Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect-synchronisatie

Dit onderwerp bevat stappen voor het oplossen van problemen met wachtwoord-hashsynchronisatie. Als wachtwoorden niet worden gesynchroniseerd zoals verwacht, kan dit voor een subset van gebruikers of voor alle gebruikers zijn.

Voor implementatie van Microsoft Entra Verbinding maken met versie 1.1.614.0 of later gebruikt u de probleemoplossingstaak in de wizard om problemen met wachtwoord-hashsynchronisatie op te lossen:

• Als u een probleem ondervindt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: los problemen op met behulp van de sectie probleemoplossingstaak .

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: los problemen op met behulp van de sectie probleemoplossingstaak .

Voor implementatie met versie 1.1.524.0 of hoger is er een diagnostische cmdlet die u kunt gebruiken om problemen met wachtwoord-hashsynchronisatie op te lossen:

• Als u een probleem hebt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: los problemen op met behulp van de sectie met diagnostische cmdlets .

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: los problemen op met behulp van de sectie diagnostische cmdlet .

Voor oudere versies van Microsoft Entra Verbinding maken implementatie:

• Als u een probleem ondervindt waarbij geen wachtwoorden worden gesynchroniseerd, raadpleegt u de sectie Geen wachtwoorden worden gesynchroniseerd: sectie met handmatige stappen voor probleemoplossing.

• Als u een probleem hebt met afzonderlijke objecten, raadpleegt u het one-object dat geen wachtwoorden synchroniseert: sectie met handmatige stappen voor probleemoplossing.

Er worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de probleemoplossingstaak

U kunt de probleemoplossingstaak gebruiken om erachter te komen waarom er geen wachtwoorden worden gesynchroniseerd.

Notitie

De probleemoplossingstaak is alleen beschikbaar voor Microsoft Entra Verbinding maken versie 1.1.614.0 of hoger.

De probleemoplossingstaak uitvoeren

Om problemen op te lossen waarbij geen wachtwoorden worden gesynchroniseerd:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Verbinding maken-server met de optie Uitvoeren als Beheer istrator.

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Start de wizard Microsoft Entra Verbinding maken.

4. Navigeer naar de pagina Aanvullende taken , selecteer Problemen oplossen en klik op Volgende.

5. Klik op de pagina Probleemoplossing op Starten om het menu Probleemoplossing in PowerShell te starten.

6. Selecteer Problemen met wachtwoord-hashsynchronisatie oplossen in het hoofdmenu.

7. Selecteer in het submenu wachtwoord-hashsynchronisatie helemaal niet.

Inzicht in de resultaten van de probleemoplossingstaak

De probleemoplossingstaak voert de volgende controles uit:

• Valideert of de functie wachtwoord-hashsynchronisatie is ingeschakeld voor uw Microsoft Entra-tenant.

• Valideert of de Microsoft Entra-Verbinding maken-server zich niet in de faseringsmodus bevindt.

• Voor elke bestaande on-premises Active Directory-connector (die overeenkomt met een bestaand Active Directory-forest):

  • Hiermee wordt gecontroleerd of de functie voor wachtwoord-hashsynchronisatie is ingeschakeld.

  • Hiermee wordt gezocht naar heartbeat-gebeurtenissen voor wachtwoord-hashsynchronisatie in de windows-toepassingslogboeken.

  • Voor elk Active Directory-domein onder de on-premises Active Directory-connector:

    • Valideert of het domein bereikbaar is vanaf de Microsoft Entra Verbinding maken-server.

    • Valideert dat de Active Directory-domein Services-accounts (AD DS) die worden gebruikt door de on-premises Active Directory-connector, de juiste gebruikersnaam, wachtwoord en machtigingen heeft die zijn vereist voor wachtwoord-hashsynchronisatie.

In het volgende diagram ziet u de resultaten van de cmdlet voor een on-premises Active Directory-topologie met één domein:

In de rest van deze sectie worden specifieke resultaten beschreven die worden geretourneerd door de taak en de bijbehorende problemen.

