Устранение неполадок самостоятельного сброса пароля в идентификаторе Microsoft Entra
Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям сбрасывать пароли в облаке. Обратная запись паролей включена с помощью Microsoft Entra Подключение или облачной синхронизации, которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени.
При возникновении проблем с обратной записью для SSPR используйте следующие инструкции по устранению неполадок и распространенных ошибок. Если вам не удается найти решение проблемы, специалисты технической поддержки всегда готовы помочь.
Устранение неполадок с подключением
Если у вас возникли проблемы с обратной записью паролей для Microsoft Entra Подключение, ознакомьтесь со следующими шагами, которые помогут устранить проблему. Чтобы восстановить службу, рекомендуется выполнить следующие действия в указанном порядке:
- Проверка наличия сетевого подключения
- Перезапустите службу синхронизации microsoft Entra Подключение
- Отключение и повторное включение функции обратной записи паролей
- Установка последнего выпуска Microsoft Entra Подключение
- Устранение неполадок с обратной записью паролей
Проверка наличия сетевого подключения
Наиболее распространенные точки отказа связаны с неправильной настройкой портов брандмауэра или прокси-сервера и времени ожидания до перехода в режим простоя.
Для Microsoft Entra Подключение версии 1.1.443.0 и более поздних версий требуется исходящий доступ HTTPS к следующим адресам:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Конечные точки Azure для государственных организаций США:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Конечные точки Azure Для Китая 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Если вам нужна более подробная степень, ознакомьтесь со списком диапазонов IP-адресов Microsoft Azure и тегов служб для общедоступного облака.
Сведения о Azure для государственных организаций США см. в списке диапазонов IP-адресов и тегов служб Microsoft Azure для облака для государственных организаций США.
Эти файлы обновляются еженедельно.
Чтобы определить, ограничен ли доступ к URL-адресу и порту в среде, например общедоступном облаке Azure, выполните следующий командлет:
Test-NetConnection -ComputerName ssprdedicatedsbprodscu.servicebus.windows.net -Port 443
Или выполните следующую команду:
Invoke-WebRequest -Uri https://ssprdedicatedsbprodscu.servicebus.windows.net -Verbose
Дополнительные сведения см. в предварительных требованиях для подключения для microsoft Entra Подключение.
Перезапустите службу синхронизации microsoft Entra Подключение
Чтобы устранить проблемы с подключением или другие временные проблемы со службой, выполните следующие действия, чтобы перезапустить службу синхронизации Microsoft Entra Подключение:
В качестве администратора на сервере, на котором выполняется Подключение Microsoft Entra, нажмите кнопку "Пуск".
Введите services.msc в поле поиска и нажмите клавишу ВВОД.
Найдите запись синхронизации Azure AD.
Щелкните запись службы правой кнопкой мыши, выберите команду Перезапустить и дождитесь завершения операции.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если перезапуск службы синхронизации Microsoft Entra Подключение не устранит проблему, попробуйте отключить и повторно включить функцию обратной записи паролей в следующем разделе.
Отключение и повторное включение функции обратной записи паролей
Для продолжения процесса устранения неполадок выполните следующие действия, чтобы отключить и снова включить функцию обратной записи паролей:
- Как администратор на сервере, на котором выполняется microsoft Entra Подключение, откройте мастер настройки Microsoft Entra Подключение.
- В Подключение идентификатор Microsoft Entra введите учетные данные Microsoft Entra Global Администратор istrator.
- В разделе Подключиться к AD DS введите учетные данные администратора локальных доменных служб Active Directory.
- В окне Уникальная идентификация пользователей нажмите кнопку Далее.
- В окне Дополнительные компоненты снимите флажок Обратная запись паролей.
- Нажимайте кнопку Далее на следующих страницах диалогового окна, ничего не изменяя, пока не перейдете на страницу Ready to configure page (Готово к настройке).
- Убедитесь, что на странице Готово к настройке параметр Обратная запись паролей отображается как отключенный. Нажмите зеленую кнопку Настройка, чтобы зафиксировать изменения.
