Solução de problemas de sincronização de hash de senha com a sincronização do Azure AD ConnectTroubleshoot password hash synchronization with Azure AD Connect sync

Este tópico fornece etapas para solucionar problemas com a sincronização de hash de senha.This topic provides steps for how to troubleshoot issues with password hash synchronization. Se as senhas não estiverem sincronizando conforme o esperado, isso poderá ocorrer para um subconjunto de usuários ou para todos os usuários.If passwords are not synchronizing as expected, it can be either for a subset of users or for all users.

Para a implantação do Azure AD (Azure Active Directory) Connect com a versão 1.1.614.0 ou posterior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de hash de senha:For Azure Active Directory (Azure AD) Connect deployment with version 1.1.614.0 or after, use the troubleshooting task in the wizard to troubleshoot password hash synchronization issues:

Para a implantação com a versão 1.1.524.0 ou posterior, há um cmdlet de diagnóstico que você pode usar para solucionar problemas de sincronização de hash de senha:For deployment with version 1.1.524.0 or later, there is a diagnostic cmdlet that you can use to troubleshoot password hash synchronization issues:

Para versões mais antigas de implantação do Azure AD Connect:For older versions of Azure AD Connect deployment:

Nenhuma senha é sincronizada: solucionar problemas usando a tarefa de solução de problemasNo passwords are synchronized: troubleshoot by using the troubleshooting task

Você pode usar a tarefa de solução de problemas para descobrir por que nenhuma senha é sincronizada.You can use the troubleshooting task to figure out why no passwords are synchronized.

Observação

A tarefa de solução de problemas está disponível apenas para o Azure AD Connect versão 1.1.614.0 ou posterior.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Executar a tarefa de solução de problemasRun the troubleshooting task

Para solucionar problemas em que nenhuma senha é sincronizada:To troubleshoot issues where no passwords are synchronized:

  1. Abra uma nova sessão do Windows PowerShell no servidor do Azure AD Connect com a opção Executar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Execute Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Iniciar o assistente do Azure AD Connect.Start the Azure AD Connect wizard.

  4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemas e clique em Avançar.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Na página de solução de problemas, clique em Iniciar para iniciar o menu de solução de problemas no PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. No menu principal, selecione Solucionar Problemas de Sincronização de hash de Senha.In the main menu, select Troubleshoot password hash synchronization.

  7. No submenu, selecione A Sincronização de hash de Senha não funciona.In the sub menu, select Password hash synchronization does not work at all.

Entender os resultados da tarefa de solução de problemasUnderstand the results of the troubleshooting task

A tarefa de solução de problemas executa as seguintes verificações:The troubleshooting task performs the following checks:

  • Valida se o recurso de sincronização de hash de senha está habilitado para seu locatário do Azure AD.Validates that the password hash synchronization feature is enabled for your Azure AD tenant.

  • Valida se o servidor do Azure AD Connect não está em modo de preparo.Validates that the Azure AD Connect server is not in staging mode.

  • Para cada conector local existente do Active Directory (que corresponde a uma floresta existente do Active Directory):For each existing on-premises Active Directory connector (which corresponds to an existing Active Directory forest):

    • Valida se o recurso de sincronização de hash de senha está habilitado.Validates that the password hash synchronization feature is enabled.

    • Pesquisa eventos de pulsação de sincronização de hash de senha nos logs de eventos de aplicativo do Windows.Searches for password hash synchronization heartbeat events in the Windows Application Event logs.

    • Para cada domínio do Active Directory sob o Active Directory Connector local:For each Active Directory domain under the on-premises Active Directory connector:

      • Valida se o domínio está acessível no servidor do Azure AD Connect.Validates that the domain is reachable from the Azure AD Connect server.

      • Valida se as contas do AD DS (Active Directory Domain Services) usadas pelo Active Directory Connector local tem o nome de usuário, a senha e as permissões corretos, necessários para a sincronização de hash de senha.Validates that the Active Directory Domain Services (AD DS) accounts used by the on-premises Active Directory connector has the correct username, password, and permissions required for password hash synchronization.

O diagrama a seguir ilustra os resultados do cmdlet para uma topologia do Active Directory local de domínio único:The following diagram illustrates the results of the cmdlet for a single-domain, on-premises Active Directory topology:

Saída de diagnóstico da sincronização de hash de senha

O restante desta seção descreve resultados específicos que são retornados pela tarefa e os problemas correspondentes.The rest of this section describes specific results that are returned by the task and corresponding issues.

