Устранение неполадок самостоятельного сброса пароля в идентификаторе Microsoft Entra

  • Статья

Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям сбрасывать пароли в облаке. Обратная запись паролей — это функция, включенная с помощью Microsoft Entra Connect или облачной синхронизации , которая позволяет записывать изменения паролей в облаке в существующий локальный каталог в режиме реального времени.

При возникновении проблем с обратной записью для SSPR используйте следующие инструкции по устранению неполадок и распространенных ошибок. Если вам не удается найти решение проблемы, специалисты технической поддержки всегда готовы помочь.

Устранение неполадок с подключением

Если у вас возникли проблемы с обратной записью паролей для Microsoft Entra Connect, ознакомьтесь со следующими шагами, которые помогут устранить проблему. Чтобы восстановить службу, рекомендуется выполнить следующие действия в указанном порядке:

Проверка наличия сетевого подключения

Наиболее распространенные точки отказа связаны с неправильной настройкой портов брандмауэра или прокси-сервера и времени ожидания до перехода в режим простоя.

Для Microsoft Entra Connect версии 1.1.443.0 и более поздних версий требуется исходящий доступ HTTPS к следующим адресам:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Конечные точки Azure для государственных организаций США:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Конечные точки Azure Для Китая 21Vianet:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Если вам нужна более подробная степень, ознакомьтесь со списком диапазонов IP-адресов Microsoft Azure и тегов служб для общедоступного облака.

Сведения о Azure для государственных организаций США см. в списке диапазонов IP-адресов и тегов служб Microsoft Azure для облака для государственных организаций США.

Эти файлы обновляются еженедельно.

Чтобы определить, ограничен ли доступ к URL-адресу и порту в среде, например общедоступном облаке Azure, выполните следующие действия.

  1. На сервере подключения Entra откройте журналы средства просмотра событий (журналы Windows, приложение) и найдите один из этих идентификаторов событий: 31034 или 31019.

  2. В этих идентификаторах событий укажите имя прослушивателя служебной шины:

    Снимок экрана: идентификатор события 31019 в журнале приложений Просмотр событий.

  3. Выполните следующий командлет:

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443

    Или выполните следующую команду:

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose

    Замените <пространство> имен тем же, что вы извлекли из указанных выше идентификаторов событий. Например, в предыдущем случае команда:

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443

Дополнительные сведения см. в предварительных требованиях к подключению для Microsoft Entra Connect.

Проверка включения TLS 1.2

Дополнительным шагом устранения неполадок является проверка правильности включения TLS 1.2 на сервере синхронизации. Запустите скрипт PowerShell, чтобы проверить TLS 1.2 на сервере Entra Connect. Обязательно запустите скрипт в режиме администрирования.

Выходные данные из скрипта проверки, который должен выглядеть следующим образом (путь, имя и столбцы значений), которые должны быть включены правильно. Если это не так, запустите скрипт PowerShell, чтобы включить TLS 1.2 на сервере Entra Connect, а затем перезагрузите сервер и запустите скрипт, чтобы снова проверить TLS 1.2.

Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен (сервер синхронизации)

Убедитесь, что microsoft платформа .NET Framework 4.8 или более поздней версии включен на сервере синхронизации.

Перезапустите службу синхронизации Microsoft Entra Connect

Чтобы устранить проблемы с подключением или другие временные проблемы со службой, выполните следующие действия, чтобы перезапустить службу синхронизации Microsoft Entra Connect:

  1. Как администратор на сервере, на котором выполняется Microsoft Entra Connect, нажмите кнопку "Пуск".

  2. Введите services.msc в поле поиска и нажмите клавишу ВВОД.

  3. Найдите запись синхронизации Azure AD.

  4. Щелкните запись службы правой кнопкой мыши, выберите команду Перезапустить и дождитесь завершения операции.

    Перезапуск службы Azure AD Sync с помощью графического пользовательского интерфейса

Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.

Если перезапуск службы синхронизации Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить функцию обратной записи паролей в следующем разделе.

