontroleerd bij het initiële opstarten, ziet u deze gebeurtenissen mogelijk pas nadat de kalenderdeadline is verstreken. Zodra de deadline is herkend, treden er geen negatieve gevolgen op de domeincontroller of de grotere omgeving op, behalve dat alle wachtwoorden automatisch worden goedgekeurd.
Belangrijk
Microsoft raadt aan dat verlopen openbare preview DC-agents onmiddellijk worden bijgewerkt naar de nieuwste versie.
Een eenvoudige manier om DC-agents in uw omgeving te detecteren die moeten worden bijgewerkt, is door de cmdlet Get-AzureADPasswordProtectionDCAgent uit te voeren, bijvoorbeeld:
PS C:\> Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bpl1.bpl.com
SoftwareVersion : 1.2.125.0
Domain : bpl.com
Forest : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC : 8/1/2019 10:00:00 PM
AzureTenant : bpltest.onmicrosoft.com
Voor dit onderwerp is het veld SoftwareVersion duidelijk de sleuteleigenschap die moet worden bekeken. U kunt ook PowerShell-filters gebruiken om DC-agents te filteren die zich op of boven de vereiste basislijnversie bevinden, bijvoorbeeld:
PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}
De Microsoft Entra Password Protection Proxy-software is in geen enkele versie beperkt. Microsoft raadt aan zowel DC- als proxyagents alsnog bij te werken naar de nieuwste versies zodra deze worden uitgebracht. De cmdlet Get-AzureADPasswordProtectionProxy kan worden gebruikt om proxyagents te vinden waarvoor upgrades zijn vereist, vergelijkbaar met het bovenstaande voorbeeld voor DC-agents.
Raadpleeg De DC-agent upgraden en De proxyservice upgraden voor meer informatie over specifieke upgradeprocedures.
Noodherstel
Als zich een situatie voordoet waarbij de DC-agentservice problemen veroorzaakt, kan de DC-agentservice onmiddellijk worden afgesloten. De DLL voor het wachtwoordfilter van de DC-agent probeert nog steeds de niet-actieve service aan te roepen en meldt waarschuwingsgebeurtenissen (10012, 10013), maar alle binnenkomende wachtwoorden worden gedurende die tijd geaccepteerd. De DC-agentservice kan vervolgens ook worden geconfigureerd via Windows Service Control Manager met een opstarttype 'Uitgeschakeld' indien nodig.
Een andere herstelmaatregel is om de modus Inschakelen in te stellen op Nee in de Microsoft Entra Password Protection-portal. Zodra het bijgewerkte beleid is gedownload, worden alle DC-agentservices in een stilgezette modus geplaatst waarin alle wachtwoorden worden geaccepteerd. Zie Bewerkingsmodi voor meer informatie.
Verwijdering
Als wordt besloten om de Software voor wachtwoordbeveiliging van Microsoft Entra te verwijderen en alle gerelateerde statussen van de domeinen en forests op te ruimen, kan deze taak worden uitgevoerd met behulp van de volgende stappen:
Belangrijk
Het is belangrijk om deze stappen op volgorde uit te voeren. Als er een exemplaar van de proxyservice wordt uitgevoerd, wordt het serviceConnectionPoint-object periodiek opnieuw gemaakt. Als er een exemplaar van de DC agentservice wordt uitgevoerd, worden het serviceConnectionPoint-object en de sysvol-status periodiek opnieuw gemaakt.
Verwijder de proxysoftware van alle computers. Voor deze stap is geen herstart vereist.
Verwijder de DC Agent-software van alle domeincontrollers. Voor deze stap is een herstart wel vereist.
Verwijder handmatig alle verbindingspunten van de proxyservice in elke domeinnaamgevingscontext. De locatie van deze objecten kan worden gedetecteerd met de volgende Active Directory PowerShell-opdracht:
$scp = "serviceConnectionPoint" $keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*" Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }Laat het sterretje ('*') aan het einde van de variabele waarde $keywords niet weg.