- В окне Завершение снимите флажок Синхронизировать сейчас, а затем нажмите кнопку Готово, чтобы закрыть мастер.
- Откройте мастер настройки Microsoft Entra Подключение.
- Повторите шаги 2–8, на этот раз выбрав параметр Обратная запись пароля на странице Дополнительные возможности, чтобы повторно включить службу.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если отключение и повторное включение функции обратной записи паролей не устраняет проблему, переустановите Microsoft Entra Подключение в следующем разделе.
Установка последнего выпуска Microsoft Entra Подключение
Переустановка Microsoft Entra Подключение может устранить проблемы с конфигурацией и подключением между идентификатором Microsoft Entra и локальной средой служб домен Active Directory. Этот шаг рекомендуется выполнять только после выполнения предыдущих действий для проверки и устранения неполадок подключения.
Предупреждение
Если вы изменили стандартные правила синхронизации, создайте резервную копию правил, прежде чем продолжать обновление, а затем вручную повторно разверните их после завершения операции.
Скачайте последнюю версию Microsoft Entra Подключение из Центра загрузки Майкрософт.
Так как вы уже установили microsoft Entra Подключение, выполните обновление на месте, чтобы обновить установку Microsoft Entra Подключение до последней версии.
Запустите скачанный пакет и следуйте инструкциям на экране, чтобы обновить Подключение Microsoft Entra.
Эти действия должны повторно установить подключение с идентификатором Microsoft Entra и устранить проблемы с подключением.
Если установка последней версии сервера Microsoft Entra Подключение не устраняет проблему, попробуйте отключить и повторно включить обратную запись паролей в качестве последнего шага после установки последнего выпуска.
Убедитесь, что Подключение Microsoft Entra имеет необходимые разрешения
Microsoft Entra Подключение требует разрешения на сброс пароля AD DS для обратной записи паролей. Чтобы проверка, если microsoft Entra Подключение имеет требуемое разрешение для указанной локальной учетной записи пользователя AD DS, используйте функцию эффективного разрешения Windows:
Войдите на сервер Microsoft Entra Подключение и запустите диспетчер службы синхронизации, выбрав "Запустить>службу синхронизации".
На вкладке Соединители выберите локальный соединитель доменных служб Active Directory, а затем щелкните Свойства.
Во всплывающем окне выберите вкладку Connect to Active Directory Forest (Подключение к лесу Active Directory) и запишите свойство Имя пользователя. Это свойство является учетной записью AD DS, используемой Microsoft Entra Подключение для синхронизации каталогов.
Чтобы microsoft Entra Подключение для обратной записи паролей, учетная запись AD DS должна иметь разрешение на сброс пароля. Проверьте разрешения для этой учетной записи пользователя, выполнив следующие действия.
Войдите в локальный контроллер домена и запустите приложение Пользователи и компьютеры Active Directory.
Выберите Просмотр и убедитесь, что параметр Advanced Features (Дополнительные функции) включен.
Найдите учетную запись пользователя AD DS, которую требуется проверить. Щелкните учетную запись правой кнопкой мыши и выберите Свойства.
Во всплывающем окне перейдите на вкладку Безопасность и выберите Дополнительно.
Во всплывающем окне Advanced Security Settings for Administrator (Дополнительные параметры безопасности для администратора) перейдите на вкладку Действующие права доступа.
Выберите пользователя, выберите учетную запись AD DS, используемую Подключение Microsoft Entra, а затем выберите "Просмотреть действующий доступ".
Прокрутите список вниз и найдите Сброс пароля. Если возле записи установлен флажок, учетная запись AD DS имеет разрешение на сброс пароля выбранной учетной записи пользователя Active Directory.
