Wachtwoordsynchronisatie: Problemen met de hash-synchronisatie van het wachtwoord oplossen met Azure AD Connect-synchronisatie
Problemen met de hash-synchronisatie tussen Active Directory (AD) en Azure AD kan worden gehinderd door meerdere redenen. De synchronisatieproblemen kunnen worden opgelost en de reden achter deze problemen kunnen worden opgespoord met de probleemoplossingstaak of handmatige methoden. Hieronder worden enkele algemene synchronisatieproblemen vermeld, samen met overeenkomende stappen voor het oplossen van deze problemen.
Probleem 1. Geen van de wachtwoorden zijn gesynchroniseerd:
Dit probleem kan worden opgelost met de onderstaande stappen:
- Voer Windows PowerShell uit als een beheerder op de Azure AD Connect-server met de optie Uitvoeren als beheerder.
- Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.
- Start de wizard Azure AD Connect.
- Ga naar Extra taken > Problemen oplossen en klik op Volgende.
- Klik op de pagina Problemen oplossen op Starten om het menu Problemen oplossen te starten in PowerShell.
- Kies in het hoofdmenu voor Problemen met de wachtwoord-hashsynchronisatie oplossen.
- Kies in het submenu voor Wachtwoord-hashsynchronisatie werkt helemaal niet.
Hieronder vindt u de lijst van fouten die zich kunnen voordoen zodra de bovenstaande stappen zijn uitgevoerd:
-
De functie Wachtwoord-hashsynchronisatie is niet ingeschakeld
Deze fout zal optreden als de wachtwoord-hashsynchronisatie niet is ingeschakeld met de wizard Azure AD Connect.
-
Wachtwoord-hashsynchronisatie wordt niet verondersteld te werken binnen de faseringsmodus
Deze fout kan optreden als de Azure AD Connect-server in de faseringsmodus is en hierdoor is de Wachtwoord-hashsynchronisatie tijdelijk uitgeschakeld.
-
Deze fout kan optreden als de Azure AD Connect-server in de faseringsmodus is en hierdoor is de Wachtwoord-hashsynchronisatie tijdelijk uitgeschakeld.
Elke on-premises Active Directory-connector heeft zijn eigen kanaal voor de wachtwoord-hashsynchronisatie. Wanneer een kanaal voor de wachtwoord-hashsynchronisatie is gemaakt en er geen wachtwoordwijzigingen moeten worden gesynchroniseerd, wordt elke 30 minuten een hartslaggebeurtenis gegenereerd onder het gebeurtenislogboek van de Windows-toepassing. De cmdlet zoekt hartslaggebeurtenissen voor elke AD-connector in de afgelopen drie uur en als er geen hartslaggebeurtenis is gevonden, wordt deze fout geretourneerd.
-
AD Connector-account heeft een probleem met de wachtwoordsynchronisatiemachtiging voor het domein op:
Als de domeinaccount die wordt gebruikt door de AD-connector voor het synchroniseren van wachtwoordhashes, niet de benodigde machtigingen heeft, wordt deze fout geretourneerd.
-
De wachtwoordsynchronisatie-agent heeft een probleem met het oplossen van een domeincontroller in het domein op:
Als de domeinaccount die wordt gebruikt door de Active Directory-connector voor het synchroniseren van wachtwoordhashes een onjuiste gebruikersnaam of onjuist wachtwoord heeft, wordt de fout geretourneerd.
Probleem 2: Een van de objecten synchroniseert geen wachtwoorden
Dit probleem kan als volgt worden opgelost:
- Voer Windows PowerShell uit als een beheerder op de Azure AD Connect-server met de optie Uitvoeren als beheerder.
- Voer Set-ExecutionPolicy RemoteSigned of Set-ExecutionPolicy Unrestricted uit.
- Start de wizard Azure AD Connect.
- Ga naar Extra taken > Problemen oplossen en klik op Volgende.
- Klik op de pagina Problemen oplossen op Starten om het menu Problemen oplossen te starten in PowerShell.
- Kies in het hoofdmenu voor Problemen met de wachtwoord-hashsynchronisatie oplossen.
- Kies in het submenu voor Wachtwoord-hashsynchronisatie werkt helemaal niet.
- Voer de informatie in over het object dat niet wordt gesynchroniseerd zoals gevraagd.
