Microsoft Entra Connect Sync eşitlemesi ile parola karması eşitleme sorunlarını giderme
Bu konu, parola karması eşitleme sorunlarını giderme adımları sağlar. Parolalar beklendiği gibi eşitlenmiyorsa, bir kullanıcı alt kümesi veya tüm kullanıcılar için olabilir.
1.1.614.0 veya sonraki bir sürüme sahip Microsoft Entra Bağlan dağıtımı için, parola karması eşitleme sorunlarını gidermek için sihirbazdaki sorun giderme görevini kullanın:
Hiçbir parolanın eşitlenmediği bir sorununuz varsa, Parola eşitlenmedi: sorun giderme görevi bölümünü kullanarak sorun giderme bölümüne bakın.
Tek tek nesnelerle ilgili bir sorununuz varsa, Sorun giderme görevi bölümünü kullanarak One nesnesi parolaları eşitlemiyor: sorun giderme bölümüne bakın.
1.1.524.0 veya sonraki bir sürümle dağıtım için, parola karması eşitleme sorunlarını gidermek için kullanabileceğiniz bir tanılama cmdlet'i vardır:
Hiçbir parolanın eşitlenmediği bir sorununuz varsa, Parola eşitlenmedi: tanılama cmdlet'ini kullanarak sorun giderme bölümüne bakın.
Tek tek nesnelerle ilgili bir sorununuz varsa, Tanılama cmdlet'ini kullanarak One nesnesi parolaları eşitlemiyor: sorun giderme bölümüne bakın.
Microsoft Entra Bağlan dağıtımının eski sürümleri için:
Hiçbir parolanın eşitlenmediği bir sorununuz varsa, Parola eşitlenmedi: el ile sorun giderme adımları bölümüne bakın.
Tek tek nesnelerle ilgili bir sorununuz varsa, One nesnesi parolaları eşitlemiyor: el ile sorun giderme adımları bölümüne bakın.
Hiçbir parola eşitlenmedi: Sorunu çözmek için sorun giderme görevini kullanın
Hiçbir parolanın neden eşitlenmedığını bulmak için sorun giderme görevini kullanabilirsiniz.
Not
Sorun giderme görevi yalnızca Microsoft Entra Bağlan sürüm 1.1.614.0 veya üzeri için kullanılabilir.
Sorun giderme görevini çalıştırma
Hiçbir parolanın eşitlenmediği sorunları gidermek için:
Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.
Set-ExecutionPolicy RemoteSigned
veyaSet-ExecutionPolicy Unrestricted
komutunu çalıştırın.Microsoft Entra Bağlan sihirbazını başlatın.
Ek Görevler sayfasına gidin, Sorun Gider'i seçin ve İleri'ye tıklayın.
Sorun Giderme sayfasında Başlat'a tıklayarak PowerShell'de sorun giderme menüsünü başlatın.
Ana menüde Parola karması eşitleme sorunlarını giderme'yi seçin.
Alt menüde Parola karması eşitlemesi hiç çalışmıyor'ı seçin.
Sorun giderme görevinin sonuçlarını anlama
Sorun giderme görevi aşağıdaki denetimleri gerçekleştirir:
Parola karması eşitleme özelliğinin Microsoft Entra kiracınız için etkinleştirildiğini doğrular.
Microsoft Entra Bağlan sunucusunun hazırlama modunda olmadığını doğrular.
Mevcut her şirket içi Active Directory bağlayıcısı için (mevcut bir Active Directory ormanına karşılık gelir):
Parola karması eşitleme özelliğinin etkinleştirildiğini doğrular.
Windows Uygulaması Olay günlüklerinde parola karması eşitleme sinyal olaylarını arar.
şirket içi Active Directory bağlayıcısı altındaki her Active Directory etki alanı için:
Etki alanına Microsoft Entra Bağlan sunucusundan erişilebilir olduğunu doğrular.
şirket içi Active Directory bağlayıcısı tarafından kullanılan Active Directory Etki Alanı Hizmetleri (AD DS) hesaplarının parola karması eşitlemesi için gereken doğru kullanıcı adı, parola ve izinlere sahip olduğunu doğrular.
