Felsöka tillbakaskrivning av lösenordsåterställning med självbetjäning i Microsoft Entra-ID
Med Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) kan användarna återställa sina lösenord i molnet. Tillbakaskrivning av lösenord är en funktion som är aktiverad med Microsoft Entra Connect eller molnsynkronisering som gör att lösenordsändringar i molnet kan skrivas tillbaka till en befintlig lokal katalog i realtid.
Om du har problem med tillbakaskrivning av SSPR kan följande felsökningssteg och vanliga fel vara till hjälp. Om du inte hittar svaret på ditt problem är våra supportteam alltid tillgängliga för att hjälpa dig ytterligare.
Felsöka anslutning
Om du har problem med tillbakaskrivning av lösenord för Microsoft Entra Connect kan du läsa följande steg som kan hjälpa dig att lösa problemet. För att återställa tjänsten rekommenderar vi att du följer dessa steg i ordning:
- Bekräfta nätverksanslutningen
- Kontrollera TLS 1.2
- Uppdatera Microsoft .NET 4.8
- Starta om Microsoft Entra Connect Sync-tjänsten
- Inaktivera och återaktivera tillbakaskrivningsfunktionen för lösenord
- Installera den senaste Versionen av Microsoft Entra Connect
- Felsöka tillbakaskrivning av lösenord
Bekräfta nätverksanslutningen
Den vanligaste felpunkten är att brandväggs- eller proxyportar eller tidsgränser för inaktivitet är felaktigt konfigurerade.
För Microsoft Entra Connect version 1.1.443.0 och senare krävs utgående HTTPS-åtkomst till följande adresser:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Azure for US Government-slutpunkter:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Azure China 21Vianet-slutpunkter:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Om du behöver mer detaljerad information kan du läsa listan över Microsoft Azure IP-intervall och tjänsttaggar för offentligt moln.
För Azure for US Government, se listan över Microsoft Azure IP-intervall och tjänsttaggar för Azure för US Government Cloud.
Dessa filer uppdateras varje vecka.
Följ dessa steg för att avgöra om åtkomsten till en URL och port är begränsad i en miljö som offentligt Azure-moln:
På Entra Connect-servern öppnar du loggbokens loggar (Windows-loggar, program) och letar reda på något av dessa händelse-ID: 31034 eller 31019.
Från dessa händelse-ID:ar identifierar du namnet på Service Bus-lyssnaren:
Kör följande cmdlet:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443Eller kör följande:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose<Ersätt namnområdet> med samma som du extraherade från händelse-ID:t ovan. I föregående fall är kommandot till exempel:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Mer information finns i anslutningskraven för Microsoft Entra Connect.
Kontrollera om TLS 1.2 är aktiverat
Ett ytterligare felsökningssteg är att kontrollera att TLS 1.2 är korrekt aktiverat på synkroniseringsservern. Kör PowerShell-skript för att kontrollera TLS 1.2 på Entra Connect Server. Se till att köra skriptet i administratörsläge.
Utdata från kontrollskriptet som måste se ut som följande bild (sökväg, namn och värdekolumner) för att aktiveras korrekt. Om den inte gör det kör du PowerShell-skriptet för att aktivera TLS 1.2 på Entra Connect Server/ Starta sedan om servern och kör skriptet för att kontrollera TLS 1.2 igen.
Kontrollera att Microsoft .NET Framework 4.8 eller senare är aktiverat (Sync Server)
Kontrollera att Microsoft .NET Framework 4.8 eller senare är aktiverat på synkroniseringsservern.
- Så här kontrollerar du att .NET redan är installerat
- Fråga registret med hjälp av PowerShell
- Ladda ned .NET Framework
Starta om Microsoft Entra Connect Sync-tjänsten
Utför följande steg för att starta om Microsoft Entra Connect Sync-tjänsten för att lösa anslutningsproblem eller andra tillfälliga problem med tjänsten:
Som administratör på servern som kör Microsoft Entra Connect väljer du Start.
Ange services.msc i sökfältet och välj Retur.
Leta efter posten Azure AD Sync .
Högerklicka på tjänstposten, välj Starta om och vänta tills åtgärden har slutförts.
De här stegen återupprättar anslutningen med Microsoft Entra-ID och bör lösa dina anslutningsproblem.
Om du inte löser problemet genom att starta om Microsoft Entra Connect Sync-tjänsten kan du försöka inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord i nästa avsnitt.
Inaktivera och återaktivera tillbakaskrivningsfunktionen för lösenord
Fortsätt att felsöka problem genom att utföra följande steg för att inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord:
- Som administratör på servern som kör Microsoft Entra Connect öppnar du guiden Microsoft Entra Connect-konfiguration.
- I Anslut till Microsoft Entra-ID anger du dina Microsoft Entra Hybrid Administrator-autentiseringsuppgifter.
- I Anslut till AD DS anger du dina administratörsautentiseringsuppgifter för lokal Active Directory Domain Services.
- I Unikt identifiera dina användare väljer du knappen Nästa .
