Rozwiązywanie problemów z agentem synchronizacji hasła

Agent synchronizacji haseł ADSelfService Plus synchronizuje zmiany hasła w systemie (zmiana hasła za pomocą ekranu Ctrl+Alt+Del i resetowanie haseł za pomocą portalu Active Directory Użytkownicy i komputery) z aplikacjami przedsiębiorstwa zintegrowanymi do synchronizacji haseł.

Ten artykuł zawiera instrukcje dotyczące rozwiązywania problemów, które mogą wystąpić podczas korzystania z agenta synchronizacji haseł. Problemy te są podzielone na trzy kategorie:

• Błędy, które mogą pojawić się podczas instalacji agenta synchronizacji haseł.
• Błędy, które mogą wystąpić podczas edytowania ustawień za pomocą ikony aplikacji systemowej agenta synchronizacji haseł.
• Inne przyczyny.

Błędy, które mogą pojawić się podczas instalacji agenta synchronizacji haseł

• Proszę zainstalować agenta synchronizacji haseł z uprawnieniami administracyjnymi.
• Kontroler domeny nie jest autoryzowany przez ADSelfService Plus.
• Atak powtórzeniowy, wcześniejsze żądanie lub nieprawidłowe ustawienie czasu w agencie.
• Nie można skontaktować się z serwerem lub wystąpił błąd wewnętrzny.
• Weryfikacja klucza dostępu nie powiodła się.

1. Proszę zainstalować agenta synchronizacji haseł z uprawnieniami administracyjnymi.

Możliwa przyczyna: Użytkownik próbujący zainstalować agenta synchronizacji haseł nie ma wymaganych uprawnień.

Rozwiązanie: Uruchom plik ManageEnginePasswordSyncAgent.msi jako administrator, tzn. kliknij prawym przyciskiem myszy na plik i wybierz opcję Uruchom jako administrator.

2. Kontroler domeny nie jest autoryzowany przez ADSelfService Plus.

Możliwa przyczyna: Kontroler domeny, na którym ma zostać zainstalowany agent synchronizacji haseł, nie znajduje się na liście skonfigurowanych domen w ADSelfService Plus.

Rozwiązanie: Upewnij się, że kontroler domeny, na którym próbujesz zainstalować agenta synchronizacji haseł, jest dodany do listy DC w ADSelfService Plus. Aby uzyskać informacje dotyczące konfiguracji domeny, kliknij tutaj.

3. Atak powtórzeniowy, wcześniejsze żądanie lub nieprawidłowe ustawienie czasu w agencie.

Możliwa przyczyna: Czas na kontrolerze domeny, na którym zainstalowany jest agent synchronizacji haseł, i na serwerze ADSelfService Plus są różne.

Rozwiązanie: Proszę upewnić się, że czas na kontrolerze domeny, na którym próbujesz zainstalować agenta synchronizacji haseł, i czas na serwerze ADSelfService Plus są ze sobą zsynchronizowane.

4. Nie można skontaktować się z serwerem lub wystąpił błąd wewnętrzny.

Możliwa przyczyna: Wartości wprowadzone dla protokołu, nazwy hosta i numeru portu podczas instalacji agenta synchronizacji haseł są nieprawidłowe lub stały się nieaktualne.

Rozwiązanie:

1. Sprawdź dostępność portalu ADSelfService Plus z maszyny, na której wystąpił ten błąd. Jeśli jest niedostępny, sprawdź połączenie sieciowe między serwerem ADSelfService Plus a tym komputerem.
• Aby sprawdzić dostępność serwera ADSelfService Plus, pinguj serwer, używając nazwy serwera/IP adresu ADSelfService Plus z kontrolera domeny, na którym zainstalowany jest agent.
• Aby sprawdzić połączenie, zweryfikuj, czy połączenie portowe ADSelfService Plus jest otwarte. Jednym ze sposobów sprawdzenia dostępności portu jest otwarcie wiersza poleceń na kontrolerze domeny, na którym zainstalowany jest agent, i wykonanie następującej komendy: telnet <nazwa-serwera-adssp> <numer-portu-adssp>. Jeśli polecenie zwraca komunikat o błędzie "połączenie nieudane", sprawdź dostępność portu na serwerze ADSelfService Plus.
2. Zainstaluj agenta synchronizacji haseł, podając poprawne lub najnowsze wartości serwera ADSelfService. Skorzystaj z tych kroków, aby zainstalować agenta.