Общие ошибки обратной записи паролей
При обратной записи паролей могут возникнуть следующие более специфические проблемы. Если вы столкнулись с одной из этих ошибок, просмотрите предлагаемое решение и проверьте, правильно ли работает обратная запись паролей.
| Ошибка | Решение |
|---|---|
| Служба сброса паролей не запускается на локальном компьютере. Ошибка 6800 отображается в журнале событий приложения microsoft Entra Подключение компьютера. После подключения федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбрасывать пароли. |
Если включена обратная запись паролей, обработчик синхронизации вызывает библиотеку обратной записи, чтобы выполнить настройку (адаптацию), обратившись к облачной службе адаптации. Все ошибки, возникающие во время подключения или при запуске конечной точки Windows Communication Foundation (WCF) для обратной записи паролей, приводят к ошибкам в журнале событий на компьютере Microsoft Entra Подключение. Если при перезапуске службы Azure AD Sync была настроена обратная запись, запускается конечная точка WCF. Однако если при запуске конечной точки произойдет сбой, мы запишем в журнал событие 6800 и разрешим запуск службы синхронизации. Наличие этого события означает, что конечная точка обратной записи паролей не была запущена. Подробные сведения в журнале об этом событии (6800) наряду с записями журнала событий, созданными компонентом PasswordResetService, покажут, почему конечную точку не удалось запустить. Просмотрите эти ошибки журнала событий и попробуйте перезапустить Подключение Microsoft Entra, если обратная запись паролей по-прежнему не работает. Если проблема сохранится, попробуйте отключить и повторно включить обратную запись паролей. |
| Когда пользователь пытается сбросить пароль или разблокировать учетную запись с включенным компонентом обратной записи паролей, операция завершается ошибкой. Кроме того, в журнале событий Microsoft Entra Подключение отображается событие, содержащее сообщение "Обработчик синхронизации вернул ошибку hr=800700CE, сообщение=имя файла или расширение слишком долго" после операции разблокировки. |
Найдите учетную запись Active Directory для Microsoft Entra Подключение и сбросьте пароль, чтобы он содержал не более 256 символов. Затем из меню Пуск запустите службу синхронизации. В разделе Соединители найдите Соединитель Active Directory. Выберите его, а затем щелкните Свойства. На странице Учетные данные введите новый пароль. Нажмите кнопку OK, чтобы закрыть страницу. |
| На последнем шаге процесса установки Microsoft Entra Подключение отображается сообщение об ошибке, указывающее, что обратная запись паролей не может быть настроена. Журнал событий приложения Microsoft Entra Подключение содержит ошибку 32009 с текстом "Ошибка получения маркера проверки подлинности". |
Эта ошибка возникает в следующих двух случаях:
|
| Журнал событий компьютера Microsoft Entra Подключение содержит ошибку 32002, возникающую при запуске PasswordResetService. Текст сообщения об ошибке: "Ошибка подключения к служебной шине. Поставщику маркеров не удалось предоставить маркер безопасности". |
Локальной среде не удалось подключиться к конечной точке служебной шины Azure в облаке. Эту ошибку обычно вызывает правило брандмауэра, блокирующее исходящее подключение к конкретному порту или веб-адресу. Дополнительные сведения см. в статье Необходимые условия для Azure AD Connect. После обновления этих правил перезапустите сервер Microsoft Entra Подключение и обратную запись паролей, чтобы начать работу снова. |
| Поработав некоторое время, федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбросить свой пароль. | В некоторых редких случаях служба обратной записи паролей может не перезапуститься при перезапуске Microsoft Entra Подключение. В таких случаях сначала проверьте, включена ли обратная запись паролей в локальной среде. Вы можете проверка с помощью мастера microsoft Entra Подключение или PowerShell. Если эта функция выглядит включенной, попробуйте еще раз включить или отключить функцию. Если этот шаг устранения неполадок не работает, попробуйте выполнить полное удаление и переустановку Microsoft Entra Подключение. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после попытки отправить пароль видят ошибку, указывающую, что возникла проблема со службой. Кроме того, во время операций сброса пароля вы можете увидеть ошибку, связанную с тем, что агенту управления было отказано в доступе к журналам событий в локальной системе. |
