Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям сбрасывать пароли в облаке. Обратная запись паролей — это функция, включенная с помощью Microsoft Entra Connect или облачной синхронизации , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени.
При возникновении проблем с обратной записью для SSPR используйте следующие инструкции по устранению неполадок и распространенных ошибок. Если вы не можете найти ответ на вашу проблему, наши группы поддержки всегда доступны , чтобы помочь вам дальше.
Устранение неполадок с подключением
Если у вас возникли проблемы с обратной записью паролей для Microsoft Entra Connect, ознакомьтесь со следующими шагами, которые помогут устранить проблему. Чтобы восстановить службу, рекомендуется выполнить следующие действия в указанном порядке:
- Подтверждение сетевого подключения
- Проверка TLS 1.2
- Обновление Microsoft .NET 4.8
- Перезапустите службу синхронизации Microsoft Entra Connect
- Отключение и повторное включение функции обратной записи паролей
- Установка последнего выпуска Microsoft Entra Connect
- Устранение неполадок обратной записи паролей
Проверка наличия сетевого подключения
Наиболее распространенной точкой сбоя является то, что брандмауэр или прокси-порты или время ожидания простоя неправильно настроены.
Для Microsoft Entra Connect версии 1.1.443.0 и более поздних версий требуется исходящий доступ HTTPS к следующим адресам:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Конечные точки Azure для государственных организаций США:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Конечные точки Azure Для Китая 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Если вам нужна более подробная степень, ознакомьтесь со списком диапазонов IP-адресов Microsoft Azure и тегов служб для общедоступного облака.
Сведения о Azure для государственных организаций США см. в списке диапазонов IP-адресов и тегов служб Microsoft Azure для облака для государственных организаций США.
Эти файлы обновляются еженедельно.
Чтобы определить, ограничен ли доступ к URL-адресу и порту в среде, такой как глобальное облако Azure, выполните следующие действия.
На сервере подключения Entra откройте журналы средства просмотра событий (журналы Windows, приложение) и найдите один из этих идентификаторов событий: 31034 или 31019.
В этих идентификаторах событий укажите имя прослушивателя служебной шины:
Запустите следующий командлет:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Или выполните следующую команду:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -VerboseЗамените <пространство> имен тем же, что вы извлекли из идентификаторов событий ранее. Например, в предыдущем случае команда:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Дополнительные сведения см. в предварительных требованиях к подключению для Microsoft Entra Connect.
Проверка включения TLS 1.2
Дополнительным шагом устранения неполадок является проверка правильности включения TLS 1.2 на сервере синхронизации. Запустите скрипт PowerShell, чтобы проверить TLS 1.2 на сервере Entra Connect. Обязательно запустите скрипт в режиме администрирования.
Выходные данные из скрипта проверки, который должен выглядеть следующим образом (путь, имя и столбцы значений), которые должны быть включены правильно. Если это не так, запустите скрипт PowerShell, чтобы включить TLS 1.2 на сервере Entra Connect, а затем перезагрузите сервер и запустите скрипт, чтобы снова проверить TLS 1.2.
Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен (сервер синхронизации)
Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен на сервере синхронизации.
- Проверка того, что .NET уже установлена
- Запрос реестра с помощью PowerShell
- Скачивание платформы .NET
Перезапустите службу синхронизации Microsoft Entra Connect
Чтобы устранить проблемы с подключением или другие временные проблемы со службой, выполните следующие действия, чтобы перезапустить службу синхронизации Microsoft Entra Connect:
Как администратор на сервере, на котором выполняется Microsoft Entra Connect, нажмите кнопку "Пуск".
Введите services.msc в поле поиска и нажмите Enter.
Найдите запись синхронизации Azure AD.
Щелкните правой кнопкой мыши запись службы, выберите "Перезапустить" и дождитесь завершения операции.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если перезапуск службы синхронизации Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить функцию обратной записи паролей в следующем разделе.
Отключение и повторное включение функции обратной записи паролей
Для продолжения процесса устранения неполадок выполните следующие действия, чтобы отключить и снова включить функцию обратной записи паролей:
- Как администратор на сервере, на котором выполняется Microsoft Entra Connect, откройте мастер настройки Microsoft Entra Connect.