Отключение и повторное включение функции обратной записи паролей

Для продолжения процесса устранения неполадок выполните следующие действия, чтобы отключить и снова включить функцию обратной записи паролей:

  1. Как администратор на сервере, на котором выполняется Microsoft Entra Connect, откройте мастер настройки Microsoft Entra Connect.
  2. В поле Connect to Microsoft Entra ID введите учетные данные глобального администратора Microsoft Entra.
  3. В разделе Подключиться к AD DS введите учетные данные администратора локальных доменных служб Active Directory.
  4. В окне Уникальная идентификация пользователей нажмите кнопку Далее.
  5. В окне Дополнительные компоненты снимите флажок Обратная запись паролей.
  6. Нажимайте кнопку Далее на следующих страницах диалогового окна, ничего не изменяя, пока не перейдете на страницу Ready to configure page (Готово к настройке).
  7. Убедитесь, что на странице Готово к настройке параметр Обратная запись паролей отображается как отключенный. Нажмите зеленую кнопку Настройка, чтобы зафиксировать изменения.
  8. В окне Завершение снимите флажок Синхронизировать сейчас, а затем нажмите кнопку Готово, чтобы закрыть мастер.
  9. Откройте мастер настройки Microsoft Entra Connect.
  10. Повторите шаги 2–8, на этот раз выбрав параметр Обратная запись пароля на странице Дополнительные возможности, чтобы повторно включить службу.

Эти действия повторно устанавливают подключение с идентификатором Microsoft Entra и должны устранять проблемы с подключением.

Если отключение и повторное включение функции обратной записи паролей не устраняет проблему, переустановите Microsoft Entra Connect в следующем разделе.

Установка последнего выпуска Microsoft Entra Connect

Переустановка Microsoft Entra Connect может устранить проблемы с конфигурацией и подключением между идентификатором Microsoft Entra и локальной средой служб домен Active Directory. Этот шаг рекомендуется выполнять только после выполнения предыдущих действий для проверки и устранения неполадок подключения.

Предупреждение

Если вы изменили стандартные правила синхронизации, создайте резервную копию правил, прежде чем продолжать обновление, а затем вручную повторно разверните их после завершения операции.

  1. Скачайте последнюю версию Microsoft Entra Connect из Центра загрузки Майкрософт.

  2. После установки Microsoft Entra Connect выполните обновление на месте, чтобы обновить установку Microsoft Entra Connect до последней версии.

    Запустите скачанный пакет и следуйте инструкциям на экране, чтобы обновить Microsoft Entra Connect.

Эти действия должны повторно установить подключение с идентификатором Microsoft Entra и устранить проблемы с подключением.

Если установка последней версии сервера Microsoft Entra Connect не устраняет проблему, попробуйте отключить и повторно включить обратную запись паролей в качестве последнего шага после установки последнего выпуска.

Убедитесь, что Microsoft Entra Connect имеет необходимые разрешения

Microsoft Entra Connect требует разрешения на сброс пароля AD DS для обратной записи паролей. Чтобы проверить, имеет ли Microsoft Entra Connect требуемое разрешение для заданной локальной учетной записи пользователя AD DS, используйте функцию действующего разрешения Windows:

  1. Войдите на сервер Microsoft Entra Connect и запустите диспетчер службы синхронизации, выбрав "Запустить>службу синхронизации".

  2. На вкладке Соединители выберите локальный соединитель доменных служб Active Directory, а затем щелкните Свойства.

    Synchronization Service Manager, демонстрирующий, как изменить свойства

  3. Во всплывающем окне выберите вкладку Connect to Active Directory Forest (Подключение к лесу Active Directory) и запишите свойство Имя пользователя. Это свойство является учетной записью AD DS, используемой Microsoft Entra Connect для выполнения синхронизации каталогов.

    Для microsoft Entra Connect для обратной записи паролей учетная запись AD DS должна иметь разрешение на сброс пароля. Проверьте разрешения для этой учетной записи пользователя, выполнив следующие действия.

    Поиск учетной записи пользователя службы синхронизации Active Directory

  4. Войдите в локальный контроллер домена и запустите приложение Пользователи и компьютеры Active Directory.

  5. Выберите Просмотр и убедитесь, что параметр Advanced Features (Дополнительные функции) включен.

    Демонстрация расширенных возможностей для пользователей и компьютеров Active Directory

  6. Найдите учетную запись пользователя AD DS, которую требуется проверить. Щелкните учетную запись правой кнопкой мыши и выберите Свойства.

  7. Во всплывающем окне перейдите на вкладку Безопасность и выберите Дополнительно.

  8. Во всплывающем окне Advanced Security Settings for Administrator (Дополнительные параметры безопасности для администратора) перейдите на вкладку Действующие права доступа.

  9. Выберите пользователя, выберите учетную запись AD DS, используемую Microsoft Entra Connect, а затем выберите "Просмотреть действующий доступ".

    Демонстрация учетной записи синхронизации на вкладке

  10. Прокрутите список вниз и найдите Сброс пароля. Если возле записи установлен флажок, учетная запись AD DS имеет разрешение на сброс пароля выбранной учетной записи пользователя Active Directory.

