Azure AD Connect eşitlemesi ile parola karması eşitlemeyi uygulamaImplement password hash synchronization with Azure AD Connect sync

Bu makalede, şirket içi Active Directory örneğinden bulut tabanlı bir Azure Active Directory (Azure AD) örneği, kullanıcı parolalarını eşitlemek için gereken bilgileri sağlar.This article provides information that you need to synchronize your user passwords from an on-premises Active Directory instance to a cloud-based Azure Active Directory (Azure AD) instance.

Parola Karması eşitleme nasıl çalışır?How password hash synchronization works

Active Directory etki alanı hizmeti parolaları bir karma değer gösterimini gerçek kullanıcı parolasının biçiminde depolar.The Active Directory domain service stores passwords in the form of a hash value representation, of the actual user password. Bir karma değer, tek yönlü bir matematiksel işlev sonucudur ( karma algoritması).A hash value is a result of a one-way mathematical function (the hashing algorithm). Tek yönlü işlevin sonucunu, parolanın düz metin sürümüne döndürmek mümkün değildir.There is no method to revert the result of a one-way function to the plain text version of a password.

Parolanızı eşitlemek için şirket içi Active Directory örneğinden, parola karmasını Azure AD Connect eşitleme ayıklar.To synchronize your password, Azure AD Connect sync extracts your password hash from the on-premises Active Directory instance. Azure Active Directory kimlik doğrulama hizmeti eşitlenmeden önce ek güvenlik işleme için parola karması uygulanır.Extra security processing is applied to the password hash before it is synchronized to the Azure Active Directory authentication service. Parolalar, kullanıcı başına temelinde ve kronolojik sırayla eşitlenir.Passwords are synchronized on a per-user basis and in chronological order.

Parola Karması eşitleme işlemini gerçek veri akışını verilerinin eşitlemesine ilişkin kullanıcı için benzerdir.The actual data flow of the password hash synchronization process is similar to the synchronization of user data. Ancak, parolaları diğer öznitelikler için standart dizin eşitleme penceresinde daha sık eşitlenir.However, passwords are synchronized more frequently than the standard directory synchronization window for other attributes. Parola Karması eşitleme işlemi 2 dakikada bir çalışır.The password hash synchronization process runs every 2 minutes. Bu işlemin sıklığını değiştiremezsiniz.You cannot modify the frequency of this process. Parola Eşitleme sırasında mevcut bulut parolayı üzerine yazar.When you synchronize a password, it overwrites the existing cloud password.

İlk kez parola karması eşitleme özelliğini etkinleştirdiğinizde tüm kapsamındaki kullanıcıların parolalarının ilk eşitlemeyi gerçekleştirir.The first time you enable the password hash synchronization feature, it performs an initial synchronization of the passwords of all in-scope users. Bir alt kümesini eşitlemek istediğiniz kullanıcı parolalarını açıkça tanımlayamazsınız.You cannot explicitly define a subset of user passwords that you want to synchronize.

Bir şirket içi parolayı değiştirdiğinizde, güncelleştirilmiş parolayı, genellikle birkaç dakika içinde eşitlenir.When you change an on-premises password, the updated password is synchronized, most often in a matter of minutes. Parola Karması eşitleme özelliği eşitleme başarısız girişimleri otomatik olarak yeniden dener.The password hash synchronization feature automatically retries failed synchronization attempts. Bir hata, bir parola eşitleme girişimi sırasında bir hata meydana gelirse, Olay Görüntüleyicisi'nde günlüğe kaydedilir.If an error occurs during an attempt to synchronize a password, an error is logged in your event viewer.

Parola Eşitleme, şu anda oturum açan kullanıcının herhangi bir etkisi yoktur.The synchronization of a password has no impact on the user who is currently signed in. Geçerli bulut hizmeti oturumunuzu, bir bulut hizmeti için oturum açtığınız sırada gerçekleşen, eşitlenmiş parola değişikliği hemen etkilenmez.Your current cloud service session is not immediately affected by a synchronized password change that occurs, while you are signed in, to a cloud service. Ancak, bulut hizmetine yeniden kimlik doğrulaması gerektirdiğinde, yeni parolanızı vermeniz gerekir.However, when the cloud service requires you to authenticate again, you need to provide your new password.

