Fehlerbehebung bei Password Sync Agent Problemen

Der ADSelfService Plus Password Sync Agent synchronisiert native Passwortänderungen (Passwortänderung über den Ctrl+Alt+Del-Bildschirm und Passwortzurücksetzungen über das Active Directory Users and Computers-Portal) mit für die Passwortsynchronisierung integrierten Unternehmensanwendungen.

Dieser Artikel enthält Anweisungen zur Fehlerbehebung bei Problemen, die bei der Verwendung des Password Sync Agent auftreten können. Diese Probleme sind in drei Kategorien unterteilt:

• Fehler, die bei der Installation des Password Sync Agent auftreten können.
• Fehler, die beim Bearbeiten der Einstellungen über das Password Sync Agent Tray App-Symbol auftreten können.
• Andere Ursachen.

Fehler, die bei der Installation des Password Sync Agent auftreten können

• Bitte installieren Sie den Password Sync Agent mit Administratorrechten.
• Der Domänencontroller ist von ADSelfService Plus nicht autorisiert.
• Replay-Angriff, eine frühere Anfrage oder ungültige Zeiteinstellung im Agent.
• Server kann nicht kontaktiert werden oder ein interner Fehler ist aufgetreten.
• Zugriffsschlüsselüberprüfung fehlgeschlagen.

1. Bitte installieren Sie den Password Sync Agent mit Administratorrechten.

Mögliche Ursache: Der Benutzer, der versucht, den Password Sync Agent zu installieren, verfügt nicht über die erforderlichen Rechte.

Lösung: Führen Sie die ManageEnginePasswordSyncAgent.msi als Administrator aus, d. h. Rechtsklick auf die Datei und dann „Als Administrator ausführen“ wählen.

2. Der Domänencontroller ist von ADSelfService Plus nicht autorisiert.

Mögliche Ursache: Der Domänencontroller, auf dem der Password Sync Agent installiert werden soll, ist nicht in der Liste der konfigurierten Domänen in ADSelfService Plus enthalten.

Lösung: Stellen Sie sicher, dass der Domänencontroller, auf dem Sie versuchen, den Password Sync Agent zu installieren, der ADSelfService Plus DC-Liste hinzugefügt wurde. Informationen zur Domänenkonfiguration finden Sie hier.

3. Replay-Angriff, eine frühere Anfrage oder ungültige Zeiteinstellung im Agent.

Mögliche Ursache: Die Zeit auf dem Domänencontroller, auf dem der Password Sync Agent installiert ist, und auf dem ADSelfService Plus Server stimmen nicht überein.

Lösung: Bitte stellen Sie sicher, dass die Zeit auf dem Domänencontroller, auf dem Sie den Password Sync Agent installieren möchten, und der ADSelfService Plus Server synchron sind.

4. Server kann nicht kontaktiert werden oder es ist ein interner Fehler aufgetreten.

Mögliche Ursache: Die während der Installation des Password Sync Agent eingegebenen Werte für Protokoll, Hostname und Portnummer sind falsch oder ungültig geworden.

Lösung:

1. Überprüfen Sie die Erreichbarkeit des ADSelfService Plus-Portals von dem Computer aus, an dem dieser Fehler auftritt. Wenn das Portal nicht erreichbar ist, überprüfen Sie die Netzwerkverbindung zwischen dem ADSelfService Plus Server und diesem Computer.
• Um die Erreichbarkeit des ADSelfService Plus Servers zu prüfen, führen Sie einen Ping des Servers mit dem Servernamen/IP-Adresse von dem Domänencontroller aus, auf dem der Agent installiert ist.
• Zur Überprüfung der Konnektivität prüfen Sie, ob die Portverbindung zu ADSelfService Plus offen ist. Eine Möglichkeit zur Überprüfung der Portverbindung ist die Eingabe des folgenden Befehls in der Eingabeaufforderung des Domänencontrollers, auf dem der Agent installiert ist: telnet <adssp-server-name> <adssp-port-number>. Wenn der Befehl eine „Verbindungsfehler“-Meldung zurückgibt, überprüfen Sie die Portverbindung am ADSelfService Plus Server.
2. Installieren Sie den Password Sync Agent, indem Sie korrekte oder aktuelle Werte des ADSelfService Servers angeben. Siehe diese Schritte zur Installation des Agenten.