O recurso de sincronização de hash de senha não está habilitadopassword hash synchronization feature isn't enabled

Se você não tiver habilitado a sincronização de hash de senha usando o assistente do Azure AD Connect, o seguinte erro será retornado:If you haven't enabled password hash synchronization by using the Azure AD Connect wizard, the following error is returned:

A sincronização de hash de senha não está habilitada

O servidor do Azure AD Connect está em modo de preparoAzure AD Connect server is in staging mode

Se o servidor do Azure AD Connect estiver em modo de preparo, a sincronização de hash de senha será temporariamente desabilitada e o seguinte erro será retornado:If the Azure AD Connect server is in staging mode, password hash synchronization is temporarily disabled, and the following error is returned:

O servidor do Azure AD Connect está em modo de preparo

Nenhum evento de pulsação de sincronização de hash de senhaNo password hash synchronization heartbeat events

Cada Active Directory Connector local tem seu próprio canal de sincronização de hash de senha.Each on-premises Active Directory connector has its own password hash synchronization channel. Quando o canal de sincronização de hash de senha é estabelecido e não existem alterações de senha a serem sincronizadas, um evento de pulsação (EventId 654) é gerado uma vez a cada 30 minutos no log de eventos de aplicativos do Windows.When the password hash synchronization channel is established and there aren't any password changes to be synchronized, a heartbeat event (EventId 654) is generated once every 30 minutes under the Windows Application Event Log. Para cada Active Directory Connector local, o cmdlet pesquisa eventos de pulsação correspondentes nas últimas três horas.For each on-premises Active Directory connector, the cmdlet searches for corresponding heartbeat events in the past three hours. Se nenhum evento de pulsação for encontrado, o seguinte erro será retornado:If no heartbeat event is found, the following error is returned:

Nenhum evento de pulsação de sincronização de hash de senha

A conta do AD DS não tem as permissões corretasAD DS account does not have correct permissions

Se a conta do AD DS usada pelo Active Directory Connector local para sincronizar os hashes de senha não tiver as permissões apropriadas, o seguinte erro será retornado:If the AD DS account that's used by the on-premises Active Directory connector to synchronize password hashes does not have the appropriate permissions, the following error is returned:

Credenciais incorretas

Nome de usuário ou senha incorreta da conta do AD DSIncorrect AD DS account username or password

Se a conta do AD DS usada pelo Active Directory Connector local para sincronizar os hashes de senha tiver um nome de usuário ou uma senha incorreta, o seguinte erro será retornado:If the AD DS account used by the on-premises Active Directory connector to synchronize password hashes has an incorrect username or password, the following error is returned:

Credenciais incorretas

Um objeto não está sincronizando senhas: solucionar problemas usando a tarefa de solução de problemasOne object is not synchronizing passwords: troubleshoot by using the troubleshooting task

Você pode usar a tarefa de solução de problemas para determinar por que um objeto não está sincronizando senhas.You can use the troubleshooting task to determine why one object is not synchronizing passwords.

Observação

A tarefa de solução de problemas está disponível apenas para o Azure AD Connect versão 1.1.614.0 ou posterior.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Executar o cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas de um objeto de usuário específico:To troubleshoot issues for a specific user object:

  1. Abra uma nova sessão do Windows PowerShell no servidor do Azure AD Connect com a opção Executar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Execute Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Iniciar o assistente do Azure AD Connect.Start the Azure AD Connect wizard.

  4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemas e clique em Avançar.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. Na página de solução de problemas, clique em Iniciar para iniciar o menu de solução de problemas no PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. No menu principal, selecione Solucionar Problemas de Sincronização de hash de Senha.In the main menu, select Troubleshoot password hash synchronization.

  7. No submenu, selecione A senha não está sincronizada para uma conta de usuário específica.In the sub menu, select Password is not synchronized for a specific user account.

Entender os resultados da tarefa de solução de problemasUnderstand the results of the troubleshooting task

A tarefa de solução de problemas executa as seguintes verificações:The troubleshooting task performs the following checks:

  • Examina o estado do objeto do Active Directory no espaço do Active Directory Connector, no metaverso e no espaço do conector do Azure AD.Examines the state of the Active Directory object in the Active Directory connector space, Metaverse, and Azure AD connector space.