- Avmarkera kryssrutan Tillbakaskrivning av lösenord i Valfria funktioner.
- Välj Nästa via de återstående dialogsidorna utan att ändra något förrän du kommer till sidan Redo att konfigurera .
- Kontrollera att sidan Redo att konfigurera visar alternativet Tillbakaskrivning av lösenord som inaktiverat. Välj den gröna knappen Konfigurera för att checka in ändringarna.
- I Slutfört avmarkerar du alternativet Synkronisera nu och väljer sedan Slutför för att stänga guiden.
- Öppna konfigurationsguiden för Microsoft Entra Connect igen.
- Upprepa steg 2–8. Den här gången väljer du alternativet Tillbakaskrivning av lösenord på sidan Valfria funktioner för att återaktivera tjänsten.
De här stegen återupprättar anslutningen med Microsoft Entra-ID och bör lösa dina anslutningsproblem.
Om du inaktiverar och sedan återaktivera tillbakaskrivningsfunktionen för lösenord löser inte problemet installerar du om Microsoft Entra Connect i nästa avsnitt.
Installera den senaste Versionen av Microsoft Entra Connect
Om du installerar om Microsoft Entra Connect kan du lösa konfigurations- och anslutningsproblem mellan Microsoft Entra ID och din lokala Active Directory-domän Services-miljö. Vi rekommenderar att du utför det här steget först när du har försökt utföra föregående steg för att verifiera och felsöka anslutningen.
Varning
Om du har anpassat de färdiga synkroniseringsreglerna säkerhetskopierar du dem innan du fortsätter med uppgraderingen och distribuerar dem manuellt när du är klar.
Ladda ned den senaste versionen av Microsoft Entra Connect från Microsoft Download Center.
Eftersom du redan har installerat Microsoft Entra Connect utför du en uppgradering på plats för att uppdatera installationen av Microsoft Entra Connect till den senaste versionen.
Kör det nedladdade paketet och följ anvisningarna på skärmen för att uppdatera Microsoft Entra Connect.
De här stegen bör återupprätta anslutningen med Microsoft Entra-ID:t och lösa anslutningsproblemen.
Om du inte löser problemet genom att installera den senaste versionen av Microsoft Entra Connect-servern kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord som ett sista steg när du har installerat den senaste versionen.
Kontrollera att Microsoft Entra Connect har de behörigheter som krävs
Microsoft Entra Connect kräver AD DS-återställning av lösenordsbehörighet för att utföra tillbakaskrivning av lösenord. Om du vill kontrollera om Microsoft Entra Connect har den behörighet som krävs för ett visst lokalt AD DS-användarkonto använder du funktionen Gällande behörighet för Windows:
Logga in på Microsoft Entra Connect-servern och starta Synkroniseringstjänsthanteraren genom att välja Starta>synkroniseringstjänsten.
Under fliken Anslutningsappar väljer du den lokala Active Directory-domän Services-anslutningsappen och väljer sedan Egenskaper.
I popup-fönstret väljer du Anslut till Active Directory-skog och noterar egenskapen Användarnamn . Den här egenskapen är det AD DS-konto som används av Microsoft Entra Connect för att utföra katalogsynkronisering.
För att Microsoft Entra Connect ska kunna utföra tillbakaskrivning av lösenord måste AD DS-kontot ha behörighet att återställa lösenord. Du kontrollerar behörigheterna för det här användarkontot i följande steg.
Logga in på en lokal domänkontrollant och starta Active Directory - användare och datorer-programmet.
Välj Visa och kontrollera att alternativet Avancerade funktioner är aktiverat.
Leta efter det AD DS-användarkonto som du vill verifiera. Högerklicka på kontonamnet och välj Egenskaper.
I popup-fönstret går du till fliken Säkerhet och väljer Avancerat.
I popup-fönstret Avancerade säkerhetsinställningar för administratör går du till fliken Effektiv åtkomst.
Välj Välj en användare, välj det AD DS-konto som används av Microsoft Entra Connect och välj sedan Visa effektiv åtkomst.
Rulla nedåt och leta efter Återställ lösenord. Om posten har en bockmarkering har AD DS-kontot behörighet att återställa lösenordet för det valda Active Directory-användarkontot.
Vanliga tillbakaskrivningsfel för lösenord
Följande mer specifika problem kan uppstå med tillbakaskrivning av lösenord. Om du har något av dessa fel granskar du den föreslagna lösningen och kontrollerar om tillbakaskrivning av lösenord fungerar korrekt.