Bir kullanıcı şirket kimlik bilgilerini, olup, şirket ağlarına oturum açmadıysanız bağımsız olarak Azure AD'ye kimlik doğrulaması için ikinci bir kez girmeniz gerekir.A user must enter their corporate credentials a second time to authenticate to Azure AD, regardless of whether they're signed in to their corporate network. Bu düzen, ancak kullanıcı oturum açma sırasında (KMSI) onay kutusu Oturumumu açık bırak seçerse indirgenebilir.This pattern can be minimized, however, if the user selects the Keep me signed in (KMSI) check box at sign-in. Bu seçim, 180 gün için kimlik doğrulamasını atlar bir oturum tanımlama bilgisini ayarlar.This selection sets a session cookie that bypasses authentication for 180 days. KMSI'yi davranışı, etkin veya Azure AD Yöneticisi tarafından devre dışı.KMSI behavior can be enabled or disabled by the Azure AD administrator. Ayrıca, etkinleştirerek parola istemlerinin azaltabilir sorunsuz çoklu oturum açma, hangi otomatik olarak açarsa Kurumsal cihazlarından şirket ağınıza bağlı olduklarında kullanıcıların.In addition, you can reduce password prompts by turning on Seamless SSO, which automatically signs users in when they are on their corporate devices connected to your corporate network.

Not

Parola Eşitleme, yalnızca Active Directory nesne türü kullanıcı için desteklenir.Password sync is only supported for the object type user in Active Directory. InetOrgPerson nesnesi türü için desteklenmiyor.It is not supported for the iNetOrgPerson object type.

Parola Karması eşitleme nasıl çalıştığına ilişkin ayrıntılı bir açıklamasıDetailed description of how password hash synchronization works

Aşağıdaki bölümde açıklanmaktadır, ayrıntılı, Active Directory ve Azure AD arasında parola karması eşitleme nasıl çalışır.The following section describes, in-depth, how password hash synchronization works between Active Directory and Azure AD.

