Устранение неполадок

Атрибуты Active Directory » Устранение неполадок синхронизации хэша паролей с помощью синхронизации Azure AD Connect

Синхронизация паролей: Устранение неполадок синхронизации хэша паролей с помощью синхронизации Azure AD Connect

Синхронизация хэшей паролей между Active Directory (AD) и Azure AD может быть затруднена по ряду причин. Проблемы синхронизации можно устранить, а причины их возникновения можно выяснить с помощью задачи устранения неполадок или ручных методов. Ниже приведены некоторые распространенные проблемы синхронизации, а также соответствующие шаги по их устранению.

Неполадка 1. Пароли не синхронизируются.

Эту проблему можно решить, выполнив следующие действия:

  1. Запустите Windows PowerShell от имени администратора на сервере Azure AD Connect с помощью параметра «Запуск от имени администратора».
  2. Запустите Set-ExecutionPolicy RemoteSigned или Set-ExecutionPolicy Unrestricted.
  3. Запустите мастер Azure AD Connect.
  4. Перейдите в Дополнительные задачи > Устранение неполадок и нажмите Далее.
  5. На странице «Устранение неполадок» нажмите кнопку «Запустить» , чтобы открыть меню устранения неполадок в PowerShell.
  6. В главном меню выберите «Устранение неполадок синхронизации хэша паролей».
  7. В подменю выберите Синхронизация хеша паролей вообще не работает.

Ниже приведен список ошибок, которые могут возникнуть после выполнения вышеуказанных действий:

  1. Функция синхронизации хэша паролей не включена.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-1

    Эта ошибка появится, если синхронизация хэша паролей не была включена с помощью мастера Azure AD Connect.

  2. Синхронизация хэша паролей не должна работать в промежуточном режиме.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-2

    Эта ошибка может возникнуть, если сервер Azure AD Connect находится в промежуточном режиме и в результате синхронизация хэшей паролей временно отключена.

  3. Эта ошибка может возникнуть, если сервер Azure AD Connect находится в промежуточном режиме и в результате синхронизация хэшей паролей временно отключена.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-3

    Каждый локальный соединитель Active Directory имеет собственный канал синхронизации хэшей паролей. Если создан канал синхронизации хэша паролей и нет изменений паролей, подлежащих синхронизации, событие пульса генерируется каждые 30 минут в журнале событий приложений Windows. Командлет ищет события пульса для каждого соединителя AD за последние три часа, и если событие пульса не найдено, возвращается эта ошибка.

  4. Учетная запись AD Connector имела проблему с разрешением на синхронизацию паролей для доменав:

    how-to-troubleshoot-password-hash-sync-with-azure-ad-4

    Если учетная запись домена, используемая соединителем AD для синхронизации хэшей паролей, не имеет необходимых разрешений, возвращается эта ошибка.

  5. У агента синхронизации паролей возникла проблема с разрешением контроллера домена в доменев:

    how-to-troubleshoot-password-hash-sync-with-azure-ad-5

    Если учетная запись домена, используемая соединителем Active Directory для синхронизации хэшей паролей, имеет неверное имя пользователя или пароль, возвращается ошибка.

Неполадка 2. Один из объектов не синхронизирует пароли.

Эту проблему можно решить следующим образом:

  1. Запустите Windows PowerShell от имени администратора на сервере Azure AD Connect с помощью параметра «Запуск от имени администратора».
  2. Запустите Set-ExecutionPolicy RemoteSigned или Set-ExecutionPolicy Unrestricted.
  3. Запустите мастер Azure AD Connect.
  4. Перейдите в Дополнительные задачи > Устранение неполадок и нажмите Далее.
  5. На странице «Устранение неполадок» нажмите кнопку «Запустить» , чтобы открыть меню устранения неполадок в PowerShell.
  6. В главном меню выберите «Устранение неполадок синхронизации хэша паролей».
  7. В подменю выберите Синхронизация хеша паролей вообще не работает.
  8. Введите запрошенную информацию об объекте, который не синхронизируется.