  • Valida se há regras de sincronização com a sincronização de hash de senha habilitada e aplicada a objeto do Active Directory.Validates that there are synchronization rules with password hash synchronization enabled and applied to the Active Directory object.

  • Tenta recuperar e exibir os resultados da última tentativa de sincronizar a senha do objeto.Attempts to retrieve and display the results of the last attempt to synchronize the password for the object.

O diagrama a seguir ilustra os resultados do cmdlet, ao solucionar problemas de sincronização de hash de senha para um único objeto:The following diagram illustrates the results of the cmdlet when troubleshooting password hash synchronization for a single object:

Saída de diagnóstico da sincronização de hash de senha – objeto único

O restante desta seção descreve os resultados específicos retornados pelo cmdlet e os problemas correspondentes.The rest of this section describes specific results returned by the cmdlet and corresponding issues.

O objeto do Active Directory não é exportado para o Azure ADThe Active Directory object isn't exported to Azure AD

Falha na sincronização de hash de senha para essa conta do Active Directory local porque não há nenhum objeto correspondente no locatário do Azure AD.password hash synchronization for this on-premises Active Directory account fails because there is no corresponding object in the Azure AD tenant. O seguinte erro será retornado:The following error is returned:

Objeto do Azure AD está ausente

O usuário tem uma senha temporáriaUser has a temporary password

Atualmente, o Azure AD Connect não dá suporte à sincronização de senhas temporárias com o Azure AD.Currently, Azure AD Connect does not support synchronizing temporary passwords with Azure AD. Uma senha será considerada temporária se o opção Alterar a senha no próximo logon estiver definida no usuário do Active Directory local.A password is considered to be temporary if the Change password at next logon option is set on the on-premises Active Directory user. O seguinte erro será retornado:The following error is returned:

A senha temporária não é exportada

Os resultados da última tentativa de sincronizar a senha não estão disponíveisResults of last attempt to synchronize password aren't available

Por padrão, o Azure AD Connect armazena os resultados das tentativas de sincronização de hash de senha por sete dias.By default, Azure AD Connect stores the results of password hash synchronization attempts for seven days. Se não houver nenhum resultado disponível para o objeto selecionado do Active Directory, será retornado o seguinte aviso:If there are no results available for the selected Active Directory object, the following warning is returned:

Saída de diagnóstico de um único objeto – nenhum histórico de sincronização de senha

Nenhuma senha é sincronizada: solucionar problemas usando o cmdlet de diagnósticoNo passwords are synchronized: troubleshoot by using the diagnostic cmdlet

Você pode usar o cmdlet Invoke-ADSyncDiagnostics para descobrir por que nenhuma senha é sincronizada.You can use the Invoke-ADSyncDiagnostics cmdlet to figure out why no passwords are synchronized.

Observação

O cmdlet Invoke-ADSyncDiagnostics está disponível apenas para o Azure AD Connect versão 1.1.524.0 ou posterior.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Executar o cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas em que nenhuma senha é sincronizada:To troubleshoot issues where no passwords are synchronized:

  1. Abra uma nova sessão do Windows PowerShell no servidor do Azure AD Connect com a opção Executar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Execute Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Execute Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Execute Invoke-ADSyncDiagnostics -PasswordSync.Run Invoke-ADSyncDiagnostics -PasswordSync.

Um objeto não está sincronizando senhas: solucionar problemas usando o cmdlet de diagnósticoOne object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet

Você pode usar o cmdlet Invoke-ADSyncDiagnostics para determinar por que um objeto não está sincronizando senhas.You can use the Invoke-ADSyncDiagnostics cmdlet to determine why one object is not synchronizing passwords.

Observação

O cmdlet Invoke-ADSyncDiagnostics está disponível apenas para o Azure AD Connect versão 1.1.524.0 ou posterior.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Executar o cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas em que nenhuma senha esteja sincronizada para um usuário:To troubleshoot issues where no passwords are synchronized for a user:

  1. Abra uma nova sessão do Windows PowerShell no servidor do Azure AD Connect com a opção Executar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Execute Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Execute Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Execute o cmdlet a seguir:Run the following cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Por exemplo:For example:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

Nenhuma senha é sincronizada: etapas manuais de solução de problemasNo passwords are synchronized: manual troubleshooting steps

Siga estas etapas para determinar por que nenhuma senha é sincronizada:Follow these steps to determine why no passwords are synchronized:

  1. O servidor do Connect está no modo de preparo?Is the Connect server in staging mode? Um servidor no modo de preparo não sincroniza nenhuma senha.A server in staging mode does not synchronize any passwords.