Если эти ошибки отображаются в вашем журнале событий, убедитесь, что учетная запись Active Directory Management Agent (которая была указана в мастере во время настройки) обладает необходимыми разрешениями для обратной записи паролей. После предоставления этого разрешения может потребоваться до 1 часа для распространения разрешений путем выполнения фоновой задачи sdprop на контроллере домена. Для работы сброса пароля разрешение необходимо установить на дескрипторе безопасности объекта пользователя, пароль которого сбрасывается. Пока это разрешение не отобразится на объекте пользователя, сброс пароля будет завершаться отказом в доступе. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Подключение, указывающей на ошибку "Объект не удалось найти". |
Эта ошибка обычно указывает, что подсистема синхронизации не может найти объект пользователя в пространстве соединителя Microsoft Entra или связанном метавселенной (MV) или объект пространства соединителя Microsoft Entra. Чтобы устранить эту проблему, убедитесь, что пользователь действительно синхронизирован из локальной среды с идентификатором Microsoft Entra через текущий экземпляр Microsoft Entra Подключение и проверьте состояние объектов в пространствах соединителей и MV. Убедитесь, что объект службы сертификатов Active Directory соединен с объектом MV через правило Microsoft.InfromADUserAccountEnabled.xxx. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Подключение, которая указывает, что обнаружена ошибка "Несколько совпадений". |
Это означает, что обработчик синхронизации обнаружил, что объект MV подключен к нескольким объектам службы сертификатов AD через Microsoft.InfromADUserAccountEnabled.xxx. Это означает, что у пользователя включена учетная запись в нескольких лесах. Такой сценарий не поддерживается для обратной записи паролей. |
| Операции с паролем вызывают ошибку конфигурации. Журнал событий приложения содержит ошибку Microsoft Entra Подключение 6329 с текстом "0x8023061f (операция завершилась ошибкой, так как синхронизация паролей не включена в этом агенте управления)". | Эта ошибка возникает, если конфигурация Microsoft Entra Подключение изменена, чтобы добавить новый лес Active Directory (или удалить и прочитать существующий лес) после включения функции обратной записи паролей. Операции с паролями для пользователей в недавно добавленных лесах завершаются ошибкой. Чтобы исправить эту проблему, отключите и повторно включите обратную запись паролей после изменения конфигурации леса. |
| SSPR_0029: не удалось сбросить пароль из-за ошибки в локальной конфигурации. Обратитесь к администратору для изучения данной проблемы. | Проблема. Обратная запись паролей включена после выполнения всех необходимых действий, но при попытке изменить пароль, полученный "SSPR_0029: ваша организация не правильно настроила локальную конфигурацию для сброса пароля". Проверка журналов событий в системе Microsoft Entra Подключение показывает, что учетные данные агента управления были отказано в доступе. Возможное решение. Используйте RSOP в системе Microsoft Entra Подключение и контроллерах домена, чтобы узнать, включена ли политика "Сетевой доступ: ограничить доступ клиентов, разрешенных выполнять удаленные вызовы к SAM", найденным в разделе "Настройка компьютера > Windows Параметры > безопасность Параметры > локальные политики > безопасности". Измените политику, чтобы включить учетную запись управления MSOL_XXXXXXX в качестве разрешенного пользователя. Дополнительные сведения см. в статье об устранении неполадок SSPR_0029. Ваша организация не правильно настроила локальную конфигурацию для сброса пароля. |
Коды ошибок журнала событий обратной записи паролей
Рекомендуется при устранении неполадок с обратной записью паролей проверять журнал событий приложения на компьютере Microsoft Entra Подключение. Этот журнал событий содержит события из двух источников для обратной записи паролей. В источнике PasswordResetService описаны операции и вопросы, относящиеся к работе обратной записи паролей. В источнике ADSync описаны операции и проблемы, связанные с установкой паролей в среде доменных служб Active Directory.