| Fel | Lösning |
|---|---|
| Tjänsten för lösenordsåterställning startar inte lokalt. Fel 6800 visas i Microsoft Entra Connect-datorns programhändelselogg. Efter registrering kan federerade, direktautentisering eller lösenordshashsynkroniserade användare inte återställa sina lösenord. |
När tillbakaskrivning av lösenord är aktiverat anropar synkroniseringsmotorn tillbakaskrivningsbiblioteket för att utföra konfigurationen (registrering) genom att kommunicera med molnregistreringstjänsten. Eventuella fel som påträffas under registrering eller vid start av WCF-slutpunkten (Windows Communication Foundation) för tillbakaskrivning av lösenord resulterar i fel i händelseloggen på din Microsoft Entra Connect-dator. Vid omstart av Tjänsten Azure AD Sync (ADSync) startar WCF-slutpunkten om tillbakaskrivningen har konfigurerats. Men om slutpunktens start misslyckas loggar vi händelse 6800 och låter synkroniseringstjänsten starta. Förekomsten av den här händelsen innebär att slutpunkten för tillbakaskrivning av lösenord inte startades. Händelselogginformation för den här händelsen 6800, tillsammans med händelseloggposter som genereras av PasswordResetService-komponenten, anger varför du inte kan starta slutpunkten. Granska dessa händelseloggfel och försök starta om Microsoft Entra Connect om tillbakaskrivning av lösenord fortfarande inte fungerar. Om problemet kvarstår kan du försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord. |
| När en användare försöker återställa ett lösenord eller låsa upp ett konto med tillbakaskrivning av lösenord aktiverat misslyckas åtgärden. Dessutom visas en händelse i händelseloggen Microsoft Entra Connect som innehåller: "Synkroniseringsmotorn returnerade ett fel hr=800700CE, message=Filnamnet eller tillägget är för långt" efter att upplåsningen har inträffat. |
Leta upp Active Directory-kontot för Microsoft Entra Connect och återställ lösenordet så att det inte innehåller fler än 256 tecken. Öppna sedan synkroniseringstjänsten från Start-menyn. Bläddra till Anslutningsappar och leta reda på Active Directory Connector. Välj den och välj sedan Egenskaper. Bläddra till sidan Autentiseringsuppgifter och ange det nya lösenordet. Välj OK för att stänga sidan. |
| I det sista steget i installationsprocessen för Microsoft Entra Connect visas ett fel som anger att tillbakaskrivning av lösenord inte kunde konfigureras. Händelseloggen för Microsoft Entra Connect-programmet innehåller fel 32009 med texten "Fel vid autentiseringstoken". |
Det här felet inträffar i följande två fall:
|
| Händelseloggen för Microsoft Entra Connect-datorn innehåller fel 32002 som genereras genom att köra PasswordResetService. Felet lyder: "Fel vid anslutning till ServiceBus. Tokenprovidern kunde inte ange en säkerhetstoken." |
Din lokala miljö kan inte ansluta till Azure Service Bus-slutpunkten i molnet. Det här felet orsakas normalt av en brandväggsregel som blockerar en utgående anslutning till en viss port eller webbadress. Mer information finns i Krav för anslutning. När du har uppdaterat dessa regler bör du starta om Microsoft Entra Connect-servern och tillbakaskrivning av lösenord bör börja fungera igen. |
| Efter att ha arbetat under en tid kan federerade, direktautentisering eller lösenordshashsynkroniserade användare inte återställa sina lösenord. | I vissa sällsynta fall kan tjänsten för tillbakaskrivning av lösenord inte startas om när Microsoft Entra Connect har startats om. I dessa fall kontrollerar du först om tillbakaskrivning av lösenord är aktiverat lokalt. Du kan kontrollera med hjälp av antingen Microsoft Entra Connect-guiden eller PowerShell. Om funktionen verkar vara aktiverad kan du prova att aktivera eller inaktivera funktionen igen. Om det här felsökningssteget inte fungerar kan du prova att avinstallera och installera om Microsoft Entra Connect. |
| Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord ser ett fel efter att ha försökt skicka sitt lösenord. Felet anger att det uppstod ett tjänstproblem. Förutom det här problemet kan det uppstå ett fel när lösenordsåterställningsåtgärderna utfördes att hanteringsagenten nekades åtkomst i dina lokala händelseloggar. |
Om du ser dessa fel i händelseloggen kontrollerar du att adma-kontot (Active Directory Management Agent) som angavs i guiden vid tidpunkten för konfigurationen har de behörigheter som krävs för tillbakaskrivning av lösenord. När den här behörigheten har getts kan det ta upp till en timme för behörigheterna att sippra ned via bakgrundsaktiviteten sdprop på domänkontrollanten (DC). För att lösenordsåterställningen ska fungera måste behörigheten stämplas på säkerhetsbeskrivningen för det användarobjekt vars lösenord återställs. Tills den här behörigheten visas på användarobjektet fortsätter lösenordsåterställningen att misslyckas med ett meddelande om nekad åtkomst. |
| Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord visas ett fel när de har skickat sitt lösenord. Felet anger att det uppstod ett tjänstproblem. Förutom det här problemet kan det uppstå ett fel i händelseloggarna från Microsoft Entra Connect-tjänsten som anger att ett "Objekt kunde inte hittas" visas under lösenordsåterställningsåtgärder. |
Det här felet indikerar vanligtvis att synkroniseringsmotorn inte kan hitta antingen användarobjektet i Microsoft Entra-anslutningsutrymmet eller det länkade metaversumet (MV) eller Microsoft Entra-anslutningsobjektet. Om du vill felsöka det här problemet kontrollerar du att användaren verkligen är synkroniserad från lokalt till Microsoft Entra-ID via den aktuella instansen av Microsoft Entra Connect och inspekterar tillståndet för objekten i anslutningsutrymmena och MV. Bekräfta att Active Directory Certificate Services-objektet (AD CS) är anslutet till MV-objektet via regeln "Microsoft.InfromADUserAccountEnabled.xxx". |
| Federerad autentisering, direktautentisering eller lösenordshashsynkroniserade användare som försöker återställa sina lösenord ser ett fel när de har skickat sitt lösenord. Felet anger att det uppstod ett tjänstproblem. Förutom det här problemet kan du under återställningen av lösenord se ett fel i händelseloggarna från Microsoft Entra Connect-tjänsten som indikerar att det finns ett fel med felet "Flera matchningar hittades". |
Detta indikerar att synkroniseringsmotorn har identifierat att MV-objektet är anslutet till mer än ett AD CS-objekt via "Microsoft.InfromADUserAccountEnabled.xxx". Det innebär att användaren har ett aktiverat konto i mer än en skog. Det här scenariot stöds inte för tillbakaskrivning av lösenord. |
| Lösenordsåtgärder misslyckas med ett konfigurationsfel. Programhändelseloggen innehåller Microsoft Entra Connect-fel 6329 med texten "0x8023061f (Åtgärden misslyckades eftersom lösenordssynkronisering inte är aktiverad på den här hanteringsagenten)". | Det här felet uppstår om Microsoft Entra Connect-konfigurationen ändras för att lägga till en ny Active Directory-skog (eller för att ta bort och läsa en befintlig skog) när tillbakaskrivningsfunktionen för lösenord redan har aktiverats. Lösenordsåtgärder för användare i dessa nyligen tillagda skogar misslyckas. Du kan åtgärda problemet genom att inaktivera och sedan återaktivera tillbakaskrivningsfunktionen för lösenord när skogskonfigurationsändringarna har slutförts. |
| SSPR_0029: Det går inte att återställa lösenordet på grund av ett fel i den lokala konfigurationen. Kontakta administratören och be dem undersöka saken. | Problem: Tillbakaskrivning av lösenord har aktiverats enligt alla nödvändiga steg, men när du försöker ändra ett lösenord får du "SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt". Om du kontrollerar händelseloggarna i Microsoft Entra Connect-systemet visas att hanteringsagentens autentiseringsuppgifter nekades åtkomst. Möjlig lösning: Använd RSOP i Microsoft Entra Connect-systemet och dina domänkontrollanter för att se om principen "Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM" som finns under Datorkonfiguration > Säkerhetsinställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ är aktiverade. Redigera principen för att inkludera MSOL_XXXXXXX hanteringskontot som en tillåten användare. Mer information finns i Felsöka fel SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt. |
Felkoder för tillbakaskrivning av lösenordshändelselogg
Bästa praxis när du felsöker problem med tillbakaskrivning av lösenord är att inspektera programhändelseloggen på din Microsoft Entra Connect-dator. Den här händelseloggen innehåller händelser från två källor för tillbakaskrivning av lösenord. Källan PasswordResetService beskriver åtgärder och problem som rör driften av tillbakaskrivning av lösenord. ADSync-källan beskriver åtgärder och problem som rör att ange lösenord i din Active Directory-domän Services-miljö.
Om källan till händelsen är ADSync
| Kod | Namn eller meddelande | Beskrivning |
|---|---|---|
| 6329 | BAIL: MMS(4924) 0x80230619: "En begränsning förhindrar att lösenordet ändras till den aktuella angivna." | Den här händelsen inträffar när tjänsten för tillbakaskrivning av lösenord försöker ange ett lösenord i din lokala katalog som inte uppfyller lösenordsåldern, historiken, komplexiteten eller filtreringskraven för domänen. Den här händelsen kan också inträffa om ett lösenord inte kan ändras för en användare. Om du har en lägsta lösenordsålder och nyligen har ändrat lösenordet inom den tidsperioden kan du inte ändra lösenordet igen förrän det når den angivna åldern i din domän. I testsyfte ska minimiåldern vara 0. Om du har aktiverat krav för lösenordshistorik måste du välja ett lösenord som inte har använts under de senaste N gångerna, där N är inställningen för lösenordshistorik. Om du väljer ett lösenord som har använts under de senaste N gångerna visas ett fel i det här fallet. I testsyfte ska lösenordshistoriken anges till 0. Om du har krav på lösenordskomplexitet tillämpas alla när användaren försöker ändra eller återställa ett lösenord. Om du har aktiverat lösenordsfilter och en användare väljer ett lösenord som inte uppfyller filtreringsvillkoren misslyckas återställnings- eller ändringsåtgärden. Om användaren har angett PASSWD_CANT_CHANGE egenskapsflagga kan deras lösenord inte synkroniseras. Ta bort egenskapsflaggan PASSWD_CANT_CHANGE i testsyfte. Mer information finns i Beskrivningar av egenskapsflagga. |