- В поле Connect to Microsoft Entra ID введите учетные данные гибридного администратора Microsoft Entra.
- В разделе "Подключение к AD DS" введите учетные данные администратора доменных служб Active Directory в локальной среде.
- В разделе «Уникальная идентификация пользователей» нажмите кнопку «Далее».
- В дополнительных функциях снимите флажок обратной записи паролей .
- Нажмите кнопку "Далее" на оставшихся страницах диалоговых окон, не изменяя ничего, пока не получите страницу "Готово" для настройки .
- Убедитесь, что на странице "Готово к настройке" отображается параметр обратной записи паролей как отключенный. Нажмите зеленую кнопку "Настройка" , чтобы зафиксировать изменения.
- В Готово снимите флажок Синхронизировать сейчас, затем выберите Готово, чтобы закрыть мастер.
- Откройте мастер настройки Microsoft Entra Connect.
- Повторите шаги 2-8, на этот раз выбрав параметр обратной записи паролей на странице "Необязательные функции ", чтобы повторно включить службу.
Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.
Если отключение и повторное включение функции обратной записи паролей не устраняет проблему, переустановите Microsoft Entra Connect в следующем разделе.
Установка последнего выпуска Microsoft Entra Connect
Переустановка Microsoft Entra Connect может устранить проблемы с конфигурацией и подключением между идентификатором Microsoft Entra и локальной средой служб домен Active Directory. Этот шаг рекомендуется выполнять только после выполнения предыдущих действий для проверки и устранения неполадок подключения.
Предупреждение
Если вы настроили стандартные правила синхронизации, создайте их резервную копию перед обновлением, а затем повторно разверните их вручную после завершения.
Скачайте последнюю версию Microsoft Entra Connect из Центра загрузки Майкрософт.
После установки Microsoft Entra Connect выполните обновление на месте, чтобы обновить установку Microsoft Entra Connect до последней версии.
Запустите скачанный пакет и следуйте инструкциям на экране, чтобы обновить Microsoft Entra Connect.
Эти действия должны повторно установить подключение с идентификатором Microsoft Entra и устранить проблемы с подключением.
Если установка последней версии сервера Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить обратную запись паролей в качестве последнего шага после установки последнего выпуска.
Убедитесь, что Microsoft Entra Connect имеет необходимые разрешения
Microsoft Entra Connect требует разрешения AD DS на сброс пароля для обратной записи паролей. Чтобы проверить, имеет ли Microsoft Entra Connect требуемое разрешение для заданной локальной учетной записи пользователя AD DS, используйте функцию действующего разрешения Windows :
Войдите на сервер Microsoft Entra Connect и запустите диспетчер службы синхронизации , выбрав "Запустить>службу синхронизации".
На вкладке "Соединители" выберите локальный соединитель доменных служб Active Directory и выберите "Свойства".
Во всплывающем окне выберите Подключиться к лесу Active Directory и обратите внимание на свойство Имя пользователя. Это свойство является учетной записью AD DS, используемой Microsoft Entra Connect для выполнения синхронизации каталогов.
Для microsoft Entra Connect для обратной записи паролей учетная запись AD DS должна иметь разрешение на сброс пароля. Проверьте разрешения для этой учетной записи пользователя, выполнив следующие действия.
Войдите в локальный контроллер домена и запустите приложение "Пользователи и компьютеры Active Directory ".
Выберите "Вид " и убедитесь, что включен параметр "Дополнительные функции ".
Найдите учетную запись пользователя AD DS, которую требуется проверить. Щелкните правой кнопкой мыши имя учетной записи и выберите "Свойства".
Во всплывающем окне перейдите на вкладку "Безопасность " и выберите "Дополнительно".
Во всплывающем окне "Дополнительные параметры безопасности" для администратора перейдите на вкладку "Действующий доступ ".
Выберите пользователя, выберите учетную запись AD DS, используемую Microsoft Entra Connect, а затем выберите "Просмотреть действующий доступ".
Прокрутите вниз и найдите Сброс пароля. Если возле записи установлен флажок, учетная запись AD DS имеет разрешение на сброс пароля выбранной учетной записи пользователя Active Directory.