5. Zugriffsschlüsselüberprüfung fehlgeschlagen.

Mögliche Ursache: Ein ungültiger Zugriffsschlüssel wurde eingegeben oder der Zugriffsschlüssel wurde neu generiert.

Lösung: Stellen Sie sicher, dass der während der Installation eingegebene Zugriffsschlüssel gültig ist.

Fehler, die beim Bearbeiten der Einstellungen über das Password Sync Agent Tray App-Symbol auftreten können

Nachfolgend finden Sie eine Liste von Fehlern, die möglicherweise beim Bearbeiten der Einstellungen durch Klicken auf das Password Sync Agent Tray App-Symbol.

• Der Domänencontroller ist von ADSelfService Plus nicht autorisiert.
• Replay-Angriff, eine frühere Anfrage oder ungültige Zeiteinstellung im Agent.
• auftreten können:
• Zugriffsschlüsselüberprüfung fehlgeschlagen.
• Server kann nicht kontaktiert werden. Bitte versuchen Sie es später erneut.

Zugriff verweigert. Administratorrechte sind für diese Operation erforderlich.

Mögliche Ursache1. Der Domänencontroller ist von ADSelfService Plus nicht autorisiert.

Lösung: Stellen Sie sicher, dass der Domänencontroller, auf dem Sie versuchen, den Password Sync Agent zu installieren, der ADSelfService Plus DC-Liste hinzugefügt wurde. Informationen zur Domänenkonfiguration finden Sie hier.

: Der Domänencontroller, auf dem der Password Sync Agent installiert werden soll, ist nicht in der Liste der konfigurierten Domänen in ADSelfService Plus enthalten.

Mögliche Ursache2. Replay-Angriff, eine frühere Anfrage oder ungültige Zeiteinstellung im Agent.

Lösung: Die Zeiteinstellungen im Domänencontroller, auf dem der Password Sync Agent installiert ist, und auf dem ADSelfService Plus Server sind inkonsistent.

: Bitte stellen Sie sicher, dass die Zeiteinstellungen im Domänencontroller, auf dem Sie den Sync-Agent installieren möchten, und dem ADSelfService Plus Server synchron sind.

Mögliche Ursache3. Server kann nicht kontaktiert werden. Bitte versuchen Sie es später erneut.

: Die eingegebenen Werte für Protokoll, Hostname und Portnummer sind falsch oder nicht mehr gültig.

• Lösung: finden Sie hier.
• Überprüfen Sie die Erreichbarkeit des ADSelfService Plus-Portals von dem Computer aus, an dem der Fehler auftritt. Wenn das Portal nicht erreichbar ist, prüfen Sie die Netzwerkverbindung zwischen dem ADSelfService Plus Server und diesem Computer. Informationen zu den Schritten zur Überprüfung der Erreichbarkeit des ADSelfService Plus Servers

Geben Sie im Bearbeiten-Einstellungen-Popup korrekte oder aktuelle Werte des ADSelfService Servers ein.

Mögliche Ursache: Ein ungültiger Zugriffsschlüssel wurde eingegeben oder der Zugriffsschlüssel wurde neu generiert.

Lösung: Stellen Sie sicher, dass der während der Installation eingegebene Zugriffsschlüssel gültig ist.

4. Zugriffsschlüsselüberprüfung fehlgeschlagen.

Mögliche Ursache5. Zugriff verweigert. Administratorrechte sind für diese Operation erforderlich.

: Dieser Fehler tritt auf, wenn versucht wird, die Einstellungen ohne Administratorrechte zu bearbeiten.

• Standardmäßig haben nur Administratoren das Recht, die Einstellungen zu bearbeiten. Wenn jedoch ein anderer Benutzer die Einstellungen ändern möchte, kann er dies folgendermaßen tun: Öffnen Sie die Eingabeaufforderung als Administrator und navigieren Sie zum Ordner C:\Program files(x86)\ZOHO Corp\Password Sync Agent.
• Führen Sie den Befehl aus: SQLiteHandler.exe <servername> <portnumber> <protocol> <accessKey>

z. B.: SQLiteHandler.exe adssp-dc1 8888 http dsgjhjhsaYYTv6FUF7VUCtufuy.