  2. Execute o script na seção Obter o status das configurações de sincronização de senha.Run the script in the Get the status of password sync settings section. Ele fornece uma visão geral da configuração da sincronização de senha.It gives you an overview of the password sync configuration.

    Saída de script do PowerShell das configurações de sincronização de senha

  3. Se o recurso não estiver habilitado no Azure AD ou se o status do canal de sincronização não estiver habilitado, execute o assistente de instalação do Connect.If the feature is not enabled in Azure AD or if the sync channel status is not enabled, run the Connect installation wizard. Selecione Personalizar opções de sincronizaçãoe desmarque a sincronização de senha. Essa mudança desabilita o recurso temporariamente.Select Customize synchronization options, and unselect password sync. This change temporarily disables the feature. Em seguida, execute o assistente novamente e reabilite a sincronização de senha. Execute o script novamente para verificar se a configuração está correta.Then run the wizard again and re-enable password sync. Run the script again to verify that the configuration is correct.

  4. Procure se há erros no log de eventos.Look in the event log for errors. Procure os seguintes eventos, que poderão indicar um problema:Look for the following events, which would indicate a problem:

    • Origem: “Sincronização de diretório” ID: 0, 611, 652, 655 Quando um desses eventos aparece, há um problema de conectividade.Source: "Directory synchronization" ID: 0, 611, 652, 655 If you see these events, you have a connectivity problem. A mensagem do log de eventos contém informações da floresta em que há um problema.The event log message contains forest information where you have a problem. Para obter mais informações, consulte [Problema de conectividade](#connectivity problem).For more information, see [Connectivity problem](#connectivity problem).
  5. Se não aparecer nenhuma pulsação ou se nada mais funcionou, execute Disparar uma sincronização completa de todas as senhas.If you see no heartbeat or if nothing else worked, run Trigger a full sync of all passwords. Execute o script apenas uma vez.Run the script only once.

  6. Confira a seção Solucionar problemas de um objeto que não está sincronizando senhas.See the Troubleshoot one object that is not synchronizing passwords section.

Problemas de conectividadeConnectivity problems

Você tem conectividade com o Azure AD?Do you have connectivity with Azure AD?

A conta tem as permissões necessárias para ler os hashes de senha em todos os domínios?Does the account have required permissions to read the password hashes in all domains? Se você instalou o Connect usando as configurações Expresso, as permissões já estarão corretas.If you installed Connect by using Express settings, the permissions should already be correct.

Se você usou a instalação personalizada, defina as permissões manualmente, fazendo o seguinte:If you used custom installation, set the permissions manually by doing the following:

  1. Para localizar a conta usada pelo Active Directory Connector, inicie o Synchronization Service Manager.To find the account used by the Active Directory connector, start Synchronization Service Manager.

  2. Acesse Conectores e, em seguida, pesquise a floresta do Active Directory local cujo problema você está solucionando.Go to Connectors, and then search for the on-premises Active Directory forest you are troubleshooting.

  3. Selecione o conector e, em seguida, clique em Propriedades.Select the connector, and then click Properties.

  4. Vá para Conectar-se à floresta do Active Directory.Go to Connect to Active Directory Forest.

    Conta usada pelo Active Directory Connector
    Anote o nome de usuário e o domínio em que a conta está localizada.Note the username and the domain where the account is located.

  5. Inicie os Usuários e Computadores do Active Directory e, em seguida, verifique se a conta que você encontrou anteriormente tem as seguintes permissões definidas na raiz de todos os domínios na floresta:Start Active Directory Users and Computers, and then verify that the account you found earlier has the follow permissions set at the root of all domains in your forest:

    • Replicar alterações de diretórioReplicate Directory Changes
    • Replicar todas as alterações de diretórioReplicate Directory Changes All
  6. Os controladores de domínio estão acessíveis pelo Azure AD Connect?Are the domain controllers reachable by Azure AD Connect? Se o servidor do Connect não puder se conectar a todos os controladores de domínio, configure Usar somente o controlador de domínio preferencial.If the Connect server cannot connect to all domain controllers, configure Only use preferred domain controller.