Aşağıdaki diyagramda, tek etki alanı şirket içi Active Directory topolojisi için cmdlet'in sonuçları gösterilmektedir:
Bu bölümün geri kalanında, görev tarafından döndürülen belirli sonuçlar ve ilgili sorunlar açıklanmaktadır.
Parola karması eşitleme özelliği etkin değil
Microsoft Entra Bağlan sihirbazını kullanarak parola karması eşitlemesini etkinleştirmediyseniz aşağıdaki hata döndürülür:
Microsoft Entra Bağlan sunucusu hazırlama modunda
Microsoft Entra Bağlan sunucusu hazırlama modundaysa, parola karması eşitlemesi geçici olarak devre dışı bırakılır ve aşağıdaki hata döndürülür:
Parola karması eşitleme sinyal olayı yok
Her şirket içi Active Directory bağlayıcının kendi parola karması eşitleme kanalı vardır. Parola karması eşitleme kanalı oluşturulduğunda ve eşitlenecek parola değişikliği olmadığında, Windows Uygulama Olay Günlüğü altında her 30 dakikada bir sinyal olayı (EventId 654) oluşturulur. Her şirket içi Active Directory bağlayıcısı için cmdlet, son üç saat içinde ilgili sinyal olaylarını arar. Sinyal olayı bulunmazsa aşağıdaki hata döndürülür:
AD DS hesabının doğru izinleri yok
parola karmalarını eşitlemek için şirket içi Active Directory bağlayıcısı tarafından kullanılan AD DS hesabı uygun izinlere sahip değilse, aşağıdaki hata döndürülür:
Yanlış AD DS hesabı kullanıcı adı veya parolası
şirket içi Active Directory bağlayıcısı tarafından parola karmalarını eşitlemek için kullanılan AD DS hesabının kullanıcı adı veya parolası yanlışsa, aşağıdaki hata döndürülür:
Bir nesne parolaları eşitlemiyor: Sorunu çözmek için sorun giderme görevini kullanın
Bir nesnenin parolaları neden eşitlemediğini belirlemek için sorun giderme görevini kullanabilirsiniz.
Not
Sorun giderme görevi yalnızca Microsoft Entra Bağlan sürüm 1.1.614.0 veya üzeri için kullanılabilir.
Tanılama cmdlet'ini çalıştırma
Belirli bir kullanıcı nesnesiyle ilgili sorunları gidermek için:
Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.
Set-ExecutionPolicy RemoteSigned
veyaSet-ExecutionPolicy Unrestricted
komutunu çalıştırın.Microsoft Entra Bağlan sihirbazını başlatın.
Ek Görevler sayfasına gidin, Sorun Gider'i seçin ve İleri'ye tıklayın.
Sorun Giderme sayfasında Başlat'a tıklayarak PowerShell'de sorun giderme menüsünü başlatın.
Ana menüde Parola karması eşitleme sorunlarını giderme'yi seçin.
Alt menüde Parola belirli bir kullanıcı hesabı için eşitlenmedi'yi seçin.
Sorun giderme görevinin sonuçlarını anlama
Sorun giderme görevi aşağıdaki denetimleri gerçekleştirir:
Active Directory bağlayıcı alanı, Metaverse ve Microsoft Entra bağlayıcısı alanında Active Directory nesnesinin durumunu inceler.
Parola karması eşitlemesi etkin ve Active Directory nesnesine uygulanmış eşitleme kuralları olduğunu doğrular.
Nesnenin parolasını eşitlemeye yönelik son denemenin sonuçlarını almayı ve görüntülemeyi dener.
Aşağıdaki diyagramda, tek bir nesne için parola karması eşitleme sorunlarını giderirken cmdlet'in sonuçları gösterilmektedir:
Bu bölümün geri kalanında cmdlet tarafından döndürülen belirli sonuçlar ve ilgili sorunlar açıklanmaktadır.
Active Directory nesnesi Microsoft Entra Id'ye aktarılmıyor
Bu şirket içi Active Directory hesabı için parola karması eşitlemesi, Microsoft Entra kiracısında karşılık gelen nesne olmadığından başarısız oluyor. Aşağıdaki hata döndürülür:
Kullanıcının geçici parolası var
Microsoft Entra Bağlan'ın eski sürümleri, geçici parolaların Microsoft Entra Kimliği ile eşitlenmesini desteklemedi. şirket içi Active Directory kullanıcıda Sonraki oturum açmada parolayı değiştir seçeneği ayarlanırsa parola geçici olarak kabul edilir. Bu eski sürümlerde aşağıdaki hata döndürülür:
Geçici parolaların eşitlenmesini etkinleştirmek için Microsoft Entra Bağlan sürüm 2.0.3.0 veya üzeri yüklü olmalı ve ForcePasswordChangeOnLogon özelliği etkinleştirilmelidir.