Andere mögliche Fehlerfälle

1. Wenn der Password Sync Agent nicht funktioniert.
2. Wenn der Password Policy Enforcer/Have I Been Pwned nicht funktioniert.
3. Der ADSelfService Plus Server konnte nicht kontaktiert werden oder ist nicht erreichbar, aber ADSelfService Plus ist über den Webbrowser im spezifischen Domänencontroller erreichbar.
4. Native Passwortzurücksetzungen werden im Reset Password Audit Report nicht erfasst.
5. Was zu tun ist, wenn der Password Sync Agent beim Starten des ManageEnginePasswordSyncAgent-Dienstes viele alte Zurücksetz-/(Passwort-) Änderungsanforderungen auslöst
6. Die Dienste des Sync Agent starten nach einem Serverneustart nicht, obwohl der Diensttyp auf Automatisch oder Automatischer verzögerter Start eingestellt ist, die manuelle Startfunktion jedoch funktioniert.

Fall 1: Wenn der Password Sync Agent nicht funktioniert,

• prüfen Sie, ob der ManageEngine - Password Sync Agent und Message Queuing Dienst ausgeführt wird. Dies können Sie wie folgt prüfen:
  • Öffnen Sie den Dienste-Manager (Start > Ausführen > Services.msc).
  • Überprüfen Sie im geöffneten Dienste-Fenster, ob die Dienste ManageEngine – Password Sync Agent und Message Queuing ausgeführt werden.
• Prüfen Sie die Erreichbarkeit des ADSelfService Plus Servers vom Domänencontroller, auf dem der Agent installiert ist. Siehe die Schritte hier.

Fall 2: Wenn der Password Policy Enforcer/Have I Been Pwned nicht funktioniert,

• prüfen Sie, ob die ManageEngine - Password Sync Agent und Message Queuing Dienste ausgeführt werden. Dies können Sie wie folgt prüfen:
• Öffnen Sie den Dienste-Manager (Start > Ausführen > Services.msc)
• Überprüfen Sie im geöffneten Dienste-Fenster, ob die Dienste ManageEngine – Password Sync Agent und Message Queuing ausgeführt werden.
• Überprüfen Sie die Erreichbarkeit des ADSelfService Plus Servers vom DC, auf dem der Agent installiert ist. Informationen zu den Schritten zur Überprüfung der Erreichbarkeit des ADSelfService Plus Servers finden Sie finden Sie hier.
• Falls die Password Policy Enforcer und Have I Been Pwned-Einstellungen im ADSelfService Plus-Portal für eine bestehende Installation des Sync Agent konfiguriert sind, müssen die ADSelfService Plus Serverdetails im Sync Agent über die Option „Einstellungen bearbeiten“ aktualisiert werden.

Fall 3: Der ADSelfService Plus Server konnte nicht kontaktiert werden oder ist nicht erreichbar, aber ADSelfService Plus ist über den Webbrowser im spezifischen Domänencontroller erreichbar.

Lösung 1:

• Stoppen Sie den ADSelfService Plus Dienst.
• Öffnen Sie die server.xml Datei (<Installationsverzeichnis>/conf) und navigieren Sie zum folgenden Abschnitt:
  <Connector SSLEnabled="true"
• TLS 1.2 sollte die konfigurierte TLS-Version sein. Um dies sicherzustellen, überprüfen Sie, ob der folgende Parameter angegeben ist. Falls nicht, fügen Sie ihn am Ende des
  Abschnitts hinzu:
• <Connector SSLEnabled="true" acceptCount="100" compression="off"........ ...... ...... ............. SSLEnabledProtocols="TLSv1.2"/>
• Nachdem TLS 1.2 konfiguriert wurde, bestätigen Sie, dass die Version 1.3.0 des Password Sync Agent installiert ist, indem Sie die Systemsteuerung öffnen, zum Password Sync Agent-Symbol navigieren und die Version in der Versionsspalte prüfen. Nur Password Sync Agent Versionen 1.3.0 und höher unterstützen TLS v1.2.

Starten Sie ADSelfService Plus.

Lösung 2:

Prüfen Sie, ob ein Proxyserver verwendet wird, um auf den ADSelfService Plus Server zuzugreifen. Falls ja, konfigurieren Sie die Proxyserver-Einstellungen in Internet Explorer, da der Password Sync Agent den in Internet Explorer konfigurierten Proxyserver verwendet.