Источник событий — ADSync
| Код | Имя или сообщение | Description |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619 — "Ограничение препятствует изменению пароля на текущий указанный". | Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации. Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0. Если включены требования к истории паролей, то необходимо выбрать пароль, который не использовался последние N раз, где N — настройка истории паролей. При выборе пароля, который использовался в последние N раз, в данном случае возникнет ошибка. При тестировании установите для журнала паролей значение 0. Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль. Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой. |
| 6329 | MMS(3040): admaexport.cpp(2837) — на сервере не включен элемент управления политикой паролей LDAP. | Эта проблема возникает, если элемент управления LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) не включен на контроллерах доменов. Чтобы использовать функцию обратной записи паролей, необходимо включить этот элемент управления. Для этого контроллеры доменов должны работать под управлением Windows Server 2016 или более поздней версии. |
| HR 8023042 | Обработчик синхронизации вернул ошибку hr=80230402 с сообщением: "Попытка получить объект завершилась ошибкой, так как существуют повторяющиеся записи с одной привязкой". | Это ошибка возникает, когда один идентификатор пользователя включен в нескольких доменах. Например, если идет синхронизация лесов учетных записей и ресурсов, и в каждом из них включен один и тот же идентификатор пользователя. Также эта ошибка может возникнуть, если вы используете атрибут неуникальной привязки (например, псевдоним или имя участника-пользователя) и два пользователя используют одинаковый атрибут привязки. Чтобы устранить эту проблему, убедитесь, что в пределах доменов нет повторяющихся пользователей и для каждого пользователя используется атрибут уникальной привязки. |
Источник событий — PasswordResetService
| Код | Имя или сообщение | Description |
|---|---|---|
| 31001 | PasswordResetStart | Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи сброса пароля. |
| 31002 | PasswordResetSuccess | Это событие указывает, что пользователь выбрал новый пароль во время операции сброса пароля. Мы определили, что пароль соответствует требованиям организации к паролю. Он был успешно записан обратно в локальную среду Active Directory. |
| 31003 | PasswordResetFail | Это событие указывает, что пользователь выбрал пароль, который был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31004 | OnboardingEventStart | Это событие происходит, если включить обратную запись паролей с помощью Microsoft Entra Подключение, и мы начали подключение организации к веб-службе обратной записи паролей. |
| 31005 | OnboardingEventSuccess | Это событие указывает, что процесс адаптации прошел успешно и возможности обратной записи паролей готовы к использованию. |
| 31006 | ChangePasswordStart | Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на изменение пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи изменения пароля. |
| 31007 | ChangePasswordSuccess | Это событие указывает, что пользователь выбрал новый пароль во время операции изменения пароля, мы определили, что этот пароль соответствует требованиям организации к паролю, и он успешно был записан обратно в локальную среду Active Directory. |
| 31008 | ChangePasswordFail | Это событие указывает, что пользователь выбрал пароль, этот пароль успешно поступил в локальную среду, но при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31009 | ResetUserPasswordByAdminStart | Локальная служба обнаружила запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей, исходящий от администратора от имени пользователя. Это событие является первым событием в каждой операции обратной записи для сброса пароля, инициированной администратором. |
| 31010 | ResetUserPasswordByAdminSuccess | Администратор выбрал новый пароль во время операции сброса пароля, инициированной администратором. Мы определили, что пароль соответствует требованиям организации к паролю. Он был успешно записан обратно в локальную среду Active Directory. |
| 31011 | ResetUserPasswordByAdminFail | Администратор выбрал пароль от имени пользователя. Этот пароль был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31012 | OffboardingEventStart | Это событие возникает при отключении обратной записи паролей с помощью Microsoft Entra Подключение и указывает, что мы начали подключение организации к веб-службе обратной записи паролей. |