Ayrıntılı parola akış

  1. Her iki dakikada bir DC gelen parola karmalarını (unicodePwd özniteliğini) AD Connect sunucusu isteklerde parola karması eşitleme Aracısı depolanır.Every two minutes, the password hash synchronization agent on the AD Connect server requests stored password hashes (the unicodePwd attribute) from a DC. Bu istek için standarttır MS DRSR DC'leri arasında verileri eşitleyebilmeniz için kullanılan çoğaltma protokolü.This request is via the standard MS-DRSR replication protocol used to synchronize data between DCs. Hizmet hesabı, parola karmaları almak için dizin değişikliklerini çoğaltma ve (varsayılan olarak yükleme izni) dizin değişikliklerini tümüne çoğaltma AD izinleri olmalıdır.The service account must have Replicate Directory Changes and Replicate Directory Changes All AD permissions (granted by default on installation) to obtain the password hashes.
  2. Göndermeden önce DC MD4 parola karması bir anahtarı kullanarak şifreler bir MD5 karma RPC oturum anahtarı ve bir güvenlik değeri.Before sending, the DC encrypts the MD4 password hash by using a key that is a MD5 hash of the RPC session key and a salt. Bunu ardından sonuç parola karması eşitleme Aracısı ile RPC üzerinden gönderir.It then sends the result to the password hash synchronization agent over RPC. Eşitleme aracısına ayrıca geçirir salt aracı Zarf şifresini olacak şekilde DC çoğaltma protokolü kullanarak etki alanı denetleyicisi.The DC also passes the salt to the synchronization agent by using the DC replication protocol, so the agent will be able to decrypt the envelope.
  3. Parola Karması eşitleme Aracısı şifrelenmiş Zarf sahip olduktan sonra bunu kullanan MD5CryptoServiceProvider ve özgün MD4 biçiminde dön alınan verilerin şifresini çözmek için bir anahtar oluşturmak için güvenlik değeri.After the password hash synchronization agent has the encrypted envelope, it uses MD5CryptoServiceProvider and the salt to generate a key to decrypt the received data back to its original MD4 format. Parola Karması eşitleme Aracısı düz metin parolası hiç erişebilir.The password hash synchronization agent never has access to the clear text password. Parola Karması eşitleme aracısının MD5 kesinlikle DC ile çoğaltma protokol uyumluluk için kullanılır ve yalnızca şirket içi etki alanı denetleyicisi ve parola karması eşitleme aracısı arasında kullanılır.The password hash synchronization agent’s use of MD5 is strictly for replication protocol compatibility with the DC, and it is only used on premises between the DC and the password hash synchronization agent.
  4. Parola Karması eşitleme Aracısı'nı, ilk UTF-16 kodlamalı ikili ardından bu dize dönüştürme 32 bayt onaltılık dize, karma geri dönüştürerek 64 bayt ile 16 bayt ikili parola karması genişletir.The password hash synchronization agent expands the 16-byte binary password hash to 64 bytes by first converting the hash to a 32-byte hexadecimal string, then converting this string back into binary with UTF-16 encoding.
  5. Parola Karması eşitleme Aracısı ekler bir kullanıcı güvenlik değeri, özgün karma daha iyi korumak için 64-bayt ikili için 10 bayt uzunlukta bir güvenlik değeri oluşan başına.The password hash synchronization agent adds a per user salt, consisting of a 10-byte length salt, to the 64-byte binary to further protect the original hash.
  6. Parola Karması eşitleme Aracısı'nı, ardından MD4 karma birleştirir ve kullanıcı salt başına ve içine girişlerinin PBKDF2 işlevi.The password hash synchronization agent then combines the MD4 hash plus the per user salt, and inputs it into the PBKDF2 function. 1000 yinelemeleri HMAC SHA256 anahtarlı karma algoritması kullanılır.1000 iterations of the HMAC-SHA256 keyed hashing algorithm are used.
  7. Parola Karması eşitleme Aracısı elde edilen 32 bayt karma alır, her ikisini birleştirerek kullanıcı salt ve SHA256 sayısı ona yinelemeler (tarafından kullanılacak Azure AD), ardından iletir Azure AD Connect dizeden Azure AD'ye SSL üzerinden.The password hash synchronization agent takes the resulting 32-byte hash, concatenates both the per user salt and the number of SHA256 iterations to it (for use by Azure AD), then transmits the string from Azure AD Connect to Azure AD over SSL.
  8. Bir kullanıcının Azure AD'de oturum dener ve parolasını girer, parola aynı MD4 + salt + PBKDF2 + HMAC SHA256 işlemi çalıştırılır.When a user attempts to sign in to Azure AD and enters their password, the password is run through the same MD4+salt+PBKDF2+HMAC-SHA256 process. Sonuçta elde edilen karma Azure AD'de depolanan karma eşleşirse, kullanıcı doğru parolayı geçtiğini ve doğrulanır.If the resulting hash matches the hash stored in Azure AD, the user has entered the correct password and is authenticated.

Not

Özgün MD4 karma Azure AD'ye aktarılan değil.The original MD4 hash is not transmitted to Azure AD. Bunun yerine, özgün MD4 karma SHA256 karma iletilir.Instead, the SHA256 hash of the original MD4 hash is transmitted. Sonuç olarak, Azure AD'de depolanan karma aldıysanız, bir şirket içi pass--hash saldırısında kullanılamaz.As a result, if the hash stored in Azure AD is obtained, it cannot be used in an on-premises pass-the-hash attack.

Güvenlik konularıSecurity considerations

Parola eşitleme yaparken parolanızı düz metin sürümünü Azure AD'ye parola karması eşitleme özelliğini veya tüm ilişkili hizmetlerin gösterilmez.When synchronizing passwords, the plain-text version of your password is not exposed to the password hash synchronization feature, to Azure AD, or any of the associated services.