| 6329 | MMS(3040): admaexport.cpp(2837): Servern innehåller inte LDAP-lösenordsprincipkontrollen. | Det här problemet uppstår om LDAP_SERVER_POLICY_HINTS_OID kontroll (1.2.840.113556.1.4.2066) inte är aktiverad på domänkontrollanterna. Om du vill använda tillbakaskrivningsfunktionen för lösenord måste du aktivera kontrollen. För att göra det måste domänkontrollanterna finnas på Windows Server 2016 eller senare. |
| HR-8023042 | Synkroniseringsmotorn returnerade ett fel hr=80230402, message=Ett försök att hämta ett objekt misslyckades eftersom det finns duplicerade poster med samma fästpunkt. | Det här felet uppstår när samma användar-ID är aktiverat i flera domäner. Ett exempel är om du synkroniserar konto- och resursskogar och har samma användar-ID som finns och är aktiverat i varje skog. Det här felet kan också inträffa om du använder ett icke-unikt fästpunktsattribut, till exempel ett alias eller UPN, och två användare delar samma fästpunktsattribut. Lös problemet genom att se till att du inte har några duplicerade användare inom dina domäner och att du använder ett unikt fästpunktsattribut för varje användare. |
Om källan till händelsen är PasswordResetService
| Kod | Namn eller meddelande | Beskrivning |
|---|---|---|
| 31001 | PasswordResetStart | Den här händelsen anger att den lokala tjänsten har identifierat en begäran om lösenordsåterställning för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från molnet. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsåterställning. |
| 31002 | PasswordResetSuccess | Den här händelsen anger att en användare valde ett nytt lösenord under en lösenordsåterställningsåtgärd. Vi har fastställt att det här lösenordet uppfyller företagets lösenordskrav. Lösenordet har skrivits tillbaka till den lokala Active Directory-miljön. |
| 31003 | PasswordResetFail | Den här händelsen anger att en användare har valt ett lösenord och att lösenordet har kommit till den lokala miljön. Men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
|
| 31004 | OnboardingEventStart | Den här händelsen inträffar om du aktiverar tillbakaskrivning av lösenord med Microsoft Entra Connect och vi har börjat publicera din organisation på webbtjänsten för tillbakaskrivning av lösenord. |
| 31005 | OnboardingEventSuccess | Den här händelsen anger att registreringsprocessen lyckades och att funktionen för tillbakaskrivning av lösenord är redo att användas. |
| 31006 | ChangePasswordStart | Den här händelsen anger att den lokala tjänsten har identifierat en begäran om lösenordsändring för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från molnet. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsändring. |
| 31007 | ChangePasswordSuccess | Den här händelsen anger att en användare valde ett nytt lösenord under en lösenordsändringsåtgärd, att lösenordet uppfyller företagets lösenordskrav och att lösenordet har skrivits tillbaka till den lokala Active Directory-miljön. |
| 31008 | ChangePasswordFail | Den här händelsen anger att en användare har valt ett lösenord och att lösenordet har kommit till den lokala miljön, men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
|
| 31009 | ResetUserPasswordByAdminStart | Den lokala tjänsten identifierade en begäran om lösenordsåterställning för en federerad, direktautentisering eller lösenordshashsynkroniserad användare som kommer från administratören för en användares räkning. Den här händelsen är den första händelsen i varje tillbakaskrivningsåtgärd för lösenordsåterställning som initieras av en administratör. |
| 31010 | ResetUserPasswordByAdminSuccess | Administratören valde ett nytt lösenord under en administratörsinitierad lösenordsåterställningsåtgärd. Vi har fastställt att det här lösenordet uppfyller företagets lösenordskrav. Lösenordet har skrivits tillbaka till den lokala Active Directory-miljön. |
| 31011 | ResetUserPasswordByAdminFail | Administratören valde ett lösenord för en användares räkning. Lösenordet har kommit till den lokala miljön. Men när vi försökte ange lösenordet i den lokala Active Directory-miljön inträffade ett fel. Det här felet kan inträffa av flera orsaker:
|
| 31012 | OffboardingEventStart | Den här händelsen inträffar om du inaktiverar tillbakaskrivning av lösenord med Microsoft Entra Connect och anger att vi började publicera din organisation till webbtjänsten för tillbakaskrivning av lösenord. |
| 31013 | OffboardingEventSuccess | Den här händelsen anger att avregistreringsprocessen lyckades och att funktionen för tillbakaskrivning av lösenord har inaktiverats. |