    Проверка наличия разрешения на сброс пароля для учетной записи синхронизации

Общие ошибки обратной записи паролей

При обратной записи паролей могут возникнуть следующие более специфические проблемы. Если вы столкнулись с одной из этих ошибок, просмотрите предлагаемое решение и проверьте, правильно ли работает обратная запись паролей.

Ошибка Решение
Служба сброса паролей не запускается на локальном компьютере. Ошибка 6800 отображается в журнале событий приложения microsoft Entra Connect компьютера.

После подключения федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбрасывать пароли.		 Если включена обратная запись паролей, обработчик синхронизации вызывает библиотеку обратной записи, чтобы выполнить настройку (адаптацию), обратившись к облачной службе адаптации. Все ошибки, возникающие во время подключения или при запуске конечной точки Windows Communication Foundation (WCF) для обратной записи паролей, приводят к ошибкам в журнале событий на компьютере Microsoft Entra Connect.

Если при перезапуске службы Azure AD Sync была настроена обратная запись, запускается конечная точка WCF. Однако если при запуске конечной точки произойдет сбой, мы запишем в журнал событие 6800 и разрешим запуск службы синхронизации. Наличие этого события означает, что конечная точка обратной записи паролей не была запущена. Подробные сведения в журнале об этом событии (6800) наряду с записями журнала событий, созданными компонентом PasswordResetService, покажут, почему конечную точку не удалось запустить. Просмотрите эти ошибки журнала событий и попробуйте перезапустить Microsoft Entra Connect, если обратная запись паролей по-прежнему не работает. Если проблема сохранится, попробуйте отключить и повторно включить обратную запись паролей.
Когда пользователь пытается сбросить пароль или разблокировать учетную запись с включенным компонентом обратной записи паролей, операция завершается ошибкой.

Кроме того, в журнале событий Microsoft Entra Connect отображается событие, содержащее сообщение "Обработчик синхронизации вернул ошибку hr=800700CE, message=The filename or extension is too long" (Имя файла или расширение слишком долго) после операции разблокировки.		 Найдите учетную запись Active Directory для Microsoft Entra Connect и сбросьте пароль, чтобы он содержал не более 256 символов. Затем из меню Пуск запустите службу синхронизации. В разделе Соединители найдите Соединитель Active Directory. Выберите его, а затем щелкните Свойства. На странице Учетные данные введите новый пароль. Нажмите кнопку OK, чтобы закрыть страницу.
На последнем шаге процесса установки Microsoft Entra Connect отображается сообщение об ошибке, указывающее, что обратная запись паролей не удалось настроить.

Журнал событий приложения Microsoft Entra Connect содержит ошибку 32009 с текстом "Ошибка получения маркера проверки подлинности".		 Эта ошибка возникает в следующих двух случаях:
  • Вы указали неверный пароль для учетной записи глобального администратора, предоставленной в начале процесса установки Microsoft Entra Connect.
  • Вы попытались использовать федеративного пользователя для учетной записи глобального администратора, указанной в начале процесса установки Microsoft Entra Connect.
Чтобы устранить эту проблему, убедитесь, что вы не используете федеративную учетную запись для глобального администратора, указанного в начале процесса установки, и что указан пароль правильно.
Журнал событий компьютера Microsoft Entra Connect содержит ошибку 32002, которая возникает при запуске PasswordResetService.

Текст сообщения об ошибке: "Ошибка подключения к служебной шине. Поставщику маркеров не удалось предоставить маркер безопасности".		 Локальной среде не удалось подключиться к конечной точке служебной шины Azure в облаке. Эту ошибку обычно вызывает правило брандмауэра, блокирующее исходящее подключение к конкретному порту или веб-адресу. Дополнительные сведения см. в статье Необходимые условия для Azure AD Connect. После обновления этих правил перезапустите сервер Microsoft Entra Connect и обратную запись паролей.
Поработав некоторое время, федеративные пользователи и пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, не могут сбросить свой пароль. В некоторых редких случаях служба обратной записи паролей может не перезапуститься при перезапуске Microsoft Entra Connect. В таких случаях сначала проверьте, включена ли обратная запись паролей в локальной среде. Вы можете проверить с помощью мастера Microsoft Entra Connect или PowerShell. Если эта функция выглядит включенной, попробуйте еще раз включить или отключить функцию. Если этот шаг устранения неполадок не работает, попробуйте выполнить полное удаление и переустановку Microsoft Entra Connect.
Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после попытки отправить пароль видят ошибку, указывающую, что возникла проблема со службой.

Кроме того, во время операций сброса пароля вы можете увидеть ошибку, связанную с тем, что агенту управления было отказано в доступе к журналам событий в локальной системе.		 Если эти ошибки отображаются в вашем журнале событий, убедитесь, что учетная запись Active Directory Management Agent (которая была указана в мастере во время настройки) обладает необходимыми разрешениями для обратной записи паролей.