Elk van de volgende fouten kan zich voordoen wanneer de informatie is ingevoerd.
-
Het object in de AAD-connectorruimte is nog niet geëxporteerd. Dit wachtwoord moet niet worden gesynchroniseerd. Het ruimteobject van de doel-AAD-connector heeft een exportfout.
Deze fout treedt op omdat er geen overeenkomend object voor dit AD-domeinobject is in de Azure AD-tenant. Dit kan zich voordoen als het object niet werd geëxporteerd, reden waarom de wachtwoord-hashsynchronisatie is mislukt voor dit object.
-
Het wachtwoord is ingesteld met de optie 'Gebruiker moet wachtwoord bij volgende aanmelding wijzigen' ingeschakeld. Tijdelijk wachtwoord moet niet worden gesynchroniseerd.
Deze fout doet zich voor wanneer de optie 'Gebruiker moet wachtwoord bij volgende aanmelding wijzigen' is ingeschakeld.
-
De agent voor wachtwoord-hashsynchronisatie heeft geen geschiedenis van wachtwoordwijzigingen voor het opgegeven object. Wachtwoordgeschiedenis wordt eenmaal per week opgeschoond.
Azure AD Connect slaat de resultaten van de pogingen van de wachtwoord-hashsynchronisatie maximaal gedurende zeven dagen op een object op. Als er geen resultaten beschikbaar zijn voor het geselecteerde Active Directory-object, wordt de bovenstaande waarschuwing geretourneerd.
De bovenstaande stappen zijn uitsluitend voor het oplossen van deze problemen met de probleemoplossingstaak. Voor handmatige probleemoplossingklikt u hier.
Azure AD Connect wachtwoord-hashsynchronisatie instellen is een complex proces. De configuratie en probleemoplossing ervan omvat meerdere stappen en opdrachten. ADSelfService Plus, een Active Directory selfservice-oplossing voor het opnieuw instellen van wachtwoorden en eenmalige aanmelding, biedt een functie voor het synchroniseren van wachtwoorden tussen AD en Azure AD. Het inschakelen van deze functie omvat minimale stappen zoals hieronder weergegeven.
Vereisten
Voordat u de wachtwoordsynchronisatie configureert voor Office 365 of Azure, moet u de Windows Azure AD-module voor Windows PowerShell installeren op de server waarin ADSelfService Plus is geïmplementeerd.
Belangrijk: Installeer de Password Sync Agent voor het synchroniseren van wijzigingen en nieuwe instellingen van systeemeigen wachtwoord.
Stappen voor het inschakelen van de wachtwoordsynchronisatie tussen AD en Azure AD met ADSelfService Plus:
- Meld aan bij de beheerconsole van ADSelfService Plus met beheerdersreferenties.
- Ga naar Toepassing > Nieuwe toepassing toevoegen.
- Selecteer de toepassing Office365/Azure-accounts.
- Voer de Toepassingsnaam en Beschrijving in.
- Voer de Domeinnaam van uw Office365/Azure-account in
- Selecteer in het veld Beleid toewijzen, de beleidslijnen waarvoor de wachtwoordsynchronisatie moet worden ingeschakeld.
Opmerking: Met ADSelfService Plus kunt u op beleidsregels op basis van OU en groepen maken voor uw AD-domeinen. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Alleen gebruikersaccounts die onder deze beleidslijnen vallen, kunnen hun wachtwoorden laten synchroniseren met Azure AD.
- Selecteer Wachtwoordsynchronisatie inschakelen.
- Voer Gebruikersnaam en Wachtwoord van uw Office 365/Azure-account in
- Klik op Toepassing toevoegen.
Voordelen van wachtwoordsynchronisatie met ADSelfService Plus:
- Wachtwoordsynchronisatie met belangrijke bedrijfstoepassingen, inclusief Azure AD/Office 365, AD LDS, Salesforce.
- Synchroniseer aangepaste wachtwoordbeleidslijnen die zijn gemaakt met de functie Afdwingen van wachtwoordbeleid.
- Synchroniseer het opnieuw instellen van systeemeigen wachtwoorden vanaf de console Active Directory: gebruikers en computers en wachtwoordwijzigingen die zijn uitgevoerd in het scherm Ctrl+Alt+Del.
- Schakel wachtwoordsynchronisatie in voor gebruikers die bij specifieke OU's en groepen horen.