Kullanıcı kimlik doğrulamasını Azure AD'ye yönelik yerine kuruluşun kendi Active Directory örneğine karşı gerçekleşir.User authentication takes place against Azure AD rather than against the organization's own Active Directory instance. Azure AD'de--depolanan SHA256 parola verileri özgün MD4 karma--karma Active Directory'de depolanan değerinden daha güvenlidir.The SHA256 password data stored in Azure AD--a hash of the original MD4 hash--is more secure than what is stored in Active Directory. Ayrıca, bu SHA256 karma şifresi çözülemiyor olduğundan, bu olamaz kuruluşun Active Directory ortamına geri getirildi ve pass--hash saldırısı bir geçerli kullanıcı parolası olarak sunulan.Further, because this SHA256 hash cannot be decrypted, it cannot be brought back to the organization's Active Directory environment and presented as a valid user password in a pass-the-hash attack.

Parola ilke konularıPassword policy considerations

Parola Karması eşitlemeyi etkinleştirerek, etkilenen parola ilkelerini iki tür vardır:There are two types of password policies that are affected by enabling password hash synchronization:

  • Parola karmaşıklığı İlkesiPassword complexity policy
  • Parola süre Dolum İlkesiPassword expiration policy

Parola karmaşıklığı İlkesiPassword complexity policy

Parola Karması eşitleme etkinleştirildiğinde, şirket içi Active Directory Örneğinizde parola karmaşıklık ilkeleri eşitlenmiş kullanıcılar için bulutta karmaşıklığı ilkeleri geçersiz kılar.When password hash synchronization is enabled, the password complexity policies in your on-premises Active Directory instance override complexity policies in the cloud for synchronized users. Azure AD Hizmetleri erişmek için şirket içi Active Directory örneğinden tüm geçerli parolaların kullanabilirsiniz.You can use all of the valid passwords from your on-premises Active Directory instance to access Azure AD services.

Not

Bulutta tanımlandığı gibi doğrudan bulutta oluşturulan sanal kullanıcıların parolalarını yine de parola ilkelerine sahiptir.Passwords for users that are created directly in the cloud are still subject to password policies as defined in the cloud.

Parola süre Dolum İlkesiPassword expiration policy

Bir kullanıcı parola karması eşitleme kapsamında, bulut hesap parolası kümesine dolmasın.If a user is in the scope of password hash synchronization, the cloud account password is set to Never Expire.

Şirket içi ortamınızda süresi dolmuş bir eşitlenmiş parola kullanarak bulut hizmetlerinizde oturum açmak devam edebilirsiniz.You can continue to sign in to your cloud services by using a synchronized password that is expired in your on-premises environment. Bulut parolanızı, parola şirket içi ortamda bir sonraki değiştirdiğinizde güncelleştirilir.Your cloud password is updated the next time you change the password in the on-premises environment.

Hesap süresiAccount expiration

Kuruluşunuzun kullanıcı hesabı Yönetimi işleminin bir parçası olarak accountExpires öznitelik kullanıyorsa, bu öznitelik Azure AD'ye eşitlenmez.If your organization uses the accountExpires attribute as part of user account management, this attribute is not synchronized to Azure AD. Sonuç olarak, süresi dolmuş bir Active Directory hesabı için parola karması eşitlemeyi yapılandırılmış bir ortamda hala Azure AD'de etkin olacaktır.As a result, an expired Active Directory account in an environment configured for password hash synchronization will still be active in Azure AD. Hesabın süresi, bir iş akışı eylemi, kullanıcının Azure AD hesabı devre dışı bırakan bir PowerShell Betiği tetiklemesi gereken öneririz (kullanın Set-AzureADUser cmdlet'i).We recommend that if the account is expired, a workflow action should trigger a PowerShell script that disables the user's Azure AD account (use the Set-AzureADUser cmdlet). Hesap açık olduğunda, buna karşılık, Azure AD örneği açık olması.Conversely, when the account is turned on, the Azure AD instance should be turned on.

Eşitlenmiş parolalar üzerine yazOverwrite synchronized passwords

Bir yönetici, el ile Windows PowerShell kullanarak parolanızı sıfırlayabilirsiniz.An administrator can manually reset your password by using Windows PowerShell.

Bu durumda, yeni parola eşitlenmiş parolanızı geçersiz kılar ve bulutta tanımlanan tüm parola ilkelerini yeni parola uygulanır.In this case, the new password overrides your synchronized password, and all password policies defined in the cloud are applied to the new password.