Общие ошибки обратной записи паролей
При обратной записи паролей могут возникнуть следующие более специфические проблемы. Если вы столкнулись с одной из этих ошибок, просмотрите предлагаемое решение и проверьте, правильно ли работает обратная запись паролей.
| Ошибка | Решение |
|---|---|
| Служба сброса паролей не запускается на локальном компьютере. Ошибка 6800 отображается в журнале событий приложения компьютера Microsoft Entra Connect. После подключения федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбрасывать пароли. |
Если включена обратная запись паролей, обработчик синхронизации вызывает библиотеку обратной записи, чтобы выполнить настройку (адаптацию), обратившись к облачной службе адаптации. Все ошибки, возникающие во время подключения или при запуске конечной точки Windows Communication Foundation (WCF) для обратной записи паролей, приводят к ошибкам в журнале событий на компьютере Microsoft Entra Connect. Если при перезапуске службы Azure AD Sync была настроена обратная запись, запускается конечная точка WCF. Однако если при запуске конечной точки произойдет сбой, мы запишем в журнал событие 6800 и разрешим запуск службы синхронизации. Наличие этого события означает, что конечная точка обратной записи паролей не была запущена. Подробные сведения в журнале об этом событии (6800) наряду с записями журнала событий, созданными компонентом PasswordResetService, покажут, почему конечную точку не удалось запустить. Просмотрите эти ошибки журнала событий и попробуйте перезапустить Microsoft Entra Connect, если обратная запись паролей по-прежнему не работает. Если проблема сохранится, попробуйте отключить и повторно включить обратную запись паролей. |
| Когда пользователь пытается сбросить пароль или разблокировать учетную запись с включенным компонентом обратной записи паролей, операция завершается ошибкой. Кроме того, в журнале событий Microsoft Entra Connect отображается событие, содержащее сообщение "Обработчик синхронизации вернул ошибку hr=800700CE, message=The filename or extension is too long" (Имя файла или расширение слишком долго) после операции разблокировки. |
Найдите учетную запись Active Directory для Microsoft Entra Connect и сбросьте пароль, чтобы он содержал не более 256 символов. Затем откройте службу синхронизации из меню "Пуск ". Перейдите к соединителям и найдите соединитель Active Directory. Выберите его и выберите пункт "Свойства". Перейдите на страницу "Учетные данные" и введите новый пароль. Нажмите кнопку "ОК" , чтобы закрыть страницу. |
| На последнем шаге процесса установки Microsoft Entra Connect отображается сообщение об ошибке, указывающее, что обратная запись паролей не удалось настроить. Журнал событий приложения Microsoft Entra Connect содержит ошибку 32009 с текстом "Ошибка получения маркера проверки подлинности". |
Эта ошибка возникает в следующих двух случаях:
|
| Журнал событий компьютера Microsoft Entra Connect содержит ошибку 32002, которая возникает при запуске PasswordResetService. Текст сообщения об ошибке: "Ошибка подключения к служебной шине. Поставщику маркеров не удалось предоставить маркер безопасности". |
Локальной среде не удалось подключиться к конечной точке служебной шины Azure в облаке. Правило брандмауэра, блокирующее исходящее подключение к конкретному порту или веб-адресу, обычно вызывает эту ошибку. Дополнительные сведения см. в предварительных требованиях для подключения . После обновления этих правил перезапустите сервер Microsoft Entra Connect и обратную запись паролей. |
| Поработав некоторое время, федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбросить свой пароль. | В некоторых редких случаях служба обратной записи паролей может не перезапуститься при перезапуске Microsoft Entra Connect. В таких случаях сначала проверьте, включена ли обратная запись паролей в локальной среде. Вы можете проверить с помощью мастера Microsoft Entra Connect или PowerShell. Если эта функция выглядит включенной, попробуйте еще раз включить или отключить функцию. Если этот шаг устранения неполадок не работает, попробуйте выполнить полное удаление и переустановку Microsoft Entra Connect. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после попытки отправить пароль видят ошибку, указывающую, что возникла проблема со службой. Кроме того, во время операций сброса пароля вы можете увидеть ошибку, связанную с тем, что агенту управления было отказано в доступе к журналам событий в локальной системе. |