После предоставления этого разрешения может потребоваться до 1 часа для распространения разрешений путем выполнения фоновой задачи sdprop на контроллере домена.

Для работы сброса пароля разрешение необходимо установить на дескрипторе безопасности объекта пользователя, пароль которого сбрасывается. Пока это разрешение не отобразится на объекте пользователя, сброс пароля будет завершаться отказом в доступе.
Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой.

В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, указывающей на ошибку "Объект не удалось найти".		 Эта ошибка обычно указывает, что подсистема синхронизации не может найти объект пользователя в пространстве соединителя Microsoft Entra или связанном метавселенной (MV) или объект пространства соединителя Microsoft Entra.

Чтобы устранить эту проблему, убедитесь, что пользователь действительно синхронизирован из локальной среды с идентификатором Microsoft Entra ID через текущий экземпляр Microsoft Entra Connect и проверьте состояние объектов в пространствах соединителей и MV. Убедитесь, что объект службы сертификатов Active Directory соединен с объектом MV через правило Microsoft.InfromADUserAccountEnabled.xxx.
Федеративные пользователи или пользователи, применяющие сквозную аутентификацию либо синхронизацию хэшей паролей, которые пытаются сбросить свои пароли, после отправки пароля видят ошибку, указывающую, что возникла проблема со службой.

В дополнение к этой проблеме во время операций сброса пароля может появиться ошибка в журналах событий из службы Microsoft Entra Connect, которая указывает, что обнаружена ошибка "Несколько совпадений".		 Это означает, что обработчик синхронизации обнаружил, что объект MV подключен к нескольким объектам службы сертификатов AD через Microsoft.InfromADUserAccountEnabled.xxx. Это означает, что у пользователя включена учетная запись в нескольких лесах. Такой сценарий не поддерживается для обратной записи паролей.
Операции с паролем вызывают ошибку конфигурации. Журнал событий приложения содержит ошибку Microsoft Entra Connect 6329 с текстом "0x8023061f (операция завершилась ошибкой, так как синхронизация паролей не включена в этом агенте управления)". Эта ошибка возникает, если конфигурация Microsoft Entra Connect изменена, чтобы добавить новый лес Active Directory (или удалить и прочитать существующий лес) после включения функции обратной записи паролей. Операции с паролями для пользователей в недавно добавленных лесах завершаются ошибкой. Чтобы исправить эту проблему, отключите и повторно включите обратную запись паролей после изменения конфигурации леса.
SSPR_0029: не удалось сбросить пароль из-за ошибки в локальной конфигурации. Обратитесь к администратору для изучения данной проблемы. Проблема. Обратная запись паролей включена после выполнения всех необходимых действий, но при попытке изменить пароль, полученный "SSPR_0029: ваша организация не правильно настроила локальную конфигурацию для сброса пароля". Проверка журналов событий в системе Microsoft Entra Connect показывает, что учетные данные агента управления были отказано в доступе. Возможное решение. Используйте RSOP в системе Microsoft Entra Connect и контроллерах домена, чтобы узнать, включена ли политика "Сетевой доступ: ограничить доступ клиентов, разрешенных выполнять удаленные вызовы к SAM", найденным в разделе "Параметры > безопасности параметров безопасности параметров > > безопасности windows" > конфигурации компьютера. Измените политику, чтобы включить учетную запись управления MSOL_XXXXXXX в качестве разрешенного пользователя. Дополнительные сведения см. в статье об устранении неполадок SSPR_0029. Ваша организация не правильно настроила локальную конфигурацию для сброса пароля.

Коды ошибок журнала событий обратной записи паролей

Рекомендуется при устранении неполадок с обратной записью паролей проверять журнал событий приложения на компьютере Microsoft Entra Connect. Этот журнал событий содержит события из двух источников для обратной записи паролей. В источнике PasswordResetService описаны операции и вопросы, относящиеся к работе обратной записи паролей. В источнике ADSync описаны операции и проблемы, связанные с установкой паролей в среде доменных служб Active Directory.

Источник событий — ADSync

Код Имя или сообщение Description
6329 BAIL: MMS(4924) 0x80230619 — "Ограничение препятствует изменению пароля на текущий указанный". Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации. Это событие также может произойти, если пароль не может быть изменен для пользователя.

Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0.

Если включены требования к истории паролей, то необходимо выбрать пароль, который не использовался последние N раз, где N — настройка истории паролей. При выборе пароля, который использовался в последние N раз, в данном случае возникнет ошибка. При тестировании установите для журнала паролей значение 0.

Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль.

Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой.

Если у пользователя задан флаг свойства PASSWD_CANT_CHANGE, его пароль не может быть синхронизирован. В целях тестирования удалите флаг свойства PASSWD_CANT_CHANGE. Дополнительные сведения см. в описаниях флагов свойств.
6329 MMS(3040): admaexport.cpp(2837) — на сервере не включен элемент управления политикой паролей LDAP. Эта проблема возникает, если элемент управления LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) не включен на контроллерах доменов. Чтобы использовать функцию обратной записи паролей, необходимо включить этот элемент управления. Для этого контроллеры доменов должны работать под управлением Windows Server 2016 или более поздней версии.
HR 8023042 Обработчик синхронизации вернул ошибку hr=80230402 с сообщением: "Попытка получить объект завершилась ошибкой, так как существуют повторяющиеся записи с одной привязкой". Это ошибка возникает, когда один идентификатор пользователя включен в нескольких доменах. Например, если идет синхронизация лесов учетных записей и ресурсов, и в каждом из них включен один и тот же идентификатор пользователя.

Также эта ошибка может возникнуть, если вы используете атрибут неуникальной привязки (например, псевдоним или имя участника-пользователя) и два пользователя используют одинаковый атрибут привязки.

Чтобы устранить эту проблему, убедитесь, что в пределах доменов нет повторяющихся пользователей и для каждого пользователя используется атрибут уникальной привязки.