    Controlador de domínio usado pelo Active Directory Connector

  7. Volte para Synchronization Service Manager e Configurar Partição de Diretório.Go back to Synchronization Service Manager and Configure Directory Partition.

  8. Selecione o domínio em Selecionar partições de diretório, selecione a caixa de seleção Usar somente controladores de domínio preferenciais e, em seguida, clique em Configurar.Select your domain in Select directory partitions, select the Only use preferred domain controllers check box, and then click Configure.

  9. Na lista, insira os controladores de domínio que o Connect deve usar para sincronização de senha. A mesma lista também é usada para importação e exportação.In the list, enter the domain controllers that Connect should use for password sync. The same list is used for import and export as well. Siga estas etapas para todos os domínios.Do these steps for all your domains.

  10. Se o script mostrar que não há nenhuma pulsação, execute o script Disparar uma sincronização completa de todas as senhas.If the script shows that there is no heartbeat, run the script in Trigger a full sync of all passwords.

Um objeto não está sincronizando senhas: etapas manuais de solução de problemasOne object is not synchronizing passwords: manual troubleshooting steps

Você pode solucionar problemas de sincronização de hash de senha problemas facilmente analisando o status de um objeto.You can easily troubleshoot password hash synchronization issues by reviewing the status of an object.

  1. Em Usuários e computadores do Active Directory, pesquise o usuário e, em seguida, verifique se a caixa de seleção O usuário deve alterar a senha no próximo logon está desmarcada.In Active Directory Users and Computers, search for the user, and then verify that the User must change password at next logon check box is cleared.

    Senhas produtivas do Active Directory

    Se a caixa de seleção estiver marcada, solicite que o usuário entre e altere a senha.If the check box is selected, ask the user to sign in and change the password. As senhas temporárias não são sincronizadas com o Azure AD.Temporary passwords are not synchronized with Azure AD.

  2. Se a senha estiver correta no Active Directory, siga o usuário no mecanismo de sincronização.If the password looks correct in Active Directory, follow the user in the sync engine. Seguindo o usuário do Active Directory local ao Azure AD, você pode ver se há algum erro descritivo no objeto.By following the user from on-premises Active Directory to Azure AD, you can see whether there is a descriptive error on the object.

    a.a. Inicie o Synchronization Service Manager.Start the Synchronization Service Manager.

    b.b. Clique em Conectores.Click Connectors.

    c.c. Selecione o Active Directory Connector no qual o usuário está localizado.Select the Active Directory Connector where the user is located.

    d.d. Selecione Pesquisar Espaço do Conector.Select Search Connector Space.

    e.e. No Escopo selecione DN ou Âncora e, em seguida, insira o DN completo do usuário cujo problema você está solucionando.In the Scope box, select DN or Anchor, and then enter the full DN of the user you are troubleshooting.

    Pesquisar por usuário no espaço do conector com DN

    f.f. Localize o usuário que você está procurando e, em seguida, clique em Propriedades para ver todos os atributos.Locate the user you are looking for, and then click Properties to see all the attributes. Se o usuário não estiver no resultado da pesquisa, verifique as regras de filtragem e lembre-se de executar Aplicar e verificar alterações para que o usuário seja exibido no Connect.If the user is not in the search result, verify your filtering rules and make sure that you run Apply and verify changes for the user to appear in Connect.

    g.g. Para ver os detalhes de sincronização de senha do objeto da semana passada, clique em Log.To see the password sync details of the object for the past week, click Log.

    Detalhes do log do objeto

    Se o log do objeto está vazio, o Azure AD Connect não conseguiu ler o hash de senha do Active Directory.If the object log is empty, Azure AD Connect has been unable to read the password hash from Active Directory. Continue a solução de problemas com Erros de conectividade.Continue your troubleshooting with Connectivity Errors. Se aparecer qualquer outro valor que não seja êxito, consulte a tabela no Log de sincronização de senha.If you see any other value than success, refer to the table in Password sync log.

    h.h. Selecione a guia linhagem e verifique se pelo menos uma regra de sincronização na coluna PasswordSync é True.Select the lineage tab, and make sure that at least one sync rule in the PasswordSync column is True. Na configuração padrão, o nome da regra de sincronização é Entrada do AD – AccountEnabled do Usuário.In the default configuration, the name of the sync rule is In from AD - User AccountEnabled.