Если в журнале событий отображаются эти ошибки, убедитесь, что учетная запись агента управления Active Directory (ADMA), указанная во время настройки, имеет необходимые разрешения для обратной записи паролей. После предоставления этого разрешения может потребоваться до 1 часа для распространения разрешений путем выполнения фоновой задачи sdprop на контроллере домена. Для работы сброса пароля разрешение необходимо установить на дескрипторе безопасности объекта пользователя, пароль которого сбрасывается. Пока это разрешение не отобразится на объекте пользователя, сброс пароля будет завершаться отказом в доступе. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, указывающей на ошибку "Объект не удалось найти". |
Эта ошибка обычно указывает, что подсистема синхронизации не может найти объект пользователя в пространстве соединителя Microsoft Entra или связанном метавселенной (MV) или объект пространства соединителя Microsoft Entra. Чтобы устранить эту проблему, убедитесь, что пользователь действительно синхронизирован из локальной среды с идентификатором Microsoft Entra ID через текущий экземпляр Microsoft Entra Connect и проверьте состояние объектов в пространствах соединителей и MV. Убедитесь, что объект службы сертификатов Active Directory соединен с объектом MV через правило Microsoft.InfromADUserAccountEnabled.xxx. |
| Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой. В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, которая указывает, что обнаружена ошибка "Несколько совпадений". |
Это означает, что обработчик синхронизации обнаружил, что объект MV подключен к нескольким объектам службы сертификатов AD через Microsoft.InfromADUserAccountEnabled.xxx. Это означает, что у пользователя включена учетная запись в нескольких лесах. Такой сценарий не поддерживается для обратной записи паролей. |
| Операции с паролем вызывают ошибку конфигурации. Журнал событий приложения содержит ошибку Microsoft Entra Connect 6329 с текстом "0x8023061f (сбой операции, так как синхронизация паролей не включена в этом агенте управления)". | Эта ошибка возникает, если конфигурация Microsoft Entra Connect изменена, чтобы добавить новый лес Active Directory (или удалить и прочитать существующий лес) после включения функции обратной записи паролей. Операции с паролями для пользователей в недавно добавленных лесах завершаются ошибкой. Чтобы устранить проблему, отключите и повторно включите функцию обратной записи паролей после завершения изменений конфигурации леса. |
| SSPR_0029: не удалось сбросить пароль из-за ошибки в локальной конфигурации. Обратитесь к администратору для изучения данной проблемы. | Проблема: Обратная запись паролей включена после выполнения всех необходимых шагов, но при попытке изменить пароль появляется сообщение "SSPR_0029: ваша организация неправильно настроила локальную конфигурацию для сброса пароля". Проверка журналов событий в системе Microsoft Entra Connect показывает, что учетным данным агента управления было отказано в доступе. Возможное решение. Используйте RSOP в системе Microsoft Entra Connect и контроллерах домена, чтобы узнать, включена ли политика "Сетевой доступ: ограничить доступ клиентов, разрешенных выполнять удаленные вызовы к SAM", найденным в разделе "Параметры > безопасности параметров безопасности параметров >> безопасности windows" > конфигурации компьютера. Измените политику, чтобы включить учетную запись управления MSOL_XXXXXXX в качестве разрешенного пользователя. Дополнительные сведения см. в статье об устранении ошибок SSPR_0029. Ваша организация неправильно настроила локальную конфигурацию для сброса пароля. |
Коды ошибок журнала событий обратной записи паролей
Рекомендуется при устранении неполадок с обратной записью паролей проверять журнал событий приложения на компьютере Microsoft Entra Connect. Этот журнал событий содержит события из двух источников для обратной записи паролей. Источник PasswordResetService описывает операции и проблемы, связанные с операцией обратной записи паролей. Источник ADSync описывает операции и проблемы, связанные с настройкой паролей в среде доменных служб Active Directory.