Şirket içi parolanızı değiştirirseniz yeniden, yeni parola, buluta eşitlenebilir ve el ile güncelleştirilmiş parolayı geçersiz kılar.If you change your on-premises password again, the new password is synchronized to the cloud, and it overrides the manually updated password.

Parola Eşitleme, oturum açmış kullanıcının Azure üzerinde hiçbir etkisi yoktur.The synchronization of a password has no impact on the Azure user who is signed in. Geçerli bulut hizmeti oturumunuzu, bir bulut hizmetine oturumunuz sırasında oluşan eşitlenmiş parola değişikliği hemen etkilenmez.Your current cloud service session is not immediately affected by a synchronized password change that occurs while you're signed in to a cloud service. KMSI'yi bu fark süresini uzatır.KMSI extends the duration of this difference. Bulut hizmetine yeniden kimlik doğrulaması gerektirdiğinde, yeni parolanızı vermeniz gerekir.When the cloud service requires you to authenticate again, you need to provide your new password.

Ek avantajlarAdditional advantages

  • Genellikle, parola karması eşitleme bir Federasyon Hizmeti uygulamak daha kolaydır.Generally, password hash synchronization is simpler to implement than a federation service. Diğer sunucular gerektirmez ve kullanıcıların kimliğini doğrulamak için bir yüksek oranda kullanılabilir bir Federasyon Hizmeti bağımlılığa ortadan kaldırır.It doesn't require any additional servers, and eliminates dependence on a highly available federation service to authenticate users.
  • Parola Karması eşitleme, Federasyon yanı sıra da etkinleştirilebilir.Password hash synchronization can also be enabled in addition to federation. Federasyon hizmetinize bir kesinti oluşursa bir geri dönüş olarak kullanılabilir.It may be used as a fallback if your federation service experiences an outage.

Azure AD Domain Services için Parola karması eşitleme işlemiPassword hash sync process for Azure AD Domain Services

Keberos, LDAP veya NTLM kullanması gereken uygulamalar ve hizmetler için eski kimlik doğrulama sağlamak üzere Azure AD Domain Services kullanırsanız, bazı ek süreçler Parola karması eşitleme akışının bir parçasıdır.If you use Azure AD Domain Services to provide legacy authentication for applications and services that need to use Keberos, LDAP, or NTLM, some additional processes are part of the password hash synchronization flow. Azure AD Connect, Azure AD Domain Services kullanım için parola karmalarını Azure AD ile eşitlemeye yönelik aşağıdaki ek işlemleri kullanır:Azure AD Connect uses the additional following process to synchronize password hashes to Azure AD for use in Azure AD Domain Services:

Önemli

Azure AD Connect yalnızca Azure AD kiracınız için Azure AD DS etkinleştirdiğinizde eski parola karmalarını eşitler.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. Yalnızca Azure AD ile şirket içi AD DS ortamı eşitlemesini Azure AD Connect kullanıyorsanız aşağıdaki adımlar kullanılmaz.The following steps aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Eski uygulamalarınız NTLM kimlik doğrulaması veya LDAP basit bağlamalar kullanmıyorsanız, Azure AD DS için NTLM parola karma eşitlemesini devre dışı bırakmanızı öneririz.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. Daha fazla bilgi için bkz. zayıf şifre paketlerini ve NTLM kimlik bilgisi karma eşitlemesini devre dışı bırakma.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