Источник событий — PasswordResetService

Код Имя или сообщение Description
31001 PasswordResetStart Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи сброса пароля.
31002 PasswordResetSuccess Это событие указывает, что пользователь выбрал новый пароль во время операции сброса пароля. Мы определили, что пароль соответствует требованиям организации к паролю. Он был успешно записан обратно в локальную среду Active Directory.
31003 PasswordResetFail Это событие указывает, что пользователь выбрал пароль, который был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
  • Пароль пользователя не соответствует требованиям домена к сроку действия, истории, сложности или фильтрации. Чтобы устранить эту проблему, создайте пароль.
  • Учетная запись службы ADMA не имеет соответствующих разрешений на установку нового пароля для нужной учетной записи пользователя.
  • Учетная запись пользователя входит в защищенную группу (например, группу администраторов домена или предприятия), для которой операции установки пароля запрещены.
31004 OnboardingEventStart Это событие возникает, если включить обратную запись паролей с помощью Microsoft Entra Connect, и мы начали подключение вашей организации к веб-службе обратной записи паролей.
31005 OnboardingEventSuccess Это событие указывает, что процесс адаптации прошел успешно и возможности обратной записи паролей готовы к использованию.
31006 ChangePasswordStart Это событие указывает, что локальная служба обнаружила исходящий из облака запрос на изменение пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей. Это событие является первым событием в каждой операции обратной записи изменения пароля.
31007 ChangePasswordSuccess Это событие указывает, что пользователь выбрал новый пароль во время операции изменения пароля, мы определили, что этот пароль соответствует требованиям организации к паролю, и он успешно был записан обратно в локальную среду Active Directory.
31008 ChangePasswordFail Это событие указывает, что пользователь выбрал пароль, этот пароль успешно поступил в локальную среду, но при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
  • Пароль пользователя не соответствует требованиям домена к сроку действия, истории, сложности или фильтрации. Чтобы устранить эту проблему, создайте пароль.
  • Учетная запись службы ADMA не имеет соответствующих разрешений на установку нового пароля для нужной учетной записи пользователя.
  • Учетная запись пользователя входит в защищенную группу (например, группу администраторов домена или предприятия), для которой операции задания пароля запрещены.
31009 ResetUserPasswordByAdminStart Локальная служба обнаружила запрос на сброс пароля для федеративного пользователя или пользователя, применяющего сквозную аутентификацию либо синхронизацию хэшей паролей, исходящий от администратора от имени пользователя. Это событие является первым событием в каждой операции обратной записи для сброса пароля, инициированной администратором.
31010 ResetUserPasswordByAdminSuccess Администратор выбрал новый пароль во время операции сброса пароля, инициированной администратором. Мы определили, что пароль соответствует требованиям организации к паролю. Он был успешно записан обратно в локальную среду Active Directory.
31011 ResetUserPasswordByAdminFail Администратор выбрал пароль от имени пользователя. Этот пароль был успешно передан в локальную среду. Однако при попытке установить его в локальной среде Active Directory произошел сбой. Этот сбой может произойти по нескольким причинам:
  • Пароль пользователя не соответствует требованиям домена к сроку действия, истории, сложности или фильтрации. Попробуйте устранить эту проблему, указав новый пароль.
  • Учетная запись службы ADMA не имеет соответствующих разрешений на установку нового пароля для нужной учетной записи пользователя.
  • Учетная запись пользователя входит в защищенную группу (например, группу администраторов домена или предприятия), для которой операции задания пароля запрещены.
31012 OffboardingEventStart Это событие происходит при отключении обратной записи паролей с помощью Microsoft Entra Connect и указывает, что мы начали подключение организации к веб-службе обратной записи паролей.
31013 OffboardingEventSuccess Это событие указывает, что процесс отмены адаптации прошел успешно и возможности обратной записи паролей успешно отключены.
31014 OffboardingEventFail Это событие указывает, что процесс отключения не был успешным. Это могло произойти из-за ошибки в облаке или локальной учетной записи администратора, указанной во время настройки. Ошибка также может возникать, если вы пытаетесь использовать федеративного глобального администратора облака при отключении обратной записи паролей. Чтобы устранить эту проблему, проверьте свои разрешения на администрирование и убедитесь, что вы не используете никакую федеративную учетную запись при настройке функции обратной записи паролей.
31015 WriteBackServiceStarted Это событие указывает, что служба обратной записи паролей успешно запущена. Она готова к приему запросов на управление паролями из облака.
31016 WriteBackServiceStopped Это событие указывает, что служба обратной записи паролей была остановлена. Любые запросы на управление паролями из облака не будут выполняться.
31017 AuthTokenSuccess Это событие указывает, что мы успешно получили маркер авторизации для глобального администратора, указанного во время установки Microsoft Entra Connect, чтобы запустить процесс подключения или подключения.
31018 KeyPairCreationSuccess Это событие указывает, что мы успешно создали ключ шифрования паролей. Он используется для шифрования паролей из облака для отправки в локальную среде.
31019 ServiceBusHeartBeat Это событие указывает, что мы успешно отправили запрос служебная шина экземпляру клиента.
31034 ServiceBusListenerError Это событие указывает, что произошла ошибка при подключении к прослушивателю Служебной шины клиента. Если сообщение об ошибке содержит сообщение "Удаленный сертификат недопустим", убедитесь, что сервер Microsoft Entra Connect имеет все необходимые корневые ЦС, как описано в изменениях сертификата TLS Azure.
31044 PasswordResetService Это событие указывает, что компонент обратной записи паролей не работает. Служебная шина прослушивает запросы на двух отдельных ретрансляторах для обеспечения избыточности. Каждое подключение к ретранслятору управляется уникальным узлом службы. Клиент обратной записи возвращает ошибку, если какой-либо узел службы не работает.
32000 UnknownError Это событие указывает на неизвестную ошибку во время операции управления паролями. Просмотрите текст исключения в событии для получения дополнительных сведений. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей. Если это не помогает, включите копию журнала событий вместе с идентификатором отслеживания, указанным при открытии запроса на поддержку.
32001 ServiceError Это событие указывает, что произошла ошибка при подключении к облачной службе сброса паролей. Она обычно возникает, если локальной службе не удается подключиться к веб-службе сброса паролей.
32002 ServiceBusError Это событие указывает, что произошла ошибка при подключении к экземпляру Служебной шины клиента. Это может произойти, если в вашей локальной среде блокируются исходящие подключения. Проверьте, разрешены ли в брандмауэре подключения через TCP-порт 443 и к странице https://ssprdedicatedsbprodncu.servicebus.windows.net, а затем повторите попытку. Если проблемы продолжаются, попробуйте отключить и повторно включить обратную запись паролей.