Источник событий — ADSync
| Код | Имя или сообщение | Описание |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619 — "Ограничение препятствует изменению пароля на текущий указанный". | Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации. Это событие также может произойти, если пароль не может быть изменен для пользователя. Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0. Если у вас есть включенные требования к журналу паролей, необходимо выбрать пароль, который не использовался в последние N раз, где N — это параметр журнала паролей. Если вы выберете пароль, используемый в последние N раз, то в этом случае вы увидите сбой. При тестировании установите для журнала паролей значение 0. Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль. Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой. Если у пользователя задан флаг свойства PASSWD_CANT_CHANGE, его пароль не может быть синхронизирован. В целях тестирования удалите флаг свойства PASSWD_CANT_CHANGE. Дополнительные сведения см. в описаниях флагов свойств. |
| 6329 | MMS(3040): admaexport.cpp(2837) — на сервере не включен элемент управления политикой паролей LDAP. | Эта проблема возникает, если элемент управления LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) не включен на контроллерах доменов. Чтобы использовать функцию обратной записи паролей, необходимо включить этот элемент управления. Для этого контроллеры доменов должны работать под управлением Windows Server 2016 или более поздней версии. |
| Отдел кадров 8023042 | Обработчик синхронизации вернул ошибку hr=80230402 с сообщением: "Попытка получить объект завершилась ошибкой, так как существуют повторяющиеся записи с одной привязкой". | Это ошибка возникает, когда один идентификатор пользователя включен в нескольких доменах. Например, если идет синхронизация лесов учетных записей и ресурсов, и в каждом из них включен один и тот же идентификатор пользователя. Также эта ошибка может возникнуть, если вы используете атрибут неуникальной привязки (например, псевдоним или имя участника-пользователя) и два пользователя используют одинаковый атрибут привязки. Чтобы устранить эту проблему, убедитесь, что в пределах доменов нет повторяющихся пользователей и для каждого пользователя используется атрибут уникальной привязки. |
Источник событий — PasswordResetService
| Код | Имя или сообщение | Описание |
|---|---|---|
| 31001 | Начало сброса пароля | Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи сброса пароля. |
| 31002 | УспешныйСбросПароля | Это событие указывает, что пользователь выбрал новый пароль во время операции сброса пароля. Мы определили, что пароль соответствует требованиям организации к паролю. Пароль успешно записывается в локальную среду Active Directory. |
| 31003 | ОшибкаСбросаПароля | Это событие указывает, что пользователь выбрал пароль, который был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31004 | ПодключениеEventStart | Это событие возникает, если включить обратную запись паролей с помощью Microsoft Entra Connect, и мы начали подключение вашей организации к веб-службе обратной записи паролей. |
| 31005 | ОнбордингУспехСобытия | Это событие указывает, что процесс адаптации прошел успешно и возможности обратной записи паролей готовы к использованию. |
| 31006 | Изменить парольНачать | Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на изменение пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи изменения пароля. |
| 31007 | Пароль успешно изменён | Это событие указывает, что пользователь выбрал новый пароль во время операции изменения пароля, мы определили, что пароль соответствует требованиям корпоративного пароля и что пароль успешно записывается в локальную среду Active Directory. |
| 31008 | Не удалось изменить пароль | Это событие указывает, что пользователь выбрал пароль, этот пароль успешно поступил в локальную среду, но при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31009 | СбросПароляПользователяАдминистраторомНачало | Локальная служба обнаружила запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей, исходящий от администратора от имени пользователя. Это событие является первым событием в каждой операции обратной записи для сброса пароля, инициированной администратором. |
| 31010 | Сброс пароля пользователя администратором успешно выполнен | Администратор выбрал новый пароль во время операции сброса пароля, инициированной администратором. Мы определили, что пароль соответствует требованиям организации к паролю. Пароль успешно записывается в локальную среду Active Directory. |
| 31011 | СбросПароляПользователяАдминистраторомОшибка | Администратор выбрал пароль от имени пользователя. Этот пароль был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
