Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync

Questo argomento descrive la procedura per risolvere i problemi di sincronizzazione dell'hash delle password. Se le password non vengono sincronizzate come previsto, può essere per un subset di utenti o per tutti gli utenti.

Per la distribuzione di Microsoft Entra Connect con la versione 1.1.614.0 o successiva, usare l'attività specificata nella procedura guidata per la risoluzione dei problemi di sincronizzazione dell'hash delle password:

• Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi.

• Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi.

Per la distribuzione con la versione 1.1.524.0 o successiva, è disponibile un cmdlet di diagnostica che è possibile usare per risolvere i problemi di sincronizzazione dell'hash delle password:

• Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica.

• Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: risolvere i problemi tramite il cmdlet di diagnostica.

Per le versioni precedenti della distribuzione di Microsoft Entra Connect:

• Se si verifica un problema per cui nessuna password viene sincronizzata, vedere la sezione Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi.

• Se si verifica un problema relativo a singoli oggetti, vedere la sezione Un oggetto non sincronizza le password: passaggi per la risoluzione manuale dei problemi.

Nessuna password viene sincronizzata: risolvere i problemi usando l'attività di risoluzione dei problemi

Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare l'attività di risoluzione dei problemi.

Eseguire l'attività di risoluzione dei problemi

Per risolvere i problemi per cui nessuna password viene sincronizzata:

1. Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.

2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.

3. Avvia la procedura guidata Microsoft Entra Connect.

4. Passare alla pagina attività aggiuntive, selezionare Risoluzione dei problemie selezionare Avanti.

5. Nella pagina Risoluzione dei problemi selezionare Avvia per avviare il menu di risoluzione dei problemi in PowerShell.

6. Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).

7. Nel sottomenu scegliere Password hash synchronization does not work at all (La sincronizzazione dell'hash delle password non funziona).

Informazioni sui risultati dell'attività di risoluzione dei problemi

L'attività di risoluzione dei problemi effettua i controlli seguenti:

• Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata per il tuo tenant di Microsoft Entra.

• Verifica che il server Microsoft Entra Connect non sia in modalità di staging.

• Per ogni connettore Active Directory locale esistente (che corrisponde a una foresta di Active Directory esistente):

  • Verifica che la funzionalità di sincronizzazione dell'hash delle password sia abilitata.

  • Cerca gli eventi heartbeat di sincronizzazione dell'hash delle password nei registri eventi dell'applicazione.

  • Per ogni dominio di Active Directory sotto il connector locale di Active Directory:

    • Verifica che il dominio sia raggiungibile dal server di Microsoft Entra Connect.

    • Verifica che gli account di Active Directory Domain Services usati da Active Directory Connector locale abbiano il nome utente e la password corretti e le autorizzazioni necessarie per la sincronizzazione dell'hash delle password.

Il diagramma seguente illustra i risultati del cmdlet per una topologia di Active Directory locale a dominio singolo:

Nella parte restante di questa sezione vengono descritti i risultati specifici restituiti dall'attività e i problemi corrispondenti.

La funzionalità di sincronizzazione dell'hash delle password non è abilitata

Se la sincronizzazione dell'hash delle password non è abilitata tramite la procedura guidata Microsoft Entra Connect, viene restituito l'errore seguente:

Il server Microsoft Entra Connect è in modalità di gestione temporanea

Se il server di Microsoft Entra Connect è in modalità di gestione temporanea, la sincronizzazione dell'hash delle password è temporaneamente disabilitata e viene restituito l'errore seguente:

Nessun evento di battito cardiaco per la sincronizzazione dell'hash delle password

Ogni connettore di Active Directory locale gestisce il proprio canale di sincronizzazione dell'hash delle password. Quando il canale è attivo ma non sono in sospeso modifiche alla password, viene registrato un evento heartbeat (ID evento 654) ogni 30 minuti nel registro eventi dell'applicazione di Windows.

Per verificare l'integrità del canale, il cmdlet controlla la presenza di eventi heartbeat da ogni connettore nelle ultime tre ore. Se non viene trovato alcuno, restituisce l'errore seguente:

L'account di Active Directory Domain Services non ha le autorizzazioni corrette

Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password non ha le autorizzazioni appropriate, viene restituito l'errore seguente:

La password o il nome utente dell'account di Active Directory Domain Services non è corretto

Se l'account di Active Directory Domain Services usato dall'istanza locale di Active Directory Connector per sincronizzare gli hash delle password ha una password o un nome utente non corretto, viene restituito l'errore seguente:

Un oggetto non sincronizza le password: risolvere i problemi usando l'attività di risoluzione dei problemi

È possibile usare l'attività di risoluzione dei problemi per determinare il motivo per cui un oggetto non sincronizza le password.