  1. Azure AD Connect kiracının Azure AD Domain Services örneğinin ortak anahtarını alır.Azure AD Connect retrieves the public key for the tenant's instance of Azure AD Domain Services.
  2. Kullanıcı parolasını değiştirdiğinde, şirket içi etki alanı denetleyicisi parola değişikliğinin (karma) sonucunu iki özniteliğe depolar:When a user changes their password, the on-premises domain controller stores the result of the password change (hashes) in two attributes:
    • NTLM parola karması için unicodePwd .unicodePwd for the NTLM password hash.
    • , Kerberos Parola karması için kimlik bilgileri .supplementalCredentials for the Kerberos password hash.
  3. Azure AD Connect, Dizin çoğaltma kanalı aracılığıyla parola değişikliklerini algılar (öznitelik değişiklikleri diğer etki alanı denetleyicilerine çoğaltılmaya gerek yoktur).Azure AD Connect detects password changes through the directory replication channel (attribute changes needing to replicate to other domain controllers).
  4. Parolası değişmiş olan her kullanıcı için, Azure AD Connect aşağıdaki adımları gerçekleştirir:For each user whose password has changed, Azure AD Connect performs the following steps:
    • Rastgele bir AES 256 bit simetrik anahtar üretir.Generates a random AES 256-bit symmetric key.
    • Şifrelemenin ilk yuvarlaklaştırmak için gereken rastgele bir başlatma vektörü üretir.Generates a random initialization vector needed for the first round of encryption.
    • , Mentalcredentials özniteliklerinden Kerberos parola karmalarını ayıklar.Extracts Kerberos password hashes from the supplementalCredentials attributes.
    • Azure AD Domain Services Güvenlik Yapılandırması Syncntlmpasswords ayarını denetler.Checks the Azure AD Domain Services security configuration SyncNtlmPasswords setting.
      • Bu ayar devre dışı bırakılırsa, rastgele, yüksek entropi bir NTLM karması (kullanıcının parolasından farklı) oluşturur.If this setting is disabled, generates a random, high-entropy NTLM hash (different from the user's password). Bu karma daha sonra, exacted Kerberos parola karmalarıyla birlikte, Mentalcrendetials özniteliğinden bir veri yapısına birleştirilir.This hash is then combined with the exacted Kerberos password hashes from the supplementalCrendetials attribute into one data structure.
      • Etkinleştirilirse, unicodePwd özniteliğinin değerini, dtalcredentials özniteliğinden ayıklanan Kerberos parola karmalarıyla tek bir veri yapısına birleştirir.If enabled, combines the value of the unicodePwd attribute with the extracted Kerberos password hashes from the supplementalCredentials attribute into one data structure.
    • AES Simetrik anahtarını kullanarak tek veri yapısını şifreler.Encrypts the single data structure using the AES symmetric key.
    • Kiracının Azure AD Domain Services ortak anahtarını kullanarak AES Simetrik anahtarını şifreler.Encrypts the AES symmetric key using the tenant's Azure AD Domain Services public key.
  5. Azure AD Connect şifreli AES Simetrik anahtarını, parola karmalarını içeren şifreli veri yapısını ve Azure AD 'ye başlatma vektörünü iletir.Azure AD Connect transmits the encrypted AES symmetric key, the encrypted data structure containing the password hashes, and the initialization vector to Azure AD.
  6. Azure AD şifreli AES Simetrik anahtarını, şifreli veri yapısını ve Kullanıcı için başlatma vektörünü depolar.Azure AD stores the encrypted AES symmetric key, the encrypted data structure, and the initialization vector for the user.
  7. Azure AD, şifreli AES Simetrik anahtarını, şifrelenmiş veri yapısını ve Azure AD Domain Services için şifrelenmiş bir HTTP oturumunda iç eşitleme mekanizması kullanarak başlatma vektörünü gönderir.Azure AD pushes the encrypted AES symmetric key, the encrypted data structure, and the initialization vector using an internal synchronization mechanism over an encrypted HTTP session to Azure AD Domain Services.
  8. Azure AD Domain Services kiracının Azure Anahtar Kasası 'na ait örneğinin özel anahtarını alır.Azure AD Domain Services retrieves the private key for the tenant's instance from Azure Key vault.
  9. Her şifreli veri kümesi (tek bir kullanıcının parola değişikliğini temsil eden) için Azure AD Domain Services aşağıdaki adımları gerçekleştirir:For each encrypted set of data (representing a single user's password change), Azure AD Domain Services then performs the following steps:
    • , AES Simetrik anahtarının şifresini çözmek için özel anahtarını kullanır.Uses its private key to decrypt the AES symmetric key.
    • Parola karmalarını içeren şifreli veri yapısının şifresini çözmek için başlatma vektörü ile AES Simetrik anahtarını kullanır.Uses the AES symmetric key with the initialization vector to decrypt the encrypted data structure that contains the password hashes.
    • Aldığı Kerberos parola karmalarını Azure AD Domain Services etki alanı denetleyicisine yazar.Writes the Kerberos password hashes it receives to the Azure AD Domain Services domain controller. Karmalar, Azure AD Domain Services etki alanı denetleyicisinin ortak anahtarına şifrelenmiş Kullanıcı nesnesinin Mentalcredentials özniteliğine kaydedilir.The hashes are saved into the user object's supplementalCredentials attribute that is encrypted to the Azure AD Domain Services domain controller's public key.
    • Azure AD Domain Services, Azure AD Domain Services etki alanı denetleyicisine aldığı NTLM parola karmasını yazar.Azure AD Domain Services writes the NTLM password hash it received to the Azure AD Domain Services domain controller. Karma, Azure AD Domain Services etki alanı denetleyicisinin ortak anahtarına şifrelenmiş Kullanıcı nesnesinin unicodePwd özniteliğine kaydedilir.The hash is saved into the user object's unicodePwd attribute that is encrypted to the Azure AD Domain Services domain controller's public key.