|
| 31012 | Начало события завершения работы | Это событие происходит при отключении обратной записи паролей с помощью Microsoft Entra Connect и указывает, что мы начали подключение организации к веб-службе обратной записи паролей. |
| 31013 | Успех мероприятия по завершению работы | Это событие указывает, что процесс отключения успешно выполнен и что возможность обратной записи паролей успешно отключена. |
| 31014 | OffboardingEventFail | Это событие указывает, что процесс отключения не был успешным. Это могло произойти из-за ошибки в облаке или локальной учетной записи администратора, указанной во время настройки. Ошибка также может возникать, если вы пытаетесь использовать федеративный облачный гибридный администратор при отключении обратной записи паролей. Чтобы устранить эту проблему, проверьте свои разрешения на администрирование и убедитесь, что вы не используете никакую федеративную учетную запись при настройке функции обратной записи паролей. |
| 31015 | Служба обратной записи запущена | Это событие указывает, что служба обратной записи паролей успешно запущена. Она готова к приему запросов на управление паролями из облака. |
| 31016 | СлужбаОбратнойЗаписиОстановлена | Это событие указывает, что служба обратной записи паролей остановлена. Любые запросы на управление паролями из облака не будут выполняться. |
| 31017 | УспешнаяАвторизацияТокена | Это событие указывает, что мы успешно получили маркер авторизации для гибридного администратора, указанного во время установки Microsoft Entra Connect, чтобы запустить процесс подключения или подключения. |
| 31018 | Успешное создание пары ключей | Это событие указывает, что мы успешно создали ключ шифрования паролей. Он используется для шифрования паролей из облака для отправки в локальную среде. |
| 31019 | ServiceBusHeartBeat | Это событие указывает, что мы успешно отправили запрос служебная шина экземпляру клиента. |
| 31034 | ServiceBusListenerError | Это событие указывает, что произошла ошибка при подключении к прослушивателю Служебной шины клиента. Если сообщение об ошибке содержит "Удаленный сертификат недопустим", убедитесь, что сервер Microsoft Entra Connect имеет все необходимые корневые центры сертификации, как описано в изменениях сертификата TLS Azure. |
| 31044 | Сервис сброса пароля | Это событие указывает, что обратная запись паролей не работает. Служебная шина прослушивает запросы на двух отдельных ретрансляторах для обеспечения избыточности. Каждое подключение к ретранслятору управляется уникальным узлом службы. Клиент обратной записи возвращает ошибку, если какой-либо из узлов службы не запущен. |
| тридцать две тысячи | Неизвестная ошибка | Это событие указывает на неизвестную ошибку во время операции управления паролями. Просмотрите текст исключения в событии для получения дополнительных сведений. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей. Если это не помогает, включите копию журнала событий вместе с идентификатором отслеживания, указанным при открытии запроса на поддержку. |
| 32001 | Ошибка сервиса | Это событие указывает, что произошла ошибка при подключении к облачной службе сброса паролей. Она обычно возникает, если локальной службе не удается подключиться к веб-службе сброса паролей. |
| 32002 | Ошибка ServiceBus | Это событие указывает, что произошла ошибка при подключении к экземпляру Служебной шины клиента. Это может произойти, если в вашей локальной среде блокируются исходящие подключения. Проверьте, разрешены ли в брандмауэре подключения через TCP-порт 443 и к странице https://ssprdedicatedsbprodncu.servicebus.windows.net, а затем повторите попытку. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей. |
| 32003 | Ошибка проверки ввода | Это событие указывает, что входные данные, переданные в API нашей веб-службы, были недопустимыми. Попробуйте выполнить операцию заново. |
| 32004 | Ошибка расшифровки | Это событие указывает, что произошла ошибка при расшифровке пароля, который поступил из облака. Это может быть из-за несовпадения ключей расшифровки между облачной службой и локальной средой. Чтобы решить эту проблему, отключите и снова включите обратную запись паролей в локальной среде. |
| 32005 | Ошибка конфигурации | Во время адаптации мы сохраняем сведения для конкретного клиента в файле конфигурации в локальной среде. Это событие указывает, что произошла ошибка при сохранении этого файла или при запуске службы произошла ошибка чтения файла. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации. |
| 32007 | Ошибка OnBoardingConfigUpdateError | Во время адаптации мы отправляем данные из облака в локальную службу сброса паролей. Затем эти данные записываются в файл в памяти перед отправкой в службу синхронизации для безопасного хранения на диске. Это событие указывает на проблему при записи или обновлении таких данных в памяти. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации. |