| 31013 | OffboardingEventSuccess | Это событие указывает, что процесс отмены адаптации прошел успешно и возможности обратной записи паролей успешно отключены. |
| 31014 | OffboardingEventFail | Это событие указывает, что процесс отключения не был успешным. Это могло произойти из-за ошибки в облаке или локальной учетной записи администратора, указанной во время настройки. Она также могла возникнуть, если вы пытались использовать федеративного облачного глобального администратора при отключении обратной записи паролей. Чтобы устранить эту проблему, проверьте свои разрешения на администрирование и убедитесь, что вы не используете никакую федеративную учетную запись при настройке функции обратной записи паролей. |
| 31015 | WriteBackServiceStarted | Это событие указывает, что служба обратной записи паролей успешно запущена. Она готова к приему запросов на управление паролями из облака. |
| 31016 | WriteBackServiceStopped | Это событие указывает, что служба обратной записи паролей была остановлена. Любые запросы на управление паролями из облака не будут выполняться. |
| 31017 | AuthTokenSuccess | Это событие указывает, что мы успешно получили маркер авторизации для глобального Администратор istrator, указанного во время настройки Microsoft Entra Подключение, чтобы запустить процесс подключения или подключения. |
| 31018 | KeyPairCreationSuccess | Это событие указывает, что мы успешно создали ключ шифрования паролей. Он используется для шифрования паролей из облака для отправки в локальную среде. |
| 31019 | ServiceBusHeartBeat | Это событие указывает, что мы успешно отправили запрос служебная шина экземпляру клиента. |
| 31034 | ServiceBusListenerError | Это событие указывает, что произошла ошибка при подключении к прослушивателю Служебной шины клиента. Если сообщение об ошибке содержит сообщение "Удаленный сертификат недопустим", проверка, чтобы убедиться, что сервер Microsoft Entra Подключение имеет все необходимые корневые ЦС, как описано в изменениях сертификата TLS Azure. |
| 31044 | PasswordResetService | Это событие указывает, что компонент обратной записи паролей не работает. Служебная шина прослушивает запросы на двух отдельных ретрансляторах для обеспечения избыточности. Каждое подключение к ретранслятору управляется уникальным узлом службы. Клиент обратной записи возвращает ошибку, если какой-либо узел службы не работает. |
| 32000 | UnknownError | Это событие указывает на неизвестную ошибку во время операции управления паролями. Просмотрите текст исключения в событии для получения дополнительных сведений. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей. Если это не помогает, включите копию журнала событий вместе с идентификатором отслеживания, указанным при открытии запроса на поддержку. |
| 32001 | ServiceError | Это событие указывает, что произошла ошибка при подключении к облачной службе сброса паролей. Она обычно возникает, если локальной службе не удается подключиться к веб-службе сброса паролей. |
| 32002 | ServiceBusError | Это событие указывает, что произошла ошибка при подключении к экземпляру Служебной шины клиента. Это может произойти, если в вашей локальной среде блокируются исходящие подключения. Проверьте, разрешены ли в брандмауэре подключения через TCP-порт 443 и к странице https://ssprdedicatedsbprodncu.servicebus.windows.net, а затем повторите попытку. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей. |
| 32003 | InPutValidationError | Это событие указывает, что входные данные, переданные в API нашей веб-службы, были недопустимыми. Попробуйте выполнить операцию заново. |
| 32004 | DecryptionError | Это событие указывает, что произошла ошибка при расшифровке пароля, который поступил из облака. Это может быть из-за несовпадения ключей расшифровки между облачной службой и локальной средой. Чтобы решить эту проблему, отключите и снова включите обратную запись паролей в локальной среде. |
| 32005 | ConfigurationError | Во время адаптации мы сохраняем сведения для конкретного клиента в файле конфигурации в локальной среде. Это событие указывает, что произошла ошибка при сохранении этого файла или при запуске службы произошла ошибка чтения файла. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации. |
| 32007 | OnBoardingConfigUpdateError | Во время адаптации мы отправляем данные из облака в локальную службу сброса паролей. Эти данные затем записываются в файл, размещенный в памяти, перед отправкой в службу синхронизации для безопасного хранения на диске. Это событие указывает на проблему при записи или обновлении таких данных в памяти. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации. |