Parola karma eşitlemesini etkinleştirmeEnable password hash synchronization

Önemli

Parola Karması eşitleme için AD FS (veya diğer Federasyon teknolojileri) geçiriyorsanız, yayımlanan ayrıntılı dağıtım kılavuzunu izleyin öneririz burada.If you are migrating from AD FS (or other federation technologies) to Password Hash Synchronization, we highly recommend that you follow our detailed deployment guide published here.

Kullanarak Azure AD Connect yüklerken hızlı ayarlar seçeneği, parola karması eşitleme otomatik olarak etkinleştirilir.When you install Azure AD Connect by using the Express Settings option, password hash synchronization is automatically enabled. Daha fazla bilgi için hızlı ayarları kullanarak Azure AD Connect ile çalışmaya başlama.For more information, see Getting started with Azure AD Connect using express settings.

Azure AD Connect yükleme sırasında özel ayarları kullanırsanız, parola karması eşitleme, kullanıcı oturum açma sayfasında kullanılabilir.If you use custom settings when you install Azure AD Connect, password hash synchronization is available on the user sign-in page. Daha fazla bilgi için Azure AD Connect özel yüklemesi.For more information, see Custom installation of Azure AD Connect.

Parola Karması eşitlemeyi etkinleştirme

Parola karma eşitlemesi ve FIPSPassword hash synchronization and FIPS

Sunucunuz Federal Bilgi İşleme Standardı (FIPS göre) kilitli, MD5 devre dışı bırakıldı.If your server has been locked down according to Federal Information Processing Standard (FIPS), then MD5 is disabled.

MD5 için parola karması eşitlemeyi etkinleştirmek için aşağıdaki adımları gerçekleştirin:To enable MD5 for password hash synchronization, perform the following steps:

  1. İçin %ProgramFiles%\Azure AD Sync\Bin gidin.Go to %programfiles%\Azure AD Sync\Bin.
  2. Miiserver.exe.config açın.Open miiserver.exe.config.
  3. Dosyanın sonunda configuration/çalışma zamanı düğümüne gidin.Go to the configuration/runtime node at the end of the file.
  4. Aşağıdaki düğüm ekleyin: <enforceFIPSPolicy enabled="false"/>Add the following node: <enforceFIPSPolicy enabled="false"/>
  5. Yaptığınız değişiklikleri kaydedin.Save your changes.

Başvuru için bu kod parçacığı, ne gibi görünmelidir gösterilmiştir:For reference, this snippet is what it should look like:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Güvenlik ve FIPS hakkında daha fazla bilgi için bkz. Azure AD parola karma eşitlemesi, şifreleme ve FIPS uyumluluğunu.For information about security and FIPS, see Azure AD password hash sync, encryption, and FIPS compliance.

Parola Karması eşitleme sorunlarını gidermeTroubleshoot password hash synchronization

Parola Karması eşitleme ile ilgili sorunlar olup parola karması eşitleme sorunlarını giderme.If you have problems with password hash synchronization, see Troubleshoot password hash synchronization.

Sonraki adımlarNext steps