| 31014 | OffboardingEventFail | Den här händelsen anger att avregistreringsprocessen inte lyckades. Detta kan bero på ett behörighetsfel på molnet eller det lokala administratörskonto som angavs under konfigurationen. Felet kan också inträffa om du försöker använda en federerad molnhybridadministratör när du inaktiverar tillbakaskrivning av lösenord. Åtgärda problemet genom att kontrollera dina administrativa behörigheter och se till att du inte använder ett federerat konto när du konfigurerar funktionen för tillbakaskrivning av lösenord. |
| 31015 | WriteBackServiceStarted | Den här händelsen anger att tjänsten för tillbakaskrivning av lösenord har startats. Den är redo att acceptera begäranden om lösenordshantering från molnet. |
| 31016 | WriteBackServiceS toppad | Den här händelsen anger att tjänsten för tillbakaskrivning av lösenord har stoppats. Alla begäranden om lösenordshantering från molnet lyckas inte. |
| 31017 | AuthTokenSuccess | Den här händelsen anger att vi har hämtat en auktoriseringstoken för hybridadministratören som angavs under Installationen av Microsoft Entra Connect för att starta processen för avregistrering eller registrering. |
| 31018 | KeyPairCreationSuccess | Den här händelsen anger att vi har skapat lösenordskrypteringsnyckeln. Den här nyckeln används för att kryptera lösenord från molnet som ska skickas till din lokala miljö. |
| 31019 | ServiceBusHeartBeat | Den här händelsen anger att vi har skickat en begäran till din klients Service Bus-instans. |
| 31034 | ServiceBusListenerError | Den här händelsen anger att det uppstod ett fel vid anslutning till klientorganisationens Service Bus-lyssnare. Om felmeddelandet innehåller "Fjärrcertifikatet är ogiltigt" kontrollerar du att Microsoft Entra Connect-servern har alla nödvändiga rotcertifikatutfärdare enligt beskrivningen i Ändringar av Azure TLS-certifikat. |
| 31044 | PasswordResetService | Den här händelsen anger att tillbakaskrivning av lösenord inte fungerar. Service Bus lyssnar efter begäranden om två separata reläer för redundans. Varje reläanslutning hanteras av en unik tjänstvärd. Tillbakaskrivningsklienten returnerar ett fel om någon av tjänstvärden inte körs. |
| 32000 | UnknownError | Den här händelsen anger att ett okänt fel inträffade under en lösenordshanteringsåtgärd. Mer information finns i undantagstexten i händelsen. Om du har problem kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord. Om detta inte hjälper kan du inkludera en kopia av händelseloggen tillsammans med spårnings-ID:t som angavs när du öppnar en supportbegäran. |
| 32001 | ServiceError | Den här händelsen indikerar att det uppstod ett fel när tjänsten för lösenordsåterställning i molnet skulle anslutas. Det här felet uppstår vanligtvis när den lokala tjänsten inte kunde ansluta till webbtjänsten för lösenordsåterställning. |
| 32002 | ServiceBusError | Den här händelsen indikerar att det uppstod ett fel vid anslutning till klientorganisationens Service Bus-instans. Detta kan inträffa om du blockerar utgående anslutningar i din lokala miljö. Kontrollera brandväggen för att se till att du tillåter anslutningar via TCP 443 och till https://ssprdedicatedsbprodncu.servicebus.windows.netoch försök sedan igen. Om du fortfarande har problem kan du prova att inaktivera och sedan återaktivera tillbakaskrivning av lösenord. |
| 32003 | InPutValidationError | Den här händelsen anger att indata som skickades till webbtjänst-API:et var ogiltiga. Försök igen. |
| 32004 | DekrypteringFel | Den här händelsen indikerar att det uppstod ett fel när lösenordet som kom från molnet skulle dekrypteras. Detta kan bero på att en dekrypteringsnyckel matchar fel mellan molntjänsten och din lokala miljö. Lös problemet genom att inaktivera och sedan återaktivera tillbakaskrivning av lösenord i din lokala miljö. |
| 32005 | ConfigurationError | Under registreringen sparar vi klientspecifik information i en konfigurationsfil i din lokala miljö. Den här händelsen anger att det uppstod ett fel när filen skulle sparas eller att det uppstod ett fel vid läsning av filen när tjänsten startades. Du kan åtgärda problemet genom att försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord för att tvinga fram en omskrivning av konfigurationsfilen. |
| 32007 | OnBoardingConfigUpdateError | Under registreringen skickar vi data från molnet till den lokala tjänsten för lösenordsåterställning. Dessa data skrivs sedan till en minnesintern fil innan de skickas till synkroniseringstjänsten för säker lagring på disk. Den här händelsen indikerar att det är problem med att skriva eller uppdatera dessa data i minnet. Du kan åtgärda problemet genom att försöka inaktivera och sedan återaktivera tillbakaskrivning av lösenord för att tvinga fram en omskrivning av den här konfigurationsfilen. |