Lösung 1:

• prüfen Sie, ob der Fall 4: Native Passwortzurücksetzungen werden im Reset Password Audit Report nicht erfasst. Das Senden von Daten an das Protokoll wurde im Dienstprotokoll

  für die durchgeführte native Passwortzurücksetzung eingetragen.
  • Speicherort des Dienstprotokolls: Bei 64-Bit-Systemen -
  • C:\Program Files (x86)\ZOHO Corp\Password Sync Agent Bei 32-Bit-Systemen -
• C:\Program Files\ZOHO Corp\Password Sync Agent Prüfen Sie dann, ob ein Fehler im serverout-Protokoll (<Installationsordner>\logs)

• für die vorgenommene Aktion aufgezeichnet wurde.

  • Wenn im serverout-Protokoll der Fehler „No encryption key“ gefunden wird, konfigurieren Sie den Password Sync Agent neu mit dem Servernamen oder der IP-Adresse, der Portnummer und dem Protokoll (HTTPS/HTTP), die von ADSelfService Plus verwendet werden. Dies können Sie wie folgt durchführen: Klicken Sie mit der rechten Maustaste auf das Password Sync Agent-Symbol im Systemtray und wählen Sie.
  • „Einstellungen bearbeiten“. Klicken Sie mit der rechten Maustaste auf das Password Sync Agent-Symbol im Systemtray und wählen Sie Das
  • Dialogfeld öffnet sich. Geben Sie den, Protokoll (HTTPS/HTTP), und Zugriffsschlüssel.
  • Klicken Sie Speichern.

Starten Sie ADSelfService Plus. Installieren Sie den Password Sync Agent neu.

• Öffnen Sie auf dem Domänencontroller, auf dem der Password Sync Agent installiert ist, die Systemsteuerung, klicken Sie auf das Symbol des Password Sync Agent und klicken Sie Deinstallieren.
• Gehen Sie nun zu dem Ordner, in dem sich die MSI-Datei des Password Sync Agent (ManageEnginePasswordSyncAgent.msi) befindet.
• Öffnen Sie hier die Eingabeaufforderung als Administrator, geben Sie den MSI-Dateinamen des Password Sync Agent (ManageEnginePasswordSyncAgent.msi) ein und drücken Sie Enter.

Fall 5: Was zu tun ist, wenn der Password Sync Agent beim Starten des ManageEnginePasswordSyncAgent-Dienstes viele alte Anfragen zum Zurücksetzen/Ändern des Passworts auslöst.

Mögliche Ursache: Dieses Szenario tritt auf, wenn noch ausstehende Nachrichten in der Warteschlange für Passwortzurücksetzungen vorhanden sind, die auftraten, als der ManageEngine Password Sync Agent-Dienst nicht aktiv war.

Lösung: Die Warteschlangen-Nachrichten können vor dem Neustart des Password Sync Agent-Dienstes auf den Domänencontrollern gelöscht werden. Klicken Sie Bereinigen , um die alten ausstehenden Zurücksetzungsanfragen in der Nachrichtenwarteschlange zu löschen. Starten Sie anschließend den ManageEngine Password Sync Agent-Dienst neu.

Fall 6: Sync Agent-Dienste starten nach Serverneustart nicht, obwohl der Diensttyp auf Automatisch oder Automatisch verzögert eingestellt ist, manueller Start jedoch funktioniert.

Mögliche Ursache: Dies passiert, wenn die Dienstinitialisierung länger als 30 Sekunden dauert.

Lösung: Bitte folgen Sie den untenstehenden Schritten, um den Timeout-Wert manuell in der Registrierung für den Service Control Manager (SCM) zu erhöhen:

1. Gehen Sie zu Start > Ausführen und geben Sie regedit ein.
2. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control.
3. Wählen Sie den Ordner Control aus, klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie einen neuen DWORD-Wert aus.
4. Benennen Sie den neuen DWORD ServicesPipeTimeout. Klicken Sie mit der rechten Maustaste auf ServicesPipeTimeout und dann auf Ändern.
5. Klicken Sie auf Dezimal, geben Sie ein 180000, und klicken Sie dann auf OK.
6. Starten Sie den Computer neu.