32003 InPutValidationError Это событие указывает, что входные данные, переданные в API нашей веб-службы, были недопустимыми. Попробуйте выполнить операцию заново.
32004 DecryptionError Это событие указывает, что произошла ошибка при расшифровке пароля, который поступил из облака. Это может быть из-за несовпадения ключей расшифровки между облачной службой и локальной средой. Чтобы решить эту проблему, отключите и снова включите обратную запись паролей в локальной среде.
32005 ConfigurationError Во время адаптации мы сохраняем сведения для конкретного клиента в файле конфигурации в локальной среде. Это событие указывает, что произошла ошибка при сохранении этого файла или при запуске службы произошла ошибка чтения файла. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации.
32007 OnBoardingConfigUpdateError Во время адаптации мы отправляем данные из облака в локальную службу сброса паролей. Эти данные затем записываются в файл, размещенный в памяти, перед отправкой в службу синхронизации для безопасного хранения на диске. Это событие указывает на проблему при записи или обновлении таких данных в памяти. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей для принудительной перезаписи данного файла конфигурации.
32008 ValidationError Это событие указывает, что был получен недопустимый ответ от веб-службы сброса паролей. Чтобы устранить эту проблему, попробуйте отключить и повторно включить обратную запись паролей.
32009 AuthTokenError Это событие указывает, что не удалось получить маркер авторизации для учетной записи глобального администратора, указанной во время установки Microsoft Entra Connect. Эта ошибка может быть вызвана неправильным именем пользователя или паролем, указанным для учетной записи глобального администратора. Эта ошибка также может возникать, если указанная учетная запись глобального администратора федеративна. Чтобы устранить эту проблему, повторно запустите конфигурацию с правильными именем пользователя и паролем и убедитесь, что учетная запись администратора является управляемой (только облачной или с синхронизацией паролей).
32010 CryptoError Это событие указывает, что произошла ошибка при создании ключа шифрования пароля или при расшифровке пароля, поступившего из облачной службы. Скорее всего, эта ошибка указывает на возможную неполадку среды. Просмотрите подробности в журнале событий для получения дополнительных сведений об устранении этой проблемы. Вы также можете попробовать отключить и повторно включить службу обратной записи паролей.
32011 OnBoardingServiceError Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса адаптации. Оно может произойти из-за правила брандмауэра или проблемы при получении маркера проверки подлинности для клиента. Чтобы устранить эту проблему, проверьте, не блокируются ли исходящие подключения через TCP-порты 443 и 9350–9354 или к странице https://ssprdedicatedsbprodncu.servicebus.windows.net. Кроме того, убедитесь, что учетная запись администратора Microsoft Entra, которую вы используете для подключения, не является федеративной.
32013 OffBoardingError Это событие указывает, что локальной службе не удалось правильно связаться с веб-службой сброса паролей для запуска процесса отмены адаптации. Оно может произойти из-за правил брандмауэра или проблемы при получении маркера авторизации для клиента. Чтобы устранить эту проблему, убедитесь, что вы не блокируете исходящие подключения более 443 или https://ssprdedicatedsbprodncu.servicebus.windows.netв , и что учетная запись администратора Microsoft Entra, которую вы используете для отключения, не является федеративной.
32014 ServiceBusWarning Это событие указывает, что нам необходимо было повторить попытку подключения к экземпляру Служебной шины клиента. В обычных условиях это не должно быть проблемой, однако если событие повторяется множество раз, рекомендуется проверить сетевое подключение к Служебной шине, особенно в случае подключения с высокой задержкой или низкой пропускной способностью.
32015 ReportServiceHealthError Для мониторинга работоспособности службы обратной записи паролей мы отправляем сведения о пульсе в веб-службу сброса паролей каждые пять минут. Это событие указывает, что произошла ошибка при отправке такой информации о работоспособности обратно в облачную веб-службу. Эта информация о работоспособности не включает в себя персональные данные и является исключительно пульсом и базовой статистикой службы, чтобы дать нам возможность предоставлять сведения о состоянии службы в облаке.
33001 ADUnKnownError Это событие указывает, что возникла неизвестная ошибка, возвращенная службой Active Directory. Дополнительные сведения см. в журнале событий сервера Microsoft Entra Connect для событий из источника ADSync.
33002 ADUserNotFoundError Это событие указывает, что пользователь, который пытается сбросить или изменить пароль, не найден в локальном каталоге. Это может произойти, если пользователь был удален локально, а не в облаке. Эта ошибка также может возникать при наличии проблемы с синхронизацией. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений.
33003 ADMutliMatchError Когда запрос на сброс пароля или изменение пароля поступает из облака, мы используем облачную привязку, указанную в процессе установки Microsoft Entra Connect, чтобы определить, как связать этот запрос с пользователем в локальной среде. Это событие указывает, что в локальном каталоге найдены два пользователя с одним и тем же атрибутом облачной привязки. Проверьте журналы синхронизации, а также подробности о последних нескольких запусках синхронизации для получения дополнительных сведений.
33004 ADPermissionsError Это событие указывает, что учетная запись службы агента управления Active Directory (ADMA) не имеет соответствующих разрешений на запрашиваемую учетную запись, чтобы задать новый пароль. Убедитесь, что учетная запись ADMA в лесу пользователя имеет разрешения на сброс пароля для всех объектов в лесу. Дополнительные сведения о том, как это сделать, см. в разделе "Шаг 4. Настройка соответствующих разрешений Active Directory". Эта ошибка также возникает, если атрибуту пользователя AdminCount присвоено значение 1.
33005 ADUserAccountDisabled Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была отключена на локальном компьютере. Включите учетную запись и повторите попытку.
33006 ADUserAccountLockedOut Это событие указывает, что мы пытались сбросить или изменить пароль для учетной записи, которая была заблокирована на локальном компьютере. Блокировки могут происходить при слишком большом количестве попыток пользователя изменить или сбросить пароль за короткий период. Разблокируйте учетную запись и повторите попытку.
33007 ADUserIncorrectPassword Это событие указывает, что пользователь задал неверный текущий пароль при выполнении операции смены пароля. Укажите правильный текущий пароль и повторите попытку.
33008 ADPasswordPolicyError Это событие возникает при попытке службы обратной записи паролей установить на ваш локальный каталог пароль, который не соответствует требованиям домена к сроку действия пароля, истории, сложности или фильтрации.