| 32008 | Ошибка валидации | Это событие указывает, что был получен недопустимый ответ от веб-службы сброса паролей. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей. |
| 32009 | Ошибка токена аутентификации | Это событие указывает, что не удалось получить маркер авторизации для учетной записи гибридного администратора, указанной во время установки Microsoft Entra Connect. Эта ошибка может быть вызвана неправильным именем пользователя или паролем, указанным для учетной записи гибридного администратора. Эта ошибка также может возникать, если указанная учетная запись гибридного администратора федеративна. Чтобы устранить эту проблему, повторно запустите конфигурацию с правильными именем пользователя и паролем и убедитесь, что учетная запись администратора является управляемой (только облачной или с синхронизацией паролей). |
| 32010 | Криптоошибка | Это событие указывает, что произошла ошибка при создании ключа шифрования пароля или при расшифровке пароля, поступившего из облачной службы. Скорее всего, эта ошибка указывает на возможную неполадку среды. Просмотрите подробности в журнале событий для получения дополнительных сведений об устранении этой проблемы. Вы также можете попробовать отключить и повторно включить службу обратной записи паролей. |
| 32011 | Ошибка службы OnBoarding | Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса адаптации. Оно может произойти из-за правила брандмауэра или проблемы при получении маркера проверки подлинности для клиента. Чтобы устранить эту проблему, проверьте, не блокируются ли исходящие подключения через TCP-порты 443 и 9350–9354 или к странице https://ssprdedicatedsbprodncu.servicebus.windows.net. Кроме того, убедитесь, что учетная запись администратора Microsoft Entra, которую вы используете для подключения, не является федеративной. |
| 32013 | OffBoardingError (Ошибка оффбординга) | Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса отмены адаптации. Оно может произойти из-за правил брандмауэра или проблемы при получении маркера авторизации для клиента. Чтобы устранить эту проблему, убедитесь, что вы не блокируете исходящие подключения более 443 или https://ssprdedicatedsbprodncu.servicebus.windows.netв , и что учетная запись администратора Microsoft Entra, которую вы используете для отключения, не является федеративной. |
| 32014 | Предупреждение ServiceBus | Это событие указывает, что нам необходимо было повторить попытку подключения к экземпляру Служебной шины клиента. В обычных условиях это не должно быть проблемой, но если вы видите это событие много раз, рассмотрите возможность проверки сетевого подключения к служебной шине, особенно если это подключение с высокой задержкой или низкой пропускной способностью. |
| 32015 | ReportServiceHealthError (Ошибка ReportServiceHealth) | Для мониторинга работоспособности службы обратной записи паролей мы отправляем сведения о пульсе в веб-службу сброса паролей каждые пять минут. Это событие указывает, что произошла ошибка при отправке такой информации о работоспособности обратно в облачную веб-службу. Эта информация о работоспособности не включает в себя персональные данные и является исключительно пульсом и базовой статистикой службы, чтобы дать нам возможность предоставлять сведения о состоянии службы в облаке. |
| 33001 | НеизвестнаяОшибкаAD | Это событие указывает, что возникла неизвестная ошибка, возвращенная службой Active Directory. Дополнительные сведения см. в журнале событий сервера Microsoft Entra Connect для событий из источника ADSync. |
| 33002 | ADUserNotFoundError | Это событие указывает, что пользователь, который пытается сбросить или изменить пароль, не найден в локальном каталоге. Эта ошибка может возникать при удалении пользователя локальной среды, но не в облаке. Эта ошибка также может возникать при наличии проблемы с синхронизацией. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений. |
| 33003 | ADMutliMatchError | Когда запрос на сброс пароля или изменение пароля поступает из облака, мы используем облачную привязку, указанную в процессе установки Microsoft Entra Connect, чтобы определить, как связать этот запрос с пользователем в локальной среде. Это событие указывает, что в локальном каталоге найдены два пользователя с одним и тем же атрибутом облачной привязки. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений. |