Eseguire il cmdlet di diagnostica

Per risolvere i problemi relativi a un oggetto utente specifico:

1. Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.

2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.

3. Avvia la procedura guidata Microsoft Entra Connect.

4. Passare alla pagina attività aggiuntive, selezionare Risoluzione dei problemie selezionare Avanti.

5. Nella pagina Risoluzione dei problemi selezionare Avvia per avviare il menu di risoluzione dei problemi in PowerShell.

6. Nel menu principale scegliere Troubleshoot password hash synchronization (Risolvere i problemi di sincronizzazione dell'hash delle password).

7. Nel menu secondario selezionare Password non è sincronizzata per un account utente specifico.

Informazioni sui risultati dell'attività di risoluzione dei problemi

L'attività di risoluzione dei problemi effettua i controlli seguenti:

• Esamina lo stato dell'oggetto Active Directory nello spazio connettore di Active Directory, nel metaverse e nello spazio connettore di Microsoft Entra.

• Verifica che siano definite regole di sincronizzazione con la sincronizzazione dell'hash delle password abilitata e applicata all'oggetto Active Directory.

• Prova a recuperare e visualizzare i risultati dell'ultimo tentativo di sincronizzazione della password per l'oggetto.

Il diagramma seguente illustra i risultati del cmdlet durante la risoluzione dei problemi di sincronizzazione dell'hash delle password per un singolo oggetto:

La parte restante di questa sezione descrive i risultati specifici restituiti dal cmdlet e i problemi corrispondenti.

L'oggetto Active Directory non viene esportato in Microsoft Entra ID

La sincronizzazione dell'hash delle password per questo account Active Directory locale ha esito negativo perché non esiste alcun oggetto corrispondente nel tenant di Microsoft Entra. Viene restituito l'errore seguente:

L'utente ha una password temporanea

Le versioni precedenti di Microsoft Entra Connect non supportano la sincronizzazione delle password temporanee con Microsoft Entra ID. Una password viene considerata temporanea se l'opzione Cambiamento obbligatorio password all'accesso successivo è impostata per l'utente di Active Directory locale. L'errore seguente viene restituito con queste versioni precedenti:

Per abilitare le sincronizzazioni delle password temporanee, è necessario che sia installato Microsoft Entra Connect versione 2.0.3.0 o successiva e che la funzionalità ForcePasswordChangeOnLogon sia abilitata.

I risultati dell'ultimo tentativo di sincronizzare la password non sono disponibili

Per impostazione predefinita, Microsoft Entra Connect archivia i risultati dei tentativi di sincronizzazione dell'hash delle password per sette giorni. Se per l'oggetto Active Directory selezionato non sono disponibili risultati, viene restituito l'avviso seguente:

Nessuna password viene sincronizzata: risolvere i problemi tramite il cmdlet di diagnostica

Per stabilire il motivo per cui nessuna password viene sincronizzata, è possibile usare il cmdlet Invoke-ADSyncDiagnostics.

Eseguire il cmdlet di diagnostica

Per risolvere i problemi per cui nessuna password viene sincronizzata:

1. Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.

2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.

3. Esegui Import-Module ADSyncDiagnostics.

4. Esegui Invoke-ADSyncDiagnostics -PasswordSync.

Un oggetto non sincronizza le password: risolvere i problemi usando il cmdlet di diagnostica

È possibile usare il cmdlet Invoke-ADSyncDiagnostics per determinare il motivo per cui un oggetto non sincronizza le password.

Eseguire il cmdlet di diagnostica

Per risolvere i problemi per cui nessuna password viene sincronizzata per un utente:

1. Apri una nuova sessione di Windows PowerShell nel tuo server di Microsoft Entra Connect usando l'opzione Esegui come amministratore.