De functie wachtwoord-hashsynchronisatie is niet ingeschakeld

Als u wachtwoord-hashsynchronisatie niet hebt ingeschakeld met behulp van de wizard Microsoft Entra Verbinding maken, wordt de volgende fout geretourneerd:

Microsoft Entra Verbinding maken-server bevindt zich in faseringsmodus

Als de Microsoft Entra-Verbinding maken-server zich in de faseringsmodus bevindt, wordt wachtwoord-hashsynchronisatie tijdelijk uitgeschakeld en wordt de volgende fout geretourneerd:

Geen heartbeat-gebeurtenissen voor wachtwoord-hashsynchronisatie

Elke on-premises Active Directory-connector heeft een eigen synchronisatiekanaal voor wachtwoord-hashs. Wanneer het synchronisatiekanaal voor wachtwoord-hashs tot stand is gebracht en er geen wachtwoordwijzigingen moeten worden gesynchroniseerd, wordt er elke 30 minuten een heartbeat-gebeurtenis (EventId 654) gegenereerd onder het Gebeurtenislogboek van de Windows-toepassing. Voor elke on-premises Active Directory-connector zoekt de cmdlet in de afgelopen drie uur naar bijbehorende heartbeatgebeurtenissen. Als er geen heartbeatgebeurtenis wordt gevonden, wordt de volgende fout geretourneerd:

AD DS-account heeft niet de juiste machtigingen

Als het AD DS-account dat wordt gebruikt door de on-premises Active Directory-connector voor het synchroniseren van wachtwoordhashes niet over de juiste machtigingen beschikt, wordt de volgende fout geretourneerd:

Onjuiste gebruikersnaam of wachtwoord voor AD DS-account

Als het AD DS-account dat wordt gebruikt door de on-premises Active Directory-connector voor het synchroniseren van wachtwoordhashes een onjuiste gebruikersnaam of wachtwoord heeft, wordt de volgende fout geretourneerd:

Voor één object worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de probleemoplossingstaak

U kunt de probleemoplossingstaak gebruiken om te bepalen waarom een object geen wachtwoorden synchroniseert.

Notitie

De probleemoplossingstaak is alleen beschikbaar voor Microsoft Entra Verbinding maken versie 1.1.614.0 of hoger.

De diagnostische cmdlet uitvoeren

Problemen voor een specifiek gebruikersobject oplossen:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Verbinding maken-server met de optie Uitvoeren als Beheer istrator.

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Start de wizard Microsoft Entra Verbinding maken.

4. Navigeer naar de pagina Aanvullende taken , selecteer Problemen oplossen en klik op Volgende.

5. Klik op de pagina Probleemoplossing op Starten om het menu Probleemoplossing in PowerShell te starten.

6. Selecteer Problemen met wachtwoord-hashsynchronisatie oplossen in het hoofdmenu.

7. Selecteer Wachtwoord wordt niet gesynchroniseerd voor een specifiek gebruikersaccount in het submenu.

Inzicht in de resultaten van de probleemoplossingstaak

De probleemoplossingstaak voert de volgende controles uit:

• Onderzoekt de status van het Active Directory-object in de Active Directory-connectorruimte, Metaverse en Microsoft Entra-connectorruimte.

• Valideert of er synchronisatieregels zijn waarvoor wachtwoord-hashsynchronisatie is ingeschakeld en toegepast op het Active Directory-object.

• Pogingen om de resultaten van de laatste poging om het wachtwoord voor het object te synchroniseren en weer te geven.

In het volgende diagram ziet u de resultaten van de cmdlet bij het oplossen van problemen met wachtwoord-hashsynchronisatie voor één object:

In de rest van deze sectie worden specifieke resultaten beschreven die worden geretourneerd door de cmdlet en de bijbehorende problemen.