| 32008 | ValidationError | Это событие указывает, что был получен недопустимый ответ от веб-службы сброса паролей. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей. |
| 32009 | AuthTokenError | Это событие указывает, что не удалось получить маркер авторизации для учетной записи глобального администратора, указанной во время настройки Microsoft Entra Подключение. Эта ошибка может быть вызвана неправильным именем пользователя или паролем, указанным для учетной записи Глобального Администратор istrator. Эта ошибка также может возникать, если указанная учетная запись глобального Администратор istrator является федеративной. Чтобы устранить эту проблему, повторно запустите конфигурацию с правильными именем пользователя и паролем и убедитесь, что учетная запись администратора является управляемой (только облачной или с синхронизацией паролей). |
| 32010 | CryptoError | Это событие указывает, что произошла ошибка при создании ключа шифрования пароля или при расшифровке пароля, поступившего из облачной службы. Скорее всего, эта ошибка указывает на возможную неполадку среды. Просмотрите подробности в журнале событий для получения дополнительных сведений об устранении этой проблемы. Вы также можете попробовать отключить и повторно включить службу обратной записи паролей. |
| 32011 | OnBoardingServiceError | Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса адаптации. Оно может произойти из-за правила брандмауэра или проблемы при получении маркера проверки подлинности для клиента. Чтобы устранить эту проблему, проверьте, не блокируются ли исходящие подключения через TCP-порты 443 и 9350–9354 или к странице https://ssprdedicatedsbprodncu.servicebus.windows.net. Кроме того, убедитесь, что учетная запись администратора Microsoft Entra, которую вы используете для подключения, не является федеративной. |
| 32013 | OffBoardingError | Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса отмены адаптации. Оно может произойти из-за правил брандмауэра или проблемы при получении маркера авторизации для клиента. Чтобы устранить эту проблему, убедитесь, что вы не блокируете исходящие подключения более 443 или https://ssprdedicatedsbprodncu.servicebus.windows.netв , и что учетная запись администратора Microsoft Entra, которую вы используете для отключения, не является федеративной. |
| 32014 | ServiceBusWarning | Это событие указывает, что нам необходимо было повторить попытку подключения к экземпляру Служебной шины клиента. В обычных условиях это не должно быть проблемой, однако если событие повторяется множество раз, рекомендуется проверить сетевое подключение к Служебной шине, особенно в случае подключения с высокой задержкой или низкой пропускной способностью. |
| 32015 | ReportServiceHealthError | Для мониторинга работоспособности службы обратной записи паролей мы отправляем сведения о пульсе в веб-службу сброса паролей каждые пять минут. Это событие указывает, что произошла ошибка при отправке такой информации о работоспособности обратно в облачную веб-службу. Эта информация о работоспособности не включает в себя персональные данные и является исключительно пульсом и базовой статистикой службы, чтобы дать нам возможность предоставлять сведения о состоянии службы в облаке. |
| 33001 | ADUnKnownError | Это событие указывает, что возникла неизвестная ошибка, возвращенная службой Active Directory. Дополнительные сведения см. в журнале событий сервера Microsoft Entra Подключение для событий из источника ADSync. |
| 33002 | ADUserNotFoundError | Это событие указывает, что пользователь, который пытается сбросить или изменить пароль, не найден в локальном каталоге. Это может произойти, если пользователь был удален локально, а не в облаке. Эта ошибка также может возникать при наличии проблемы с синхронизацией. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений. |
| 33003 | ADMutliMatchError | Когда запрос на сброс или изменение пароля поступает из облака, мы используем облачную привязку, указанную в процессе установки Microsoft Entra Подключение, чтобы определить, как связать этот запрос с пользователем в локальной среде. Это событие указывает, что в локальном каталоге найдены два пользователя с одним и тем же атрибутом облачной привязки. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений. |
| 33004 | ADPermissionsError | Это событие указывает, что учетная запись службы агента управления Active Directory (ADMA) не имеет соответствующих разрешений на запрашиваемую учетную запись, чтобы задать новый пароль. Убедитесь, что учетная запись ADMA в лесу пользователя имеет разрешения на сброс пароля для всех объектов в лесу. Дополнительные сведения о том, как это сделать, см. в разделе "Шаг 4. Настройка соответствующих разрешений Active Directory". Эта ошибка также возникает, если атрибуту пользователя AdminCount присвоено значение 1. |