5. Weryfikacja klucza dostępu nie powiodła się.

Możliwa przyczyna: Wprowadzono nieprawidłowy klucz dostępu lub klucz dostępu został wygenerowany ponownie.

Rozwiązanie: Upewnij się, że klucz dostępu podany podczas instalacji jest ważny.

Błędy, które mogą wystąpić podczas edytowania ustawień z ikony aplikacji Tray Agenta Synchronizacji Haseł

Poniżej znajduje się lista błędów, które mogą się pojawić podczas edycji ustawień po kliknięciu na ikonę aplikacji Tray Agenta Synchronizacji Haseł.

• Kontroler domeny nie został autoryzowany przez ADSelfService Plus.
• Atak powtórzeniowy, wcześniejsze żądanie lub nieprawidłowe ustawienie czasu w agencie.
• Nie można skontaktować się z serwerem. Proszę spróbować ponownie później.
• Weryfikacja klucza dostępu nie powiodła się.
• Odmowa dostępu. Wymagane uprawnienia administratora do tej operacji.

1. Kontroler domeny nie został autoryzowany przez ADSelfService Plus.

Możliwa przyczyna: Kontroler domeny, na którym należy zainstalować Agenta Synchronizacji Haseł, nie jest uwzględniony w liście skonfigurowanych domen w ADSelfService Plus.

Rozwiązanie: Upewnij się, że kontroler domeny, na którym próbujesz zainstalować Agenta Synchronizacji Haseł, został dodany do listy DC w ADSelfService Plus. Aby uzyskać informacje dotyczące konfiguracji domeny, kliknij tutaj.

2. Atak powtórzeniowy, wcześniejsze żądanie lub nieprawidłowe ustawienie czasu w agencie.

Możliwa przyczyna: Ustawienia czasu w kontrolerze domeny, na którym zainstalowany jest Agent Synchronizacji Haseł, oraz serwerze ADSelfService Plus są niespójne.

Rozwiązanie: Upewnij się, że ustawienia czasu w kontrolerze domeny, na którym próbujesz zainstalować agenta synchronizacji, oraz serwerze ADSelfService Plus są ze sobą zsynchronizowane.

3. Nie można skontaktować się z serwerem. Proszę spróbować ponownie później.

Możliwa przyczyna: Wprowadzone wartości dla protokołu, nazwy hosta i numeru portu są nieprawidłowe lub stały się nieważne.

Rozwiązanie:

• Sprawdź dostępność portalu ADSelfService Plus z maszyny, na której otrzymano ten błąd. Jeśli jest niedostępny, sprawdź połączenie sieciowe między serwerem ADSelfService Plus a tym komputerem. Aby uzyskać informacje na temat kroków, które należy podjąć w celu sprawdzenia dostępności serwera ADSelfService Plus, kliknij tutaj.
• Podaj właściwe lub najnowsze wartości serwera ADSelfService w oknie Edytuj ustawienia.

4. Weryfikacja klucza dostępu nie powiodła się.

Możliwa przyczyna: Wprowadzono nieprawidłowy klucz dostępu lub klucz dostępu został wygenerowany na nowo.

Rozwiązanie: Upewnij się, że klucz dostępu podany podczas instalacji jest ważny.

5. Dostęp zabroniony. Wymagane uprawnienia administratora do tej operacji.

Możliwa przyczyna: Ten błąd występuje, gdy próbujesz edytować ustawienia bez uprawnień administracyjnych.

Domyślnie tylko administratorzy mają uprawnienia do edytowania ustawień. Jednak jeśli inny użytkownik chce zmodyfikować ustawienia, może to zrobić, postępując zgodnie z poniższymi krokami:

• Otwórz wiersz polecenia jako administrator i przejdź do folderu C:\Program files(x86)\ZOHO Corp\Password Sync Agent.
• Wykonaj polecenie: SQLiteHandler.exe <servername> <portnumber> <protocol> <accessKey>

np : SQLiteHandler.exe adssp-dc1 8888 http dsgjhjhsaYYTv6FUF7VUCtufuy.