De resulterende objecten die via de opdracht
Get-ADObjectzijn gevonden, kunnen vervolgens handmatig worden doorgesluisd naarRemove-ADObjectof worden verwijderd.Verwijder handmatig alle verbindingspunten van de DC-agent in elke domeinnaamgevingscontext. Er kan één van deze objecten per domeincontroller in het forest zijn, afhankelijk van hoe breed de software is geïmplementeerd. De locatie van dat object kan worden gedetecteerd met de volgende Active Directory PowerShell-opdracht:
$scp = "serviceConnectionPoint" $keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*" Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }De resulterende objecten die via de opdracht
Get-ADObjectzijn gevonden, kunnen vervolgens handmatig worden doorgesluisd naarRemove-ADObjectof worden verwijderd.Laat het sterretje ('*') aan het einde van de variabele waarde $keywords niet weg.
Verwijder handmatig de configuratiestatus op forestniveau. De configuratiestatus van het forest wordt onderhouden in een container in de naamgevingscontext van de Active Directory-configuratie. Het kan als volgt worden gedetecteerd en verwijderd:
$passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext Remove-ADObject -Recursive $passwordProtectionConfigContainerVerwijder handmatig alle sysvol-gerelateerde statussen door de volgende map en alle bijbehorende inhoud handmatig te verwijderen:
\\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtectionIndien nodig kan dit pad ook lokaal worden geopend op een bepaalde domeincontroller; de standaardlocatie zou ongeveer hetzelfde zijn als het volgende pad:
%windir%\sysvol\domain\Policies\AzureADPasswordProtectionDit pad verschilt als de sysvol-share is geconfigureerd op een niet-standaardlocatie.
Statustests met PowerShell-cmdlets
De PowerShell-module AzureADPasswordProtection bevat twee statusgerelateerde cmdlets die basisverificatie uitvoeren om te controleren of de software is geïnstalleerd en werkt. Het is een goed idee om deze cmdlets uit te voeren na het instellen van een nieuwe implementatie, daarna periodiek, en wanneer een probleem wordt onderzocht.
Elke afzonderlijke statustest retourneert een basisresultaat Geslaagd of Mislukt, plus een optioneel bericht over een fout. In gevallen waarin de oorzaak van een fout niet duidelijk is, zoekt u naar foutberichten van gebeurtenislogboeken die de fout kunnen verklaren. Het inschakelen van tekstlogboekberichten kan ook handig zijn. Zie Microsoft Entra-wachtwoordbeveiliging controleren voor meer informatie.
Proxystatustests
De cmdlet Test-AzureADPasswordProtectionProxyHealth ondersteunt twee statustests die afzonderlijk kunnen worden uitgevoerd. Met een derde modus kunt u alle tests uitvoeren waarvoor geen parameterinvoer is vereist.
Verificatie van proxyregistratie
Deze test controleert of de proxyagent correct is geregistreerd bij Azure en kan worden geverifieerd bij Azure. Een geslaagde uitvoering ziet er als volgt uit:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyRegistration Passed
Als er een fout wordt gedetecteerd, retourneert de test een mislukt resultaat en een optioneel foutbericht. Hier volgt een voorbeeld van een mogelijke fout:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyProxyRegistration
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyRegistration Failed No proxy certificates were found - please run the Register-AzureADPasswordProtectionProxy cmdlet to register the proxy.
Proxyverificatie van end-to-end Azure-connectiviteit
Deze test is een superset van de test VerifyProxyRegistration. Hiervoor moet de proxyagent correct zijn geregistreerd bij Azure, moet de agent kunnen worden geverifieerd bij Azure en moet de agent tot slot een controle kunnen toevoegen of er een bericht naar Azure kan worden verzonden, om zeker te zijn dat volledige end-to-end communicatie werkt.