Если установлен минимальный срок действия пароля и пароль был недавно изменен в пределах заданного окна времени, вы не сможете изменить пароль снова, пока не истечет определенный период времени в вашем домене. При тестировании установите для минимального срока действия паролей значение 0.

Если включены требования к истории паролей, то необходимо выбрать пароль, который не использовался последние N раз, где N — настройка истории паролей. При выборе пароля, который использовался в последние N раз, в данном случае возникнет ошибка. При тестировании установите для журнала паролей значение 0.

Если включены требования к сложности пароля, все они будут применяться при попытке пользователя изменить или сбросить пароль.

Если включены фильтры паролей, а пользователь выбирает пароль, не соответствующий критериям фильтрации, операция сброса или изменения завершится ошибкой.
33009 ADConfigurationError Это событие указывает, что возникла проблема при записи пароля обратно в локальный каталог из-за неполадки с конфигурацией в Active Directory. Дополнительные сведения о возникновении ошибки см. в журнале событий приложения microsoft Entra Connect компьютера с помощью службы ADSync.

Символы подразделения, зарезервированные от обратной записи паролей

В следующей таблице перечислены зарезервированные символы, которые препятствуют обратной записи паролей. Если эти символы отображаются в локальной структуре подразделения организации, обратная запись паролей может завершиться ошибкой с идентификатором события 33001.

Зарезервированный символ Description Шестнадцатеричное значение
пробел или символ # в начале строки
пробел в конце строки
, запятая 0x2C
+ знак плюс 0x2B
" кавычка 0x22
\ обратная косая черта 0x5C
< левая угловая скобка 0x3C
> правая угловая скобка 0x3E
; точка с запятой 0x3B
LF перевод строки 0x0A
CR Возврат каретки 0x0D
= знак равенства 0x3D
/ Косая черта вперед 0x2F

Форумы Microsoft Entra

Если у вас есть общие вопросы об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.

Обращение в службу поддержки Майкрософт

Если вам не удается найти решение проблемы, специалисты группы поддержки всегда готовы помочь.

Чтобы мы могли предоставить вам соответствующую помощь, укажите в запросе как можно больше подробностей. К ним относятся следующие сведения:

  • Общее описание ошибки. В чем заключается ошибка? Как вела себя система? Как можно воспроизвести ошибку? Опишите проблему максимально подробно.
  • Страница. На какой странице вы находились, когда произошла ошибка? По возможности предоставьте URL-адрес страницы и снимок экрана.
  • Код поддержки. Какой код поддержки был сформирован, когда пользователь увидел ошибку?

    • Чтобы найти его, воспроизведите ошибку, затем щелкните ссылку Код поддержки внизу экрана и отправьте специалисту службы поддержки идентификатор GUID, который отобразится в результате.

      Код поддержки находится в правой нижней части окна веб-браузера.

    • Если вы находитесь на странице, внизу которой отсутствует код поддержки, нажмите клавишу F12 и поищите SID и CID, после чего отправьте два найденных результата специалисту службы поддержки.

  • Дата, время и часовой пояс. Укажите точную дату и время возникновения ошибки, а также часовой пояс.
  • Идентификатор пользователя. Какой пользователь увидел ошибку? Например, user@contoso.com.
    • Это федеративный пользователь?
    • Это пользователь, применяющий сквозную аутентификацию?
    • Это пользователь с синхронизацией хэшей паролей?
    • Это облачный пользователь?
  • Лицензирование. Назначена ли пользователю лицензия на идентификатор Microsoft Entra ID?
  • Журнал событий приложения: если вы используете обратную запись паролей, а ошибка находится в локальной инфраструктуре, добавьте в него архивную копию журнала событий приложения с сервера Microsoft Entra Connect.

Следующие шаги

Дополнительные сведения о SSPR см. в статье о том, как это работает: самостоятельный сброс пароля Microsoft Entra или как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra ID?