Inne możliwe przypadki błędów

1. Jeśli Agent synchronizacji haseł nie działa.
2. Jeśli Wykonawca zasad haseł/Have I Been Pwned nie działa.
3. Nie można skontaktować się z serwerem ADSelfService Plus lub jest niedostępny, ale ADSelfService Plus jest dostępny za pośrednictwem przeglądarki internetowej w konkretnym kontrolerze domeny.
4. Natychmiastowe resetowanie haseł nie jest rejestrowane w raporcie audytu resetowania haseł.
5. Co zrobić, gdy Agent synchronizacji haseł uruchamia wiele starych żądań resetowania/zmiany hasła po uruchomieniu usługi ManageEnginePasswordSyncAgent.
6. Usługi Agenta synchronizacji nie uruchamiają się po ponownym uruchomieniu serwera, nawet po ustawieniu typu usług na Automatycznie lub Opóźnione uruchomienie automatyczne, jednak uruchomienie ręczne działa.

Przypadek 1: Jeśli Agent synchronizacji haseł nie działa,

• Sprawdź, czy usługi ManageEngine - Agent synchronizacji haseł i Kolejkowanie wiadomości są uruchomione. Możesz to zrobić, wykonując poniższe kroki,
  • Otwórz Menedżera usług (Start > Uruchom > Services.msc).
  • W otwartym oknie usług sprawdź, czy usługi ManageEngine – Agent synchronizacji haseł oraz Kolejkowanie wiadomości są uruchomione.
• Sprawdź dostępność serwera ADSelfService Plus z kontrolera domeny, na którym zainstalowany jest agent. Możesz znaleźć kroki tutaj.

Przypadek 2: Jeśli Wykonawca zasad haseł/Have I Been Pwned nie działa,

• Sprawdź, czy usługi ManageEngine - Agent synchronizacji haseł i Kolejkowanie wiadomości są uruchomione. Możesz to zrobić, wykonując poniższe kroki,
• Otwórz Menedżera usług (Start > Uruchom > Services.msc)
• W otwartym oknie usług sprawdź, czy usługi ManageEngine – Agent synchronizacji haseł oraz Kolejkowanie wiadomości są uruchomione.
• Sprawdź dostępność serwera ADSelfService Plus z domyślnego kontrolera, na którym zainstalowany jest agent. Aby uzyskać informacje dotyczące kroków do sprawdzenia dostępności serwera ADSelfService Plus, kliknij tutaj.
• Jeśli ustawienia Wykonawcy zasad haseł i Have I Been Pwned w portalu ADSelfService Plus są skonfigurowane dla istniejącej instalacji agenta synchronizacji, szczegóły serwera ADSelfService Plus muszą być zaktualizowane w agencie synchronizacji za pomocą opcji Edytuj ustawienia.

Przypadek 3: Nie można skontaktować się z serwerem ADSelfService Plus lub jest niedostępny, ale ADSelfService Plus jest dostępny za pośrednictwem przeglądarki internetowej w konkretnym kontrolerze domeny.

Rozwiązanie 1:

• Zatrzymaj usługę ADSelfService Plus.
• Otwórz plik server.xml (<katalog instalacyjny>/conf) i przejdź do następującej sekcji:
  <Connector SSLEnabled="true"
• TLS 1.2 powinien być skonfigurowanym protokołem TLS. Aby to upewnić, sprawdź, czy wskazany jest następujący parametr. Jeśli nie, dodaj go na końcu sekcji:
  <Connector SSLEnabled="true" acceptCount="100" compression="off"........ ...... ...... ............. SSLEnabledProtocols="TLSv1.2"/>
• Po skonfigurowaniu TLS 1.2 potwierdź, że zainstalowano wersję 1.3.0 agenta synchronizacji haseł, otwierając Panel sterowania, przechodząc do ikony agenta synchronizacji haseł i sprawdzając wersję w kolumnie wersji. Tylko wersje agenta synchronizacji haseł 1.3.0 i wyższe obsługują TLS v.1.2.
• Uruchom ADSelfService Plus.