Het Active Directory-object wordt niet geëxporteerd naar Microsoft Entra-id

wachtwoord-hashsynchronisatie voor dit on-premises Active Directory-account mislukt omdat er geen corresponderend object in de Microsoft Entra-tenant is. De volgende fout wordt geretourneerd:

Gebruiker heeft een tijdelijk wachtwoord

Oudere versies van Microsoft Entra Verbinding maken bieden geen ondersteuning voor het synchroniseren van tijdelijke wachtwoorden met Microsoft Entra-id. Een wachtwoord wordt als tijdelijk beschouwd als de optie Wachtwoord wijzigen bij volgende aanmelding is ingesteld op de on-premises Active Directory-gebruiker. De volgende fout wordt geretourneerd met deze oudere versies:

Als u synchronisatie van tijdelijke wachtwoorden wilt inschakelen, moet Microsoft Entra Verbinding maken versie 2.0.3.0 of hoger zijn geïnstalleerd en moet de functie ForcePasswordChangeOnLogon zijn ingeschakeld.

Resultaten van de laatste poging om het wachtwoord te synchroniseren zijn niet beschikbaar

Microsoft Entra Verbinding maken standaard de resultaten van wachtwoord-hashsynchronisatiepogingen gedurende zeven dagen opslaat. Als er geen resultaten beschikbaar zijn voor het geselecteerde Active Directory-object, wordt de volgende waarschuwing geretourneerd:

Er worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de cmdlet voor diagnose

U kunt de Invoke-ADSyncDiagnostics cmdlet gebruiken om erachter te komen waarom er geen wachtwoorden worden gesynchroniseerd.

Notitie

De Invoke-ADSyncDiagnostics cmdlet is alleen beschikbaar voor Microsoft Entra Verbinding maken versie 1.1.524.0 of hoger.

De diagnostische cmdlet uitvoeren

Om problemen op te lossen waarbij geen wachtwoorden worden gesynchroniseerd:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Verbinding maken-server met de optie Uitvoeren als Beheer istrator.

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Voer Import-Module ADSyncDiagnostics uit.

4. Voer Invoke-ADSyncDiagnostics -PasswordSync uit.

Voor één object worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van de cmdlet voor diagnose

U kunt de Invoke-ADSyncDiagnostics cmdlet gebruiken om te bepalen waarom een object geen wachtwoorden synchroniseert.

Notitie

De Invoke-ADSyncDiagnostics cmdlet is alleen beschikbaar voor Microsoft Entra Verbinding maken versie 1.1.524.0 of hoger.

De diagnostische cmdlet uitvoeren

Problemen oplossen waarbij geen wachtwoorden worden gesynchroniseerd voor een gebruiker:

1. Open een nieuwe Windows PowerShell-sessie op uw Microsoft Entra Verbinding maken-server met de optie Uitvoeren als Beheer istrator.

2. Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.

3. Voer Import-Module ADSyncDiagnostics uit.

4. Voer de volgende cmdlet uit:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Bijvoorbeeld:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Er worden geen wachtwoorden gesynchroniseerd: handmatige stappen voor probleemoplossing

Volg deze stappen om te bepalen waarom er geen wachtwoorden worden gesynchroniseerd:

1. Bevindt de Verbinding maken-server zich in de faseringsmodus? Een server in de faseringsmodus synchroniseert geen wachtwoorden.

2. Voer het script uit in de sectie De status van de instellingen voor wachtwoordsynchronisatie ophalen . U krijgt een overzicht van de configuratie van wachtwoordsynchronisatie.

   

3. Als de functie niet is ingeschakeld in Microsoft Entra-id of als de status van het synchronisatiekanaal niet is ingeschakeld, voert u de wizard Verbinding maken installatie uit. Selecteer Synchronisatieopties aanpassen en schakel wachtwoordsynchronisatie uit. Met deze wijziging wordt de functie tijdelijk uitgeschakeld. Voer vervolgens de wizard opnieuw uit en schakel wachtwoordsynchronisatie opnieuw in. Voer het script opnieuw uit om te controleren of de configuratie juist is.

4. Zoek in het gebeurtenislogboek naar fouten. Zoek naar de volgende gebeurtenissen, die duiden op een probleem:

   • Bron: 'Adreslijstsynchronisatie' id: 0, 611, 652, 655 Als u deze gebeurtenissen ziet, hebt u een verbindingsprobleem. Het gebeurtenislogboekbericht bevat forestgegevens waar u een probleem hebt.