| 33005 | ADUserAccountDisabled | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была отключена на локальном компьютере. Включите учетную запись и повторите попытку. |
| 33006 | ADUserAccountLockedOut | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была заблокирована на локальном компьютере. Блокировки могут происходить при слишком большом количестве попыток пользователя изменить или сбросить пароль за короткий период. Разблокируйте учетную запись и повторите попытку. |
| 33007 | ADUserIncorrectPassword | Это событие указывает, что пользователь задал неверный текущий пароль при выполнении операции смены пароля. Укажите правильный текущий пароль и повторите попытку. |
| 33008 | ADPasswordPolicyError | Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации. Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0. Если включены требования к истории паролей, то необходимо выбрать пароль, который не использовался последние N раз, где N — настройка истории паролей. При выборе пароля, который использовался в последние N раз, в данном случае возникнет ошибка. При тестировании установите для журнала паролей значение 0. Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль. Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой. |
| 33009 | ADConfigurationError | Это событие указывает, что возникла проблема при записи пароля обратно в локальный каталог из-за неполадки с конфигурацией в Active Directory. Дополнительные сведения о возникновении ошибки см. в журнале событий приложения microsoft Entra Подключение компьютера из службы ADSync. |
Символы подразделения, зарезервированные от обратной записи паролей
В следующей таблице перечислены зарезервированные символы, которые препятствуют обратной записи паролей. Если эти символы отображаются в локальном подразделении (OU), обратная запись паролей может завершиться ошибкой с идентификатором события 33001.
| Зарезервированный символ | Description | Шестнадцатеричное значение |
|---|---|---|
| пробел или символ # в начале строки | ||
| пробел в конце строки | ||
| , | запятая | 0x2C |
| + | знак плюса | 0x2B |
| " | Кавычки | 0x22 |
| \ | обратная косая черта | 0x5C |
| < | левая угловая скобка | 0x3C |
| > | правая угловая скобка | 0x3E |
| ; | Запятой | 0x3B |
| LF | перевод строки | 0x0A |
| CR | Возврат каретки | 0x0D |
| = | знак равенства | 0x3D |
| / | Косая черта вперед | 0x2F |
Форумы Microsoft Entra
Если у вас есть общие вопросы об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.
Обращение в службу поддержки Майкрософт
Если вам не удается найти решение проблемы, специалисты группы поддержки всегда готовы помочь.
Чтобы мы могли предоставить вам соответствующую помощь, укажите в запросе как можно больше подробностей. К ним относятся следующие сведения:
- Общее описание ошибки. В чем заключается ошибка? Как вела себя система? Как можно воспроизвести ошибку? Опишите проблему максимально подробно.
- Страница. На какой странице вы находились, когда произошла ошибка? По возможности предоставьте URL-адрес страницы и снимок экрана.
- Код поддержки. Какой код поддержки был сформирован, когда пользователь увидел ошибку?
Чтобы найти его, воспроизведите ошибку, затем щелкните ссылку Код поддержки внизу экрана и отправьте специалисту службы поддержки идентификатор GUID, который отобразится в результате.
Если вы находитесь на странице, внизу которой отсутствует код поддержки, нажмите клавишу F12 и поищите SID и CID, после чего отправьте два найденных результата специалисту службы поддержки.
- Дата, время и часовой пояс. Укажите точную дату и время возникновения ошибки, а также часовой пояс.
- Идентификатор пользователя. Какой пользователь увидел ошибку? Например, user@contoso.com.
- Это федеративный пользователь?
- Это пользователь, применяющий сквозную аутентификацию?
- Это пользователь с синхронизацией хэшей паролей?
- Это облачный пользователь?
- Лицензирование. Назначена ли пользователю лицензия на идентификатор Microsoft Entra ID?
- Журнал событий приложения: если вы используете обратную запись паролей, а ошибка находится в локальной инфраструктуре, добавьте в него архивную копию журнала событий приложения с сервера Microsoft Entra Подключение.
Следующие шаги
Дополнительные сведения о SSPR см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra или как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra ID?