Passwortsynchronisierung: Fehlerbehebung für die Passwort-Hash-Synchronisierung mit Azure AD Connect Sync
Die Passwort-Hash-Synchronisierung zwischen Active Directory (AD) und Azure AD kann aus verschiedenen Gründen gestört sein. Durch die Aufgabe „Problemlösung“ und manuelle Methoden lassen sich die Gründe dafür herausfinden und die Synchronisierungsprobleme beheben. Nachfolgend finden Sie einige häufig auftretende Synchronisierungsprobleme und die entsprechenden Schritte zur Fehlerbehebung.
Problem 1. Keines der Passwörter wird synchronisiert:
Dieses Problem lässt sich lösen, indem Sie diese Schritte ausführen:
- Starten Sie Windows PowerShell als Administrator auf dem Azure-AD-Connect-Server anhand der Option Als Administrator ausführen.
- Führen Sie Set-ExecutionPolicy RemoteSigned bzw. Set-ExecutionPolicy Unrestricted aus.
- Starten Sie den Assistenten von Azure AD Connect.
- Wechseln Sie zu Weitere Aufgaben > Fehlerbehebung und klicken Sie auf „Weiter“.
- Klicken Sie auf der Seite Fehlerbehebung auf Starten, um das Fehlerbehebungsmenü in PowerShell aufzurufen.
- Wählen Sie im Hauptmenü die Option Fehlerbehebung der Passwort-Hash-Synchronisierung.
- Im Untermenü wählen Sie Passwort-Hash-Synchronisierung funktioniert gar nicht aus.
Unten finden Sie eine Liste von Fehlern, die auftreten können, nachdem Sie diese Schritte durchgeführt haben:
-
Passwort-Hash-Synchronisierung nicht aktiviert
Diese Fehler wird angezeigt, wenn die Passwort-Hash-Synchronisierung nicht mit dem Assistenten von Azure AD Connect aktiviert wurde.
-
Passwort-Hash-Synchronisierung funktioniert nicht im Staging-Modus
Dieser Fehler kann auftreten, wenn sich der Server von Azure AD Connect im Modus „Staging“ befindet, wodurch die Passwort-Hash-Synchronisierung zeitweise deaktiviert wird.
-
Dieser Fehler kann auftreten, wenn sich der Server von Azure AD Connect im Modus „Staging“ befindet, wodurch die Passwort-Hash-Synchronisierung zeitweise deaktiviert wird.
Jeder On-Premise-Connector für Active Directory verfügt über einen eigenen Kanal zur Passwort-Hash-Synchronisierung. Wenn ein Kanal für die Passwort-Hash-Synchronisierung erstellt wird, aber keine Passwortänderungen synchronisiert werden müssen, wird im Anwendungs-Ereignisprotokoll unter Windows alle 30 Minuten ein „Herzschlag“-Ereignis erzeugt. Das Cmdlet sucht nach im Verlauf des AD-Connectors über die letzten drei Stunden nach diesem Ereignis – und gibt diesen Fehler aus, wenn kein Herzschlag festgestellt wird.
-
AD-Connector-Konto mit Berechtigungsproblem bei der Passwortsynchronisierung für die Domäne unter:
Wenn das vom AD-Connector zur Synchronisierung von Passwort-Hashes verwendete Domänenkonto nicht über die notwendigen Berechtigungen verfügt, wird dieser Fehler zurückgegeben.
-
Agent für Passwortsynchronisierung hat ein Problem beim Auflösen eines Domänencontrollers der Domäne unter:
Wenn das vom Active Directory-Connector zur Synchronisierung von Passwort-Hashes verwendete Domänenkonto einen falschen Benutzernamen bzw. ein falsches Passwort verwendet, wird dieser Fehler zurückgegeben.
Problem 2: Eines der Objekte synchronisiert keine Passwörter
Dieses Problem lässt sich folgendermaßen lösen:
- Starten Sie Windows PowerShell als Administrator auf dem Azure-AD-Connect-Server anhand der Option Als Administrator ausführen.
- Führen Sie Set-ExecutionPolicy RemoteSigned bzw. Set-ExecutionPolicy Unrestricted aus.
- Starten Sie den Assistenten von Azure AD Connect.
- Wechseln Sie zu Weitere Aufgaben > Fehlerbehebung und klicken Sie auf „Weiter“.
- Klicken Sie auf der Seite Fehlerbehebung auf Starten, um das Fehlerbehebungsmenü in PowerShell aufzurufen.
- Wählen Sie im Hauptmenü die Option Fehlerbehebung der Passwort-Hash-Synchronisierung.
- Im Untermenü wählen Sie Passwort-Hash-Synchronisierung funktioniert gar nicht aus.
- Geben Sie wie gefordert die Informationen für das Objekt ein, das nicht synchronisiert wird.
Beim Eingeben der Informationen können beliebige der folgenden Fehler auftreten.
-
Das Objekt im AAD-Connector-Bereich wurde noch nicht exportiert. Dieses Passwort darf nicht synchronisiert werden. Das Zielobjekt im AAD-Connector-Bereich weist einen Exportfehler auf.
Dieser Fehler tritt auf, weil im Azure-AD-Mandanten kein entsprechendes Objekt für dieses AD-Domänenobjekt vorhanden ist. Das kann vorkommen, wenn das Objekt nicht exportiert wurde, weshalb die Passwort-Hash-Synchronisierung für dieses Objekt fehlschlägt.
-
Für das Passwort wurde „Benutzer muss Passwort bei der nächsten Anmeldung ändern“ aktiviert. Temporäres Passwort darf nicht synchronisiert werden.
Dieser Fehler tritt auf, wenn für das Passwort die Option „Benutzer muss Passwort bei der nächsten Anmeldung ändern“ aktiviert wurde.
-
Der Agent zur Passwort-Hash-Synchronisierung hat keinen Passwort-Änderungsverlauf für das angegebene Objekt. Passwortverlauf wird einmal pro Woche gelöscht.
Azure AD Connect speichert die Ergebnisse von Versuchen der Passwort-Hash-Synchronisierung eines Objekts nur für maximal sieben Tage. Wenn für das ausgewählte AD-Objekt keine Ergebnisse verfügbar sind, wird die oben stehende Warnung zurückgegeben.
Die oben beschriebenen Schritte dienen nur zum Beheben dieser Probleme mit der Aufgabe „Problemlösung“. Informationen zur manuellen Problembehebung erhalten Sie hier.
Die Einrichtung der Passwort-Hash-Synchronisierung für Azure AD Connect ist ein komplexer Prozess. Zur Konfiguration und Problemlösung sind mehrere Schritte und Befehle notwendig. ADSelfService Plus ist eine Lösung für SB-Passwortmanagement sowie Single-Sign-On unter Active Directory und ermöglicht die einfache Synchronisierung von Passwörtern zwischen AD und Azure AD. Wie unten zu sehen, sind zum Aktivieren dieser Funktion nur minimale Schritte erforderlich.
Voraussetzungen
Bevor Sie die Passwortsynchronisierung für Office 365 oder Azure konfigurieren, müssen Sie das Windows-Azure-AD-Modul für Windows PowerShell auf dem Server installieren, auf dem ADSelfService Plus eingesetzt wird.
Wichtig: Installieren Sie zum Synchronisieren nativer Passwortänderungen und -zurücksetzungen den Agenten zur Passwortsynchronisierung.
Schritte zum Aktivieren der Passwortsynchronisierung zwischen AD und Azure AD mit ADSelfService Plus:
- Melden Sie sich mit Administratorzugangsdaten an der ADSelfService-Plus-Administratorkonsole an.
- Wechseln Sie zu Anwendung > Neue Anwendung.
- Wählen Sie die Kontoanwendung Office 365 / Azure aus.
- Geben Sie Anwendungsname und Beschreibung ein.
- Geben Sie den Domänennamen Ihres Kontos von Office 365 / Azure ein
- Wählen Sie im Feld Richtlinien verknüpfen die Richtlinien aus, zu denen die Passwortsynchronisierung aktiviert werden soll.
Hinweis: Mit ADSelfService Plus können Sie OE- und gruppenbasierte Richtlinien für Ihre AD-Domänen erstellen. Um eine Richtlinie zu erstellen, wechseln Sie zu Konfiguration → SB → Richtlinienkonfiguration > Neue Richtlinie hinzufügen. Nur Benutzerkonten, die unter diese Richtlinien fallen, können ihre Passwörter mit Azure AD synchronisieren lassen.
- Wählen Sie die Option Passwortsynchronisierung aktivieren aus.
- Geben Sie Benutzername und Passwort des Kontos von Office 365 / Azure ein
- Klicken Sie auf Anwendung hinzufügen.
Vorteile der Passwortsynchronisierung mit ADSelfService Plus:
- WacPasswortsynchronisierung mit wichtigen Unternehmensanwendungen wie Azure AD, Office 365, AD LDS oder Salesforce.
- Synchronisieren von spezifischen Passwortrichtlinien, die mit der Erzwingung von Passwortrichtlinien erzeugt wurden.
- Synchronisieren nativer Passwortzurücksetzungen, die über die ADUC-Konsole durchgeführt wurden, und von Passwortänderungen über den Bildschirm „Strg+Alt+Entf“.
- Aktivieren der Passwortsynchronisierung für Benutzer, die zu bestimmten OEs und Gruppen gehören.
Vereinfachtes Passwortmanagement mit ADSelfService Plus.
Self-Service-Lösung rund um Kennwortmanagement und Einmalanmeldung (SSO)
ManageEngine ADSelfService Plus ist eine integrierte SB-Lösung für Kennwortmanagement und Einmalanmeldungen in Active Directory- (AD) und Cloudanwendungen. Sorgen Sie für Endpunktsicherheit, mit strikten Authentifizierungskontrollen, einschließlich Biometrik und erweiterten Kennwortrichtlinien.