При вводе информации может возникнуть любая из следующих ошибок.

  1. Объект в пространстве соединителя AAD еще не экспортирован. Этот пароль не подлежит синхронизации. У целевого объекта пространства соединителя AAD возникла ошибка экспорта.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-6

    Эта ошибка возникает из-за того, что в клиенте Azure AD отсутствует соответствующий объект для данного объекта домена AD. Это может произойти, если объект не был экспортирован, и именно поэтому синхронизация хэша паролей для этого объекта не удалась.

  2. Пароль установлен, и включен параметр, согласно которому пользователь должен сменить пароль при следующем входе в систему. Временный пароль не подлежит синхронизации.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-7

    Эта ошибка возникает, если включен параметр, согласно которому пользователь должен сменить пароль при следующем входе в систему.

  3. Агент синхронизации хэшей паролей не имеет истории изменения паролей для указанного объекта. История паролей очищается раз в неделю.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-8

    Azure AD Connect хранит результаты попыток синхронизации хэшей паролей для объекта не более семи дней. Если для выбранного объекта Active Directory результаты отсутствуют, возвращается указанное выше предупреждение.

Указанные выше шаги предназначены только для устранения неполадок с помощью задачи устранения неполадок. Порядок устранения неполадок вручную представлен здесь.

Настройка синхронизации хэшей паролей Azure AD Connect - сложный процесс. Настройка и устранение неполадок включают в себя несколько шагов и команд. ADSelfService Plus, решение для самостоятельного управления паролями Active Directory и единого входа, предлагает функцию синхронизации паролей между AD и Azure AD. Включение этой функции требует выполнения минимальных действий, перечисленных ниже.

Предварительные требования

Перед настройкой синхронизации паролей для Office 365 или Azure необходимо установить модуль Windows Azure AD для Windows PowerShell на сервере, на котором развернуто решение ADSelfService Plus.

Важно! Установите агент синхронизации паролей, чтобы синхронизировать изменения изначального пароля и операции его сброса.

Порядок включения синхронизации паролей между AD и Azure AD с помощью ADSelfService Plus

  • Войдите в консоль администрирования ADSelfService Plus, используя учетные данные администратора.
  • Перейдите в раздел Приложение > Добавить новое приложение.
  • выберите приложение Office 365/Azure.
  • Укажите название приложения и его описание.
  • Введите доменное имя своей учетной записи Office 365/Azure
  • В поле Назначить политики выберите политики, для которых необходимо включить синхронизацию паролей.

Примечание: ADSelfService Plus позволяет создавать политики на уровне подразделений и групп для доменов AD. Чтобы создать политику, перейдите в раздел "Конфигурация" > "Самообслуживание" > "Конфигурация политики" > "Добавить новую политику". Синхронизировать пароли с Azure AD могут только те учетные записи пользователей, которые подпадают под эти политики.

  • Выберите параметр Включить синхронизацию паролей.
  • Введите имя пользователя и пароль учетной записи Office 365/Azure.
  • Нажмите Добавить приложение.

Преимущества синхронизации паролей с помощью ADSelfService Plus:

  1. Синхронизация паролей с основными корпоративными приложениями, включая Azure AD/Office 365, AD LDS, Salesforce.
  2. Синхронизация настраиваемых политик паролей, созданных с помощью средства принудительного применения политики паролей.
  3. Синхронизация собственных сбросов паролей, выполненных из консоли "Пользователи и компьютеры Active Directory", и изменений паролей, выполненных на экране CTRL+ALT+DEL.
  4. Включение синхронизации паролей для пользователей, принадлежащих определенным подразделениям и группам.

Упрощение управление паролями в ADSelfService Plus.

Получить бесплатную пробную версию

Решение для самостоятельного управления паролями и система единого входа

ManageEngine ADSelfService Plus представляет собой интегрированное решение для самостоятельного управления паролями и единого входа при использовании служб Active Directory и облачных приложений. Обеспечьте безопасность конечных точек с помощью строгих средств аутентификации, включая биометрию и расширенные средства управления политиками паролей.