| 32008 | ValidationError | Den här händelsen anger att vi fick ett ogiltigt svar från webbtjänsten för lösenordsåterställning. Du kan åtgärda problemet genom att inaktivera och sedan återaktivera tillbakaskrivning av lösenord. |
| 32009 | AuthTokenError | Den här händelsen anger att det inte gick att hämta en auktoriseringstoken för hybridadministratörskontot som angavs under installationen av Microsoft Entra Connect. Det här felet kan orsakas av ett felaktigt användarnamn eller lösenord som angetts för hybridadministratörskontot. Det här felet kan också inträffa om det angivna hybridadministratörskontot är federerat. Du kan åtgärda problemet genom att köra konfigurationen igen med rätt användarnamn och lösenord och se till att administratören är ett hanterat konto (endast moln eller lösenordssynkronisering). |
| 32010 | CryptoError | Den här händelsen anger att det uppstod ett fel när lösenordskrypteringsnyckeln skulle genereras eller ett lösenord som hämtas från molntjänsten dekrypteras. Det här felet indikerar sannolikt ett problem med din miljö. Titta på informationen i händelseloggen om du vill veta mer om hur du löser problemet. Du kan också prova att inaktivera och sedan återaktivera tillbakaskrivningstjänsten för lösenord. |
| 32011 | OnBoardingServiceError | Den här händelsen anger att den lokala tjänsten inte kunde kommunicera korrekt med webbtjänsten för lösenordsåterställning för att initiera registreringsprocessen. Detta kan inträffa som ett resultat av en brandväggsregel eller om det uppstår ett problem med att hämta en autentiseringstoken för din klientorganisation. Åtgärda problemet genom att se till att du inte blockerar utgående anslutningar via TCP 443 och TCP 9350-9354 eller till https://ssprdedicatedsbprodncu.servicebus.windows.net. Se också till att det Microsoft Entra-administratörskonto som du använder för att registrera inte är federerat. |
| 32013 | OffBoardingError | Den här händelsen anger att den lokala tjänsten inte kunde kommunicera korrekt med webbtjänsten för lösenordsåterställning för att initiera offboarding-processen. Detta kan inträffa till följd av en brandväggsregel eller om det uppstår problem med att hämta en auktoriseringstoken för din klientorganisation. Åtgärda det här problemet genom att se till att du inte blockerar utgående anslutningar över 443 eller till https://ssprdedicatedsbprodncu.servicebus.windows.netoch att det Microsoft Entra-administratörskonto som du använder för att avregistrera inte är federerat. |
| 32014 | ServiceBusWarning | Den här händelsen anger att vi var tvungna att försöka ansluta till din klientorganisations Service Bus-instans igen. Under normala förhållanden bör detta inte vara ett problem, men om du ser den här händelsen många gånger bör du överväga att kontrollera nätverksanslutningen till Service Bus, särskilt om det är en anslutning med hög latens eller låg bandbredd. |
| 32015 | ReportServiceHealthError | För att övervaka hälsotillståndet för tjänsten för tillbakaskrivning av lösenord skickar vi pulsslagsdata till webbtjänsten för lösenordsåterställning var femte minut. Den här händelsen anger att det uppstod ett fel när den här hälsoinformationen skulle skickas tillbaka till molnwebbtjänsten. Den här hälsoinformationen innehåller inga personliga data och är enbart en pulsslags- och grundläggande tjänststatistik så att vi kan tillhandahålla tjänststatusinformation i molnet. |
| 33001 | ADUnKnownError | Den här händelsen anger att ett okänt fel returnerades av Active Directory. Mer information finns i händelseloggen för Microsoft Entra Connect-servern för händelser från ADSync-källan. |
| 33002 | ADUserNotFoundError | Den här händelsen anger att användaren som försöker återställa eller ändra ett lösenord inte hittades i den lokala katalogen. Det här felet kan inträffa när användaren har tagits bort lokalt men inte i molnet. Det här felet kan också inträffa om det finns ett problem med synkroniseringen. Mer information finns i synkroniseringsloggarna och de senaste synkroniseringskörningsuppgifterna. |
| 33003 | ADMutliMatchError | När en begäran om lösenordsåterställning eller ändring kommer från molnet använder vi molnankaret som angavs under installationsprocessen för Microsoft Entra Connect för att fastställa hur begäran ska länkas tillbaka till en användare i din lokala miljö. Den här händelsen anger att vi hittade två användare i din lokala katalog med samma molnankarattribut. Mer information finns i synkroniseringsloggarna och de senaste synkroniseringskörningsuppgifterna. |
| 33004 | ADPermissionsError | Den här händelsen anger att ADMA-tjänstkontot (Active Directory Management Agent) inte har rätt behörighet för kontot i fråga för att ange ett nytt lösenord. Kontrollera att ADMA-kontot i användarens skog har återställt lösenordsbehörigheter för alla objekt i skogen. Mer information om hur du anger behörigheter finns i Steg 4: Konfigurera lämpliga Active Directory-behörigheter. Det här felet kan också inträffa när användarens attribut AdminCount är inställt på 1. |