| 33004 | ADPermissionsError | Это событие указывает, что учетная запись службы агента управления Active Directory (ADMA) не имеет соответствующих разрешений на запрашиваемую учетную запись, чтобы задать новый пароль. Убедитесь, что учетная запись ADMA в лесу пользователя имеет разрешения на сброс пароля для всех объектов в лесу. Дополнительные сведения о том, как это сделать, см. в разделе "Шаг 4. Настройка соответствующих разрешений Active Directory". Эта ошибка также возникает, если атрибуту пользователя AdminCount присвоено значение 1. |
| 33005 | Отключенная учетная запись пользователя AD | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была отключена на локальном компьютере. Включите учетную запись и повторите попытку. |
| 33006 | ADUserAccountLockedOut | Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была заблокирована на локальном компьютере. Блокировки могут возникать, когда пользователь пытался выполнить операцию изменения или сброса пароля слишком много раз за короткий период. Разблокируйте учетную запись и повторите попытку. |
| 33007 | Неправильный пароль пользователя AD | Это событие указывает, что пользователь задал неверный текущий пароль при выполнении операции смены пароля. Укажите правильный текущий пароль и повторите попытку. |
| 33008 | Ошибка политики паролей в AD | Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации. Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0. Если у вас есть включенные требования к журналу паролей, необходимо выбрать пароль, который не использовался в последние N раз, где N — это параметр журнала паролей. Если вы выберете пароль, используемый в последние N раз, то в этом случае вы увидите сбой. При тестировании установите для журнала паролей значение 0. Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль. Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой. |
| 33009 | Ошибка конфигурации AD | Это событие указывает, что возникла проблема при записи пароля обратно в локальный каталог из-за неполадки с конфигурацией в Active Directory. Проверьте журнал событий приложения на машине Microsoft Entra Connect на наличие сообщений от службы ADSync для получения дополнительной информации о произошедшей ошибке. |
Символы подразделения, зарезервированные от обратной записи паролей
В следующей таблице перечислены зарезервированные символы, которые препятствуют обратной записи паролей. Если эти символы отображаются в локальной структуре подразделения организации, обратная запись паролей может завершиться ошибкой с идентификатором события 33001.
| Зарезервированный символ | Описание | Шестнадцатеричное значение |
|---|---|---|
| пробел или символ # в начале строки | ||
| пробел в конце строки | ||
| , | запятая | 0x2C |
| + | знак плюс | 0x2B |
| " | кавычка | 0x22 |
| \ | обратная косая черта | 0x5C |
| < | левая угловая скобка | 0x3C |
| > | правая угловая скобка | 0x3E |
| ; | точка с запятой | 0x3B |
| ЛФ | перевод строки | 0x0A |
| CR | Возврат каретки | 0x0D |
| = | знак равенства | 0x3D |
| / | Косая черта вперед | 0x2F |
Форумы Microsoft Entra
Если у вас есть общие вопросы об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.
Обращение в службу поддержки Майкрософт
Если вам не удается найти решение проблемы, специалисты группы поддержки всегда готовы помочь.
Чтобы мы могли предоставить вам соответствующую помощь, укажите в запросе как можно больше подробностей. К ним относятся следующие сведения:
- Общее описание ошибки: Что такое ошибка? Как вела себя система? Как можно воспроизвести ошибку? Опишите проблему максимально подробно.
- Страница: На какой странице вы заметили ошибку? По возможности предоставьте URL-адрес страницы и снимок экрана.
-
Код поддержки: какой код поддержки был создан, когда пользователь увидел ошибку?
Чтобы найти этот код, воспроизведите ошибку, а затем выберите ссылку кода поддержки в нижней части экрана и отправьте инженеру поддержки полученный идентификатор GUID.
Если вы находитесь на странице, внизу которой отсутствует код поддержки, нажмите клавишу F12 и поищите SID и CID, после чего отправьте два найденных результата специалисту службы поддержки.
- Дата, время и часовой пояс: добавьте точную дату и время в часовой пояс, в который произошла ошибка.
-
Идентификатор пользователя: кто был пользователем, который видел ошибку? Например, [email protected].
- Это федеративный пользователь?
- Это пользователь, применяющий сквозную аутентификацию?
- Это пользователь с синхронизацией хэшей паролей?
- Это облачный пользователь?
- Лицензирование. Назначена ли пользователю лицензия на идентификатор Microsoft Entra ID?
- Журнал событий приложения: если вы используете обратную запись паролей и ошибка связана с вашей локальной инфраструктурой, предоставьте сжатую копию журнала событий приложения с сервера Microsoft Entra Connect.
Следующие шаги
Дополнительные сведения о SSPR см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra или как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra ID?