5. Als u geen heartbeat ziet of als niets anders heeft gewerkt, voert u Trigger een volledige synchronisatie van alle wachtwoorden uit. Voer het script slechts één keer uit.

6. Zie de sectie Problemen met één object oplossen dat geen wachtwoorden synchroniseert.

Verbinding maken iviteitsproblemen

Hebt u verbinding met Microsoft Entra ID?

Heeft het account de vereiste machtigingen om de wachtwoordhashes in alle domeinen te lezen? Als u Verbinding maken hebt geïnstalleerd met behulp van Express-instellingen, moeten de machtigingen al juist zijn.

Als u aangepaste installatie hebt gebruikt, stelt u de machtigingen handmatig in door het volgende te doen:

1. Start Synchronization Service Manager om het account te vinden dat wordt gebruikt door de Active Directory-connector.

2. Ga naar Verbinding maken ors en zoek vervolgens naar het on-premises Active Directory-forest dat u wilt oplossen.

3. Selecteer de connector en klik vervolgens op Eigenschappen.

4. Ga naar Verbinding maken met Active Directory-forest.

   
   Noteer de gebruikersnaam en het domein waar het account zich bevindt.

5. Start Active Directory en controleer vervolgens of het account dat u eerder hebt gevonden, de volgende machtigingen heeft ingesteld in de hoofdmap van alle domeinen in uw forest:

   • Directorywijzigingen repliceren
   • Alle directorywijzigingen repliceren

6. Zijn de domeincontrollers bereikbaar via Microsoft Entra Verbinding maken? Als de Verbinding maken-server geen verbinding kan maken met alle domeincontrollers, configureert u Alleen voorkeursdomeincontroller gebruiken.

   

7. Ga terug naar Synchronization Service Manager en configureer directorypartitie.

8. Selecteer uw domein in Mappartities selecteren, schakel het selectievakje Alleen voorkeursdomeincontrollers gebruiken in en klik vervolgens op Configureren.

9. Voer in de lijst de domeincontrollers in die Verbinding maken moeten gebruiken voor wachtwoordsynchronisatie. Dezelfde lijst wordt ook gebruikt voor importeren en exporteren. Voer deze stappen uit voor al uw domeinen.

Notitie

Als u deze wijzigingen wilt toepassen, start u de Microsoft Entra ID Sync-service (ADSync) opnieuw.

10. Als het script laat zien dat er geen heartbeat is, voert u het script uit in Trigger een volledige synchronisatie van alle wachtwoorden.

Voor één object worden geen wachtwoorden gesynchroniseerd: het probleem oplossen met behulp van handmatige stappen voor probleemoplossing

U kunt eenvoudig problemen met wachtwoord-hashsynchronisatie oplossen door de status van een object te controleren.

1. Zoek in Active Directory naar de gebruiker en controleer vervolgens of het selectievakje Gebruiker het wachtwoord moet wijzigen bij volgende aanmelding uitgeschakeld.

   

   Als het selectievakje is ingeschakeld, vraagt u de gebruiker zich aan te melden en het wachtwoord te wijzigen. Tijdelijke wachtwoorden worden niet gesynchroniseerd met Microsoft Entra-id.

2. Als het wachtwoord er correct uitziet in Active Directory, volgt u de gebruiker in de synchronisatie-engine. Door de gebruiker van on-premises Active Directory naar Microsoft Entra-id te volgen, kunt u zien of er een beschrijvende fout op het object is opgetreden.

   a. Start Synchronization Service Manager.

   b. Klik op Verbinding maken oren.

   c. Selecteer de Active Directory-Verbinding maken or waar de gebruiker zich bevindt.

   d. Selecteer Zoeken Verbinding maken or spatie.

   e. Selecteer in het vak Bereik DN of Anker en voer vervolgens de volledige DN in van de gebruiker die u wilt oplossen.

   

   f. Zoek de gebruiker die u zoekt en klik vervolgens op Eigenschappen om alle kenmerken weer te geven. Als de gebruiker zich niet in het zoekresultaat bevindt, controleert u de filterregels en controleert u of u Toepassen uitvoert en controleert u of de gebruiker wijzigingen moet weergeven in Verbinding maken.

   g. Als u de details van de wachtwoordsynchronisatie van het object voor de afgelopen week wilt zien, klikt u op Logboek.

   

   Als het objectlogboek leeg is, kan microsoft Entra Verbinding maken de wachtwoordhash niet lezen uit Active Directory. Ga door met het oplossen van problemen met Verbinding maken iviteitsfouten. Als u een andere waarde dan geslaagd ziet, raadpleegt u de tabel in het wachtwoordsynchronisatielogboek.

   h. Selecteer het tabblad Herkomst en zorg ervoor dat ten minste één synchronisatieregel in de kolom PasswordSync waar is. In de standaardconfiguratie is de naam van de synchronisatieregel in AD - User AccountEnabled.

   

   i. Klik op Metaverse-objecteigenschappen om een lijst met gebruikerskenmerken weer te geven.

   

   Controleer of er geen cloudFiltered kenmerk aanwezig is. Zorg ervoor dat de domeinkenmerken (domainFQDN en domainNetBios) de verwachte waarden hebben.

   j. Klik op het tabblad Verbinding maken ors. Zorg ervoor dat u connectors ziet voor zowel on-premises Active Directory als Microsoft Entra-id.

   

   k. Selecteer de rij die Microsoft Entra-id vertegenwoordigt, klik op Eigenschappen en klik vervolgens op het tabblad Herkomst . Het verbindingsruimteobject moet een uitgaande regel hebben in de kolom PasswordSync ingesteld op Waar. In de standaardconfiguratie is de naam van de synchronisatieregel out to Microsoft Entra ID - User Join.

   

Wachtwoordsynchronisatielogboek

De statuskolom kan de volgende waarden hebben:

-Status	Omschrijving
Voltooid	Het wachtwoord is gesynchroniseerd.
FilteredByTarget	Het wachtwoord is ingesteld op Gebruiker moet het wachtwoord wijzigen bij de volgende aanmelding. Het wachtwoord is niet gesynchroniseerd.
NoTarget Verbinding maken ion	Geen object in de metaverse of in de Microsoft Entra-connectorruimte.
Bron Verbinding maken orNotPresent	Er is geen object gevonden in de on-premises Active Directory-connectorruimte.
TargetNotExportedToDirectory	Het object in de Microsoft Entra-connectorruimte is nog niet geëxporteerd.
MigratedCheckDetailsForMoreInfo	Logboekvermelding is gemaakt vóór build 1.0.9125.0 en wordt weergegeven in de verouderde status.
Fout	Service heeft een onbekende fout geretourneerd.
Onbekend	Er is een fout opgetreden tijdens het verwerken van een batch wachtwoordhashes.
MissingAttribute	Specifieke kenmerken (bijvoorbeeld Kerberos-hash) die vereist zijn voor Microsoft Entra Domain Services zijn niet beschikbaar.
RetryRequestedByTarget	Specifieke kenmerken (bijvoorbeeld Kerberos-hash) die vereist zijn voor Microsoft Entra Domain Services, waren eerder niet beschikbaar. Er wordt geprobeerd de wachtwoord-hash van de gebruiker opnieuw te synchroniseren.

Scripts om problemen op te lossen

De status van instellingen voor wachtwoordsynchronisatie ophalen

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Een volledige synchronisatie van alle wachtwoorden activeren

Notitie

Voer dit script slechts één keer uit. Als u het meer dan één keer wilt uitvoeren, is iets anders het probleem. Neem contact op met Microsoft Ondersteuning om het probleem op te lossen.

U kunt een volledige synchronisatie van alle wachtwoorden activeren met behulp van het volgende script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Volgende stappen

• Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync
• Microsoft Entra Verbinding maken Sync: Synchronisatieopties aanpassen
• Uw on-premises identiteiten integreren met Microsoft Entra-id