Rozwiązanie 2:

Sprawdź, czy do uzyskania dostępu do serwera ADSelfService Plus używany jest jakiś serwer proxy. Jeśli tak, skonfiguruj ustawienia tego serwera proxy w Internet Explorer, ponieważ agent synchronizacji haseł używa serwera proxy skonfigurowanego w Internet Explorer.

Przypadek 4: Nie audytowane są natywne resetowania haseł w raporcie audytu resetowania haseł.

Rozwiązanie 1:

• Sprawdź, czy w logu Wysyłanie danych do zapisano informację w logu serwisu dla wykonanego natywnego resetowania hasła.

  Lokalizacja logu serwisu:
  • W systemach 64-bitowych - C:\Program Files (x86)\ZOHO Corp\Password Sync Agent
  • W systemach 32-bitowych - C:\Program Files\ZOHO Corp\Password Sync Agent
• Następnie sprawdź, czy w logu serverout log (<folder instalacyjny>\logs) zapisano błąd dla wstępnej akcji.

• Jeśli w logu serverout występuje błąd "Brak klucza szyfrującego", skonfiguruj ponownie agenta synchronizacji haseł, podając nazwę serwera lub adres IP, numer portu oraz protokół (HTTPS/HTTP) używany przez ADSelfService Plus. Można to zrobić, postępując zgodnie z poniższymi krokami:

  • Kliknij prawym przyciskiem myszy ikonę agenta synchronizacji haseł w zasobniku systemowym i wybierz Edytuj ustawienia.
  • Otworzy się okno dialogowe Edytuj ustawienia.
  • Wprowadź Nazwę serwera/Adres IP, Numer portu, Protokół (HTTPS/HTTP) i Klucz dostępu.
  • Kliknij Zapisz.

Rozwiązanie 2: Zainstaluj ponownie agenta synchronizacji haseł.

• Na kontrolerze domeny, na którym zainstalowany jest agent synchronizacji haseł, przejdź do Panelu sterowania, kliknij ikonę agenta synchronizacji haseł i kliknij Odinstaluj.
• Teraz przejdź do folderu, w którym znajduje się plik MSI agenta synchronizacji haseł (ManageEnginePasswordSyncAgent.msi).
• Otwórz wiersz polecenia jako administrator, podaj nazwę pliku MSI agenta synchronizacji haseł (ManageEnginePasswordSyncAgent.msi) i naciśnij Enter.

Przypadek 5: Co zrobić, gdy agent synchronizacji haseł uruchamia wiele starych żądań resetowania/zmiany hasła, gdy usługa ManageEnginePasswordSyncAgent jest uruchomiona.

Możliwa przyczyna: Taka sytuacja wystąpi, jeśli w kolejce znajdują się wiadomości o oczekujących resetach haseł, które miały miejsce, gdy usługa agenta synchronizacji haseł ManageEngine była niedostępna.

Rozwiązanie: Wiadomości w kolejce można usunąć przed ponownym uruchomieniem usługi agenta synchronizacji haseł na kontrolerach domeny. Kliknij Wyczyść, aby usunąć stare oczekujące żądania resetowania w kolejce wiadomości. Po zakończeniu uruchom usługę agenta synchronizacji haseł ManageEngine.

Przypadek 6: Usługi agenta synchronizacji nie uruchamiają się po ponownym uruchomieniu serwera, nawet jeśli typ usług jest ustawiony na Automatyczne lub Automatyczne opóźnione uruchamianie, jednak ręczne uruchomienie działa.

Możliwa przyczyna: Dzieje się tak, gdy inicjowanie usługi zajmuje więcej niż 30 sekund.

Rozwiązanie: Proszę postępować zgodnie z poniższymi krokami, aby ręcznie zwiększyć wartość limitu czasowego w rejestrze dla Menedżera kontroli usług (SCM):

1. Przejdź do Start > Uruchom i wpisz regedit.
2. Przejdź do: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control.
3. Po wybraniu folderu kontrolnego, kliknij prawym przyciskiem myszy w panelu po prawej stronie i wybierz nową wartość DWORD.
4. Nazwij nową wartość DWORD ServicesPipeTimeout. Kliknij prawym przyciskiem myszy na ServicesPipeTimeout, a następnie kliknij Zmodyfikuj.
5. Kliknij Dziesiętnie, wpisz 180000, a następnie kliknij OK.
6. Uruchom ponownie komputer.