    Informações de linhagem de um usuário

    i.i. Clique em Propriedades de objeto do metaverso para exibir uma lista de atributos do usuário.Click Metaverse Object Properties to display a list of user attributes.

    Informações de metaverso

    Verifique se não há nenhum atributo cloudFiltered presente.Verify that there is no cloudFiltered attribute present. Verifique se os atributos de domínio (domainFQDN e domainNetBios) têm os valores esperados.Make sure that the domain attributes (domainFQDN and domainNetBios) have the expected values.

    j.j. Clique na guia Conectores. Verifique se os conectores do Active Directory local e do Azure AD são exibidos.Click the Connectors tab. Make sure that you see connectors to both on-premises Active Directory and Azure AD.

    Informações de metaverso

    k.k. Selecione a linha que representa o Azure AD, clique em Propriedades e, em seguida, clique na guia Linhagem. O objeto de espaço do conector deve ter uma regra de saída na coluna PasswordSync definida como True.Select the row that represents Azure AD, click Properties, and then click the Lineage tab. The connector space object should have an outbound rule in the PasswordSync column set to True. Na configuração padrão, o nome da regra de sincronização é Saída para AAD – Ingresso do Usuário.In the default configuration, the name of the sync rule is Out to AAD - User Join.

    Caixa de diálogo Propriedades do objeto de espaço do conector

Log de sincronização de senhaPassword sync log

A coluna de status pode ter os seguintes valores:The status column can have the following values:

StatusStatus DESCRIÇÃODescription
ÊxitoSuccess A senha foi sincronizada com êxito.Password has been successfully synchronized.
FilteredByTargetFilteredByTarget A senha está definida para O usuário deve alterar a senha no próximo logon.Password is set to User must change password at next logon. A senha não foi sincronizada.Password has not been synchronized.
NoTargetConnectionNoTargetConnection Nenhum objeto no metaverso ou no espaço conector do AD do Azure.No object in the metaverse or in the Azure AD connector space.
SourceConnectorNotPresentSourceConnectorNotPresent Nenhum objeto encontrado no espaço conector do Active Directory local.No object found in the on-premises Active Directory connector space.
TargetNotExportedToDirectoryTargetNotExportedToDirectory O objeto no espaço conector do AD do Azure ainda não foi exportado.The object in the Azure AD connector space has not yet been exported.
MigratedCheckDetailsForMoreInfoMigratedCheckDetailsForMoreInfo A entrada de log foi criada antes da versão 1.0.9125.0 e é mostrada em seu estado herdado.Log entry was created before build 1.0.9125.0 and is shown in its legacy state.
ErroError O serviço retornou um erro desconhecido.Service returned an unknown error.
DesconhecidoUnknown Ocorreu um erro ao tentar processar um lote de hashes de senha.An error occurred while trying to process a batch of password hashes.
MissingAttributeMissingAttribute Atributos específicos (por exemplo, o hash de Kerberos) exigidos pelos Azure AD Domain Services não estão disponíveis.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services are not available.
RetryRequestedByTargetRetryRequestedByTarget Atributos específicos (por exemplo, o hash de Kerberos) exigidos pelos Azure AD Domain Services não estavam disponíveis anteriormente.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services were not available previously. É feita uma tentativa de sincronizar novamente o hash de senha do usuário.An attempt to resynchronize the user's password hash is made.

Scripts para ajudar na solução de problemasScripts to help troubleshooting

Obter o status das configurações da sincronização de senhaGet the status of password sync settings

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature -ConnectorName $aadConnectors[0].Name
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Disparar uma sincronização completa de todas as senhasTrigger a full sync of all passwords

Observação

Execute este script apenas uma vez.Run this script only once. Se for necessário executá-lo mais de uma vez, haverá algum outro problema.If you need to run it more than once, something else is the problem. Para solucionar o problema, contate o suporte da Microsoft.To troubleshoot the problem, contact Microsoft support.

Você pode disparar uma sincronização completa de todas as senhas usando o script a seguir:You can trigger a full sync of all passwords by using the following script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Próximas etapasNext steps