Parola eşitlemeye son denemenin sonuçları kullanılamıyor
Varsayılan olarak, Microsoft Entra Bağlan yedi gün boyunca parola karması eşitleme girişimlerinin sonuçlarını depolar. Seçili Active Directory nesnesi için kullanılabilir sonuç yoksa aşağıdaki uyarı döndürülür:
Hiçbir parola eşitlenmedi: Sorunu çözmek için diagnostic cmdlet’ini kullanın
Hiçbir parolanın Invoke-ADSyncDiagnostics
neden eşitlenmedığını bulmak için cmdlet'ini kullanabilirsiniz.
Not
Invoke-ADSyncDiagnostics
Cmdlet yalnızca Microsoft Entra Bağlan sürüm 1.1.524.0 veya üzeri için kullanılabilir.
Tanılama cmdlet'ini çalıştırma
Hiçbir parolanın eşitlenmediği sorunları gidermek için:
Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.
Set-ExecutionPolicy RemoteSigned
veyaSet-ExecutionPolicy Unrestricted
komutunu çalıştırın.Import-Module ADSyncDiagnostics
öğesini çalıştırın.Invoke-ADSyncDiagnostics -PasswordSync
öğesini çalıştırın.
Bir nesne parolaları eşitlemiyor: Sorunu çözmek için diagnostic cmdlet’ini kullanın
Bir nesnenin Invoke-ADSyncDiagnostics
parolaları neden eşitlemediğini belirlemek için cmdlet'ini kullanabilirsiniz.
Not
Invoke-ADSyncDiagnostics
Cmdlet yalnızca Microsoft Entra Bağlan sürüm 1.1.524.0 veya üzeri için kullanılabilir.
Tanılama cmdlet'ini çalıştırma
Kullanıcı için hiçbir parolanın eşitlenmediği sorunları gidermek için:
Microsoft Entra Bağlan sunucunuzda Yönetici istrator olarak çalıştır seçeneğiyle yeni bir Windows PowerShell oturumu açın.
Set-ExecutionPolicy RemoteSigned
veyaSet-ExecutionPolicy Unrestricted
komutunu çalıştırın.Import-Module ADSyncDiagnostics
'i çalıştırın.Aşağıdaki cmdlet'i çalıştırın:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
Örneğin:
Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
Hiçbir parola eşitlenmedi: El ile sorun giderme adımları
Hiçbir parolanın neden eşitlenmediğini belirlemek için şu adımları izleyin:
Bağlan sunucusu hazırlama modunda mı? Hazırlama modundaki bir sunucu hiçbir parolayı eşitlemez.
Parola eşitleme ayarlarının durumunu alma bölümünde betiği çalıştırın. Parola eşitleme yapılandırmasına genel bir bakış sağlar.
Özellik Microsoft Entra Id'de etkinleştirilmediyse veya eşitleme kanalı durumu etkin değilse, Bağlan yükleme sihirbazını çalıştırın. Eşitleme seçeneklerini özelleştir'i seçin ve parola eşitleme seçimini kaldırın. Bu değişiklik özelliği geçici olarak devre dışı bırakır. Ardından sihirbazı yeniden çalıştırın ve parola eşitlemeyi yeniden etkinleştirin. Yapılandırmanın doğru olduğunu doğrulamak için betiği yeniden çalıştırın.
Hata için olay günlüğüne bakın. Bir sorunu gösteren aşağıdaki olayları arayın:
Kaynak: "Dizin eşitlemesi"
Kimlik: 0, 611, 652, 655Bu olayları görürseniz bir bağlantı sorununuz vardır. Olay günlüğü iletisi, sorun yaşadığınız orman bilgilerini içerir.
Sinyal görmüyorsanız veya başka bir şey çalışmıyorsa Tüm parolaların tam eşitlemesini tetikle'yi çalıştırın. Betiği yalnızca bