Fejlfinding af hash-synkronisering af adgangskoder med Azure AD Connect sync

Troubleshooting » Fejlfinding af hash-synkronisering af adgangskoder med Azure AD Connect-synkronisering

Synkronisering af adgangskoder: Fejlfinding af hash-synkronisering af adgangskoder med Azure AD Connect-synkronisering

Hash-synkronisering af adgangskoder mellem Active Directory (AD) og Azure AD kan hindres af flere årsager. Problemerne med synkronisering kan fejlfindes, og årsagerne bag disse problemer kan findes ved hjælp af fejlfindingsopgaven eller manuelle metoder. Nedenfor fremgår nogle gængse problemer med synkronisering sammen med de relevante fejlfindingstrin.

Problem 1. Ingen af adgangskoderne er synkroniserede:

Dette problem kan løses ved at følge trinnene nedenfor:

Kør Windows PowerShell som administrator på Azure AD Connect-serveren med indstillingen Kør som administrator.
Kør Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.
Start guiden Azure AD Connect.
Gå til Yderligere opgaver > Fejlfinding, og klik på Næste.
På siden Fejlfinding skal du klikke på Start for at starte fejlfindingsmenuen i PowerShell.
I hovedmenuen skal du vælge Fejlfinding af hash-synkronisering af adgangskoder.
I undermenuen skal du vælge Hash-synkronisering af adgangskoder fungerer slet ikke.

Nedenfor kan du se en liste over de fejl, der kan opstå, når ovenstående trin er foretaget:

Funktionen til hash-synkronisering af adgangskoder er ikke aktiveret

Denne fejl forekommer, hvis hash-synkronisering af adgangskoder ikke er aktiveret via guiden Azure AD Connect.
Det er ikke meningen, at hash-synkronisering af adgangskoder skal fungere i Staging-tilstand

Denne fejl kan forekomme, hvis Azure AD Connect-serveren er i Staging-tilstand, og som følge heraf er hash-synkronisering af adgangskoder midlertidigt deaktiveret.
Denne fejl kan forekomme, hvis Azure AD Connect-serveren er i Staging-tilstand, og som følge heraf er hash-synkronisering af adgangskoder midlertidigt deaktiveret.

Hver lokal Active Directory-connector har sin egen kanal til hash-synkronisering af adgangskoder. Når der oprettes en kanal til hash-synkronisering af adgangskoder, og der ikke er nogen ændringer af adgangskoder, der skal synkroniseres, genereres en "heartbeat"-hændelse hvert 30. minut under loggen af hændelser i Windows- applikationer. Cmdlet'en søger efter "heartbeat"-hændelser for hver AD-connector i de seneste tre timer, og hvis der ikke findes nogen "heartbeat"-hændelse, returneres denne fejl.
AD Connector-kontoen havde et problem med tilladelse til synkronisering af adgangskoder for domænet:

Hvis den domænekonto, der bruges af AD Connector til synkronisering af hash-adgangskoder, ikke har de nødvendige tilladelser, returneres denne fejl.
Funktionen til synkronisering af adgangskoder havde et problem med at få en kontrolfunktion i domænet til at fungere:

Hvis domænekontoen, der bruges af Active Directory Connector til at synkronisere hash-adgangskoder, har et forkert brugernavn eller en forkert adgangskode, returneres fejlen.

Problem 2: Et af objekterne synkroniserer ikke adgangskoder

Dette problem kan løses som følger:

Kør Windows PowerShell som administrator på Azure AD Connect-serveren med indstillingen Kør som administrator.
Kør Set-ExecutionPolicy RemoteSigned eller Set-ExecutionPolicy Unrestricted.
Start guiden Azure AD Connect.
Gå til Yderligere opgaver > Fejlfinding, og klik på Næste.
På siden Fejlfinding skal du klikke på Start for at starte fejlfindingsmenuen i PowerShell.
I hovedmenuen skal du vælge Fejlfinding af hash-synkronisering af adgangskoder.
I undermenuen skal du vælge Hash-synkronisering af adgangskoder fungerer slet ikke.
Indtast oplysningerne om det objekt, der ikke bliver synkroniseret som ønsket.

En af følgende fejl kan opstå, når oplysningerne indtastes.

Objektet i AAD-connectorområdet er endnu ikke blevet eksporteret. Det er ikke meningen, at denne adgangskode skal synkroniseres. AAD-connectorområdet, der er målet, indeholder en eksportfejl.