| 33005 | ADUserAccountDisabled | Den här händelsen anger att vi försökte återställa eller ändra ett lösenord för ett konto som har inaktiverats lokalt. Aktivera kontot och försök igen. |
| 33006 | ADUserAccountLockedOut | Den här händelsen anger att vi försökte återställa eller ändra ett lösenord för ett konto som var utelåst lokalt. Utelåsningar kan inträffa när en användare har provat en ändrings- eller återställningsåtgärd för många gånger under en kort period. Lås upp kontot och försök igen. |
| 33007 | ADUserIncorrectPassword | Den här händelsen anger att användaren angav ett felaktigt aktuellt lösenord när han eller hon utförde en lösenordsändringsåtgärd. Ange rätt aktuellt lösenord och försök igen. |
| 33008 | ADPasswordPolicyError | Den här händelsen inträffar när tjänsten för tillbakaskrivning av lösenord försöker ange ett lösenord i din lokala katalog som inte uppfyller lösenordsåldern, historiken, komplexiteten eller filtreringskraven för domänen. Om du har en lägsta lösenordsålder och nyligen har ändrat lösenordet inom den tidsperioden kan du inte ändra lösenordet igen förrän det når den angivna åldern i din domän. I testsyfte ska minimiåldern vara 0. Om du har aktiverat krav för lösenordshistorik måste du välja ett lösenord som inte har använts under de senaste N gångerna, där N är inställningen för lösenordshistorik. Om du väljer ett lösenord som har använts under de senaste N gångerna visas ett fel i det här fallet. I testsyfte ska lösenordshistoriken anges till 0. Om du har krav på lösenordskomplexitet tillämpas alla när användaren försöker ändra eller återställa ett lösenord. Om du har aktiverat lösenordsfilter och en användare väljer ett lösenord som inte uppfyller filtreringsvillkoren misslyckas återställnings- eller ändringsåtgärden. |
| 33009 | ADConfigurationError | Den här händelsen indikerar att det uppstod ett problem med att skriva tillbaka ett lösenord till din lokala katalog på grund av ett konfigurationsproblem med Active Directory. I Microsoft Entra Connect-datorns programhändelselogg finns meddelanden från ADSync-tjänsten om du vill ha mer information om vilket fel som uppstod. |
Organisationsenhetstecken reserverade från tillbakaskrivning av lösenord
I följande tabell visas reserverade tecken som förhindrar tillbakaskrivning av lösenord. Om dessa tecken visas i din lokala organisationsenhetsstruktur (OU) kan tillbakaskrivning av lösenord misslyckas med händelse-ID 33001.
| Reserverat tecken | Beskrivning | Hexvärde |
|---|---|---|
| blanksteg eller #-tecken i början av en sträng | ||
| blankstegstecken i slutet av en sträng | ||
| , | komma | 0x2C |
| + | plustecken | 0x2B |
| " | citationstecken | 0x22 |
| \ | omvänt snedstreck | 0x5C |
| < | vänster vinkelparentes | 0x3C |
| > | höger vinkelparentes | 0x3E |
| ; | semikolon | 0x3B |
| LF | radmatning | 0x0A |
| HP | vagnretur | 0x0D |
| = | likhetstecken | 0x3D |
| / | Snedstreck | 0x2F |
Microsoft Entra-forum
Om du har allmänna frågor om Microsoft Entra-ID och lösenordsåterställning via självbetjäning kan du be communityn om hjälp på microsofts Q&A-frågesida för Microsoft Entra-ID. Medlemmar i communityn är ingenjörer, produktchefer, MVP:er och it-proffskollegor.
Kontakta Microsofts support
Om du inte hittar svaret på ett problem är våra supportteam alltid tillgängliga för att hjälpa dig ytterligare.
För att hjälpa dig på rätt sätt ber vi dig att ange så mycket information som möjligt när du öppnar ett ärende. Den här informationen omfattar följande:
- Allmän beskrivning av felet: Vad är felet? Vad var det beteende som märktes? Hur återskapar vi felet? Ange så mycket information som möjligt.
- Sida: Vilken sida var du på när du märkte felet? Inkludera URL:en om du kan och en skärmbild av sidan.
- Supportkod: Vilken supportkod genererades när användaren såg felet?
Om du vill hitta den här koden återskapar du felet, väljer sedan länken Supportkod längst ned på skärmen och skickar det GUID som resulterar i supportteknikern.
Om du är på en sida utan stödkod längst ned väljer du F12 och söker efter SID och CID och skickar dessa två resultat till supportteknikern.
- Datum, tid och tidszon: Inkludera exakt datum och tid med tidszonen som felet inträffade.
- Användar-ID: Vem var användaren som såg felet? Ett exempel är user@contoso.com.
- Är det här en federerad användare?
- Är detta en direktautentiseringsanvändare?
- Är det här en lösenordshash-synkroniserad användare?
- Är det här en användare som endast är molnbaserad?
- Licensiering: Har användaren tilldelats en Microsoft Entra-ID-licens?
- Händelselogg för program: Om du använder tillbakaskrivning av lösenord och felet finns i den lokala infrastrukturen ska du inkludera en zippad kopia av programhändelseloggen från Microsoft Entra Connect-servern.
Nästa steg
Mer information om SSPR finns i How it works: Microsoft Entra self-service password reset or How does self-service password reset writeback work in Microsoft Entra ID?.