Een geslaagde uitvoering ziet er als volgt uit:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -VerifyAzureConnectivity
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyAzureConnectivity Passed
Proxyverificatie van alle tests
Deze modus maakt het bulksgewijs uitvoeren van alle tests mogelijk die worden ondersteund door de cmdlet waarvoor geen parameterinvoer is vereist. Een geslaagde uitvoering ziet er als volgt uit:
PS C:\> Test-AzureADPasswordProtectionProxyHealth -TestAll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyTLSConfiguration Passed
VerifyProxyRegistration Passed
VerifyAzureConnectivity Passed
Statustests voor DC-agent
De cmdlet Test-AzureADPasswordProtectionDCAgentHealth ondersteunt verschillende statustests die afzonderlijk kunnen worden uitgevoerd. Met een derde modus kunt u alle tests uitvoeren waarvoor geen parameterinvoer is vereist.
Standaard statustests voor DC-agent
De volgende tests kunnen allemaal afzonderlijk worden uitgevoerd en accepteren geen parameters. Een korte beschrijving van elke test wordt weergegeven in de volgende tabel.
| Statustest voor DC-agent | Beschrijving |
|---|---|
| -VerifyPasswordFilterDll | Controleert of de DLL voor het wachtwoordfilter momenteel is geladen en de DC-agentservice kan worden aangeroepen |
| -VerifyForestRegistration | Controleert of het forest momenteel is geregistreerd |
| -VerifyEncryptionDecryption | Controleert of standaardversleuteling en -ontsleuteling werkt met behulp van de Microsoft KDS-service |
| -VerifyDomainIsUsingDFSR | Controleert of het huidige domein DFSR gebruikt voor sysvol-replicatie |
| -VerifyAzureConnectivity | Controleert of end-to-end-communicatie met Azure werkt met behulp van een beschikbare proxy |
Hier volgt een voorbeeld van de test -VerifyPasswordFilterDll die wordt doorgegeven; de andere tests zien er ongeveer hetzelfde uit:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyPasswordFilterDll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyPasswordFilterDll Passed
DC-agentverificatie van alle tests
Deze modus maakt het bulksgewijs uitvoeren van alle tests mogelijk die worden ondersteund door de cmdlet waarvoor geen parameterinvoer is vereist. Een geslaagde uitvoering ziet er als volgt uit:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -TestAll
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyPasswordFilterDll Passed
VerifyForestRegistration Passed
VerifyEncryptionDecryption Passed
VerifyDomainIsUsingDFSR Passed
VerifyAzureConnectivity Passed
Connectiviteit testen met behulp van specifieke proxyservers
Veel situaties omtrent het oplossen van problemen bevatten het onderzoeken van netwerkconnectiviteit tussen DC-agents en proxy's. Er zijn twee gezondheidstests beschikbaar die zich specifiek op dergelijke problemen richten. Voor deze tests moet een specifieke proxyserver worden opgegeven.
Connectiviteit tussen een DC-agent en een specifieke proxy verifiëren
Deze test valideert de connectiviteit via de eerste communicatiepoot van de DC-agent naar de proxy. Er wordt gecontroleerd of de proxy de aanroep ontvangt, maar er is geen communicatie met Azure bij betrokken. Een geslaagde uitvoering ziet er zo uit:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyConnectivity Passed
Hier volgt een voorbeeld van een foutvoorwaarde waarbij de proxyservice die op de doelserver wordt uitgevoerd, is gestopt:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyProxyConnectivity bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyProxyConnectivity Failed The RPC endpoint mapper on the specified proxy returned no results; please check that the proxy service is running on that server.
Connectiviteit tussen een DC-agent en Azure controleren (met behulp van een specifieke proxy)
Met deze test wordt de volledige end-to-end-connectiviteit tussen een DC-agent en Azure gevalideerd met behulp van een specifieke proxy. Een geslaagde uitvoering ziet er zo uit:
PS C:\> Test-AzureADPasswordProtectionDCAgentHealth -VerifyAzureConnectivityViaSpecificProxy bpl2.bpl.com
DiagnosticName Result AdditionalInfo
-------------- ------ --------------
VerifyAzureConnectivityViaSpecificProxy Passed
Volgende stappen
Veelgestelde vragen over Microsoft Entra-wachtwoordbeveiliging
Zie het artikel Ongeldige wachtwoorden verbieden voor meer informatie over de algemene en aangepaste lijsten met verboden wachtwoorden