Denne fejl opstår, fordi der ikke er noget tilsvarende objekt for dette AD-domæneobjekt i Azure AD-lejeren. Dette kan ske, hvis objektet ikke er blevet eksporteret, hvilket er grunden til, at hash-synkronisering af adgangskoder ikke blev genneført for dette objekt.
Adgangskoden er angivet til at være aktiveret med indstillingen "Brugeren skal ændre adgangskoden ved næste logon". Det er ikke meningen, at den midlertidige adgangskode skal synkroniseres.

Denne fejl opstår, hvis indstillingen "Brugeren skal ændre adgangskoden ved næste logon" er blevet aktiveret.
Funktionen til hash-synkronisering af adgangskoder indeholder ikke nogen historik over ændringer i adgangskoder for det angivne objekt. Historikken for adgangskoder slettes en gang om ugen.

Azure AD Connect gemmer resultaterne af forsøg på hash-synkronisering af adgangskoder for et objekt i højst syv dage. Hvis der ikke er nogen tilgængelige resultater for det valgte Active Directory-objekt, returneres ovenstående advarsel.

Trinnene ovenfor er kun til fejlfinding af disse problemer ved hjælp af fejlfindingsopgaven. Når det drejer sig om manuel fejlfinding klik her.

Konfiguration af hash-synkronisering af adgangskoder i Azure AD Connect er en kompliceret proces. Dens konfiguration og fejlfinding indebærer flere trin og kommandoer. ADSelfService Plus, der er en løsning til selvbetjent administration af adgangskoder og enkeltlogon i Active Directory, tilbyder en funktion til synkronisering af adgangskoder, der synkroniserer adgangskoder mellem AD og Azure AD. Som det fremgår nedenfor, kræver det kun få trin at aktivere denne funktion.

Forudsætninger

Før du konfigurerer synkronisering af adgangskoder til Office 365 eller Azure, skal du installere Windows Azure AD-modulet til Windows PowerShell på den server, hvor ADSelfService Plus er implementeret.

Vigtigt: Installer funktionen "Synkronisering af adgangskoder" for at synkronisere ændringer og nulstillinger af indbyggede adgangskoder.

Sådan aktiverer du synkronisering af adgangskoder mellem AD og Azure AD via ADSelfService Plus:

Log ind på ADSelfService Plus-administrationskonsollen med adgangsoplysningerne som administrator.
Gå til Applikation > Tilføj ny applikation.
Vælg applikationen Office 365/Azure-konti.
Indtast applikationsnavnet og beskrivelsen.
Indtast domænenavnet på din Office 365/Azure-konto
I feltet Tildel politikker skal du vælge de politikker, som synkronisering af adgangskoder skal aktiveres for.

Bemærk: Med ADSelfService Plus kan du oprette OU- og gruppebaserede politikker for dine AD-domæner. For at oprette en politik skal du gå til Konfiguration > Selvbetjening > Konfiguration af politik > Tilføj ny politik. Kun brugerkonti, der er omfattet af disse politikker, kan få deres adgangskoder synkroniseret med Azure AD.

Vælg indstillingen Aktivér synkronisering af adgangskoder.
Indtast brugernavn og adgangskode for Office 365/Azure-kontoen
Klik på Tilføj applikation.

Fordele ved synkronisering af adgangskoder via ADSelfService Plus:

Synkronisering af adgangskoder med gængse virksomhedsapplikationer, herunder Azure AD/Office 365, AD LDS, Salesforce.
Synkroniser brugerdefinerede politikker for adgangskoder, der er oprettet med funktionen til håndhævelse af politik for adgangskoder.
Synkroniser nulstillinger af indbyggede adgangskoder, der foretages fra Active Directory Users and Computers-konsollen, og ændringer af adgangskoder, der foretages på skærmen Ctrl+Alt+Del.
Aktivér synkronisering af adgangskoder for brugere, der tilhører konkrete OU'er og grupper.

Gør administration af adgangskoder enklere med ADSelfService Plus.

Få din gratis prøveperiode

Selvbetjeningsløsning til administration af adgangskoder og single sign-on

ManageEngine ADSelfService Plus er en integreret selvbetjeningsløsning til administration af adgangskoder og single sign-on til Active Directory og cloud-apps. Sørg for slutpunktssikkerhed med strenge godkendelseskontroller, herunder biometri og avancerede kontroller for adgangskodepolitik. Selvbetjeningsløsning til administration af adgangskoder og enkeltlogon.

Relaterede produkter