2. Eseguire Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.

3. Esegui Import-Module ADSyncDiagnostics.

4. Ottieni il DN dell'utente DistinguishedName ed esegui il cmdlet seguente:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Ad esempio:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Nessuna password viene sincronizzata: passaggi per la risoluzione manuale dei problemi

Per stabilire il motivo per cui nessuna password viene sincronizzata, seguire questi passaggi:

1. Il server di connessione è in modalità di gestione temporanea? Un server in modalità di gestione temporanea non sincronizza le password.

2. Eseguire lo script nella sezione Ottenere lo stato delle impostazioni di sincronizzazione password. Fornisce una panoramica della configurazione della sincronizzazione password.

   

3. Se la funzionalità non è abilitata in Microsoft Entra ID o se lo stato del canale di sincronizzazione non è abilitato, eseguire l'installazione guidata di Connect. Selezionare Personalizzazione delle opzioni di sincronizzazione e deselezionare l'opzione di sincronizzazione delle password. Questa modifica disabilita temporaneamente la funzionalità. Eseguire quindi di nuovo la procedura guidata e riabilitare la sincronizzazione password. Eseguire di nuovo lo script per verificare che la configurazione sia corretta.

4. Esaminare il log eventi per cercare eventuali errori. Cercare gli eventi seguenti che potrebbero indicare un problema:

   Origine: “Sincronizzazione della directory”
   ID: 0, 611, 652, 655

   Se visualizzi eventi di questo tipo, è presente un problema di connessione. Il messaggio del log eventi contiene informazioni sulla foresta in cui si verifica un problema.

5. Se non viene visualizzato alcun heartbeat o non si sono trovate altre soluzioni al problema, eseguire lo script riportato in Attivare una sincronizzazione completa di tutte le password. Eseguire lo script una sola volta.

6. Vedere la sezione Risolvere i problemi relativi a un oggetto che non sincronizza le password.

Problemi di connettività e autorizzazioni di Active Directory Domain Services

Controllare se Microsoft Entra Connect può connettersi a Microsoft Entra ID.

L'account del connettore di Active Directory Domain Services deve disporre delle autorizzazioni necessarie per leggere gli hash delle password in tutti i domini.

Se è stato installato Microsoft Entra Connect usando le impostazioni express, le autorizzazioni necessarie sono state configurate automaticamente.

Se è stata usata l'installazione personalizzata, assegnare manualmente le autorizzazioni seguendo questa procedura:

1. Per trovare l'account usato dal Active Directory Connector, avviare Synchronization Service Manager.

2. Passare a Connettori e cercare la foresta di Active Directory locale per cui stai risolvendo i problemi.

3. Selezionare il connettore e quindi selezionare Proprietà.

4. Vai a Collegati alla Foresta di Active Directory.

   
   Prendere nota del nome utente e del dominio in cui si trova l'account.

5. Avvia Utenti e computer di Active Directorye quindi verifica che l'account trovato in precedenza disponga delle seguenti autorizzazioni impostate alla radice di tutti i domini della foresta:

   • Replica delle modifiche della directory
   • Replica tutte le modifiche alla directory

6. I controller di dominio sono raggiungibili da Microsoft Entra Connect? Se il server Connect non riesce a connettersi a tutti i controller di dominio, configurare Usa solo il controller di dominio preferito.

   

7. Tornare a Synchronization Service Manager e Configure Directory Partition (Configurare la partizione della directory).

8. Selezionare il proprio dominio in Selezionare le partizioni di directory, selezionare la casella di controllo Usare solo i controller di dominio preferiti e quindi selezionare Configura.

9. Nell'elenco immettere i controller di dominio che Connect deve usare per la sincronizzazione delle password. Lo stesso elenco viene usato anche per importare ed esportare. Eseguire questi passaggi per tutti i domini.

10. Se lo script indica che non è presente alcun heartbeat, eseguire lo script in Attivare una sincronizzazione completa di tutte le password.

Un oggetto non sincronizza le password: passaggi manuali per la risoluzione dei problemi

È possibile risolvere facilmente i problemi di sincronizzazione dell'hash delle password esaminando lo stato di un oggetto.

1. In Utenti e computer di Active Directory, cercare l'utente, quindi verificare che la casella di controllo L'utente deve cambiare password al prossimo accesso sia deselezionata.

   

Se la casella di controllo è selezionata, chiedere all'utente di accedere e modificare la password. Le password temporanee non vengono sincronizzate con Microsoft Entra ID.

2. Se in Active Directory la password sembra corretta, seguire l'utente nel motore di sincronizzazione. Seguendo l'utente da Active Directory locale a Microsoft Entra ID, è possibile verificare se è presente un errore descrittivo nell'oggetto.

   a) Avviare Synchronization Service Manager.

   b. Seleziona Connettori.

   c. Selezionare l'istanza di Active Directory Connector in cui si trova l'utente.

   d. Selezionare Spazio Connettore di Ricerca.

   e. Nella casella Ambito, selezionare DN o Anchor e quindi immettere il nome distinto completo dell'utente di cui stai eseguendo la risoluzione dei problemi.

   

   f. Individua l'utente desiderato, quindi seleziona Proprietà per visualizzare tutti gli attributi. Se l'utente non è nel risultato della ricerca, verificare le regole di filtro e assicurarsi di eseguire Applica e verificare le modifiche affinché l'utente venga visualizzato in Connetti.

   g. Per visualizzare i dettagli di sincronizzazione delle password dell'oggetto per la settimana precedente, selezionare Log.

   

   Se il log oggetti è vuoto, Microsoft Entra Connect non è in grado di leggere l'hash della password da Active Directory. Continuare a risolvere i problemi di connettività. Se viene visualizzato un valore diverso da success, fare riferimento alla tabella Log di sincronizzazione delle password.

   h. Selezionare la scheda Lineage e verificare che almeno una regola di sincronizzazione nella colonna PasswordSync sia True. Nella configurazione predefinita il nome della regola di sincronizzazione è In from AD - User AccountEnabled.

   

   i. Selezionare Proprietà oggetto Metaverse per visualizzare un elenco di attributi utente.

   

   Verificare che non sia presente nessun attributo cloudFiltered. Assicurarsi che gli attributi di dominio (domainFQDN e domainNetBios) abbiano i valori previsti.

   j. Selezionare la scheda Connettori. Assicurarsi di visualizzare i connettori sia per Active Directory locale che per ID Microsoft Entra.

   

   Okay. Selezionare la riga che rappresenta Microsoft Entra ID, selezionare Proprietàe quindi selezionare la scheda Lineage. L'oggetto spazio connettore deve avere una regola di esportazione nella colonna PasswordSync impostata su True. Nella configurazione predefinita, il nome della regola di sincronizzazione è Out to Microsoft Entra ID - User Join.

   

Log di sincronizzazione dell'hash delle password

I valori possibili per la colonna dello stato sono i seguenti:

Log del Visualizzatore eventi di Windows per la sincronizzazione dell'hash delle password

La funzionalità sincronizzazione dell'hash delle password genera un set completo di eventi dell'applicazione nel Visualizzatore eventi di Windows, acquisendo la maggior parte delle attività operative.

Per una risoluzione dei problemi efficace, prendere in considerazione l'aumento delle dimensioni del log delle applicazioni. Senza questa regolazione, gli eventi di sincronizzazione dell'hash delle password possono essere sovrascritti, rendendo difficile tenere traccia dello stato della sincronizzazione e diagnosticare i problemi.

Script per facilitare la risoluzione dei problemi

Ottenere lo stato delle impostazioni di sincronizzazione password

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Attivare una sincronizzazione completa di tutte le password

È possibile attivare una sincronizzazione completa di tutte le password usando lo script seguente:

1. Assegnare il valore locale di Active Directory $adConnector

   $adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"

2. Assegnare AzureAD il valore di $aadConnector

   $aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"

3. Installare il modulo di sincronizzazione AzureAD

   Import-Module adsync

4. Creare un nuovo oggetto parametro di configurazione per forzare la sincronizzazione completa della password.

   $c = Get-ADSyncConnector -Name $adConnector

5. Aggiornare il connettore esistente con le nuove configurazioni seguenti. Eseguire ogni riga separatamente

   a) $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null

   b. $p.Value = 1

   c. $c.GlobalParameters.Remove($p.Name)

   d. $c.GlobalParameters.Add($p)

   e. $c = Add-ADSyncConnector -Connector $c

6. Disabilitare Entra ID Connect

   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false

7. Abilitare Entra ID Connect per forzare la sincronizzazione completa delle password

   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Passaggi successivi

• Implementazione della sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync
• Sincronizzazione Microsoft Entra Connect: personalizzazione delle opzioni di sincronizzazione
• Integrazione delle identità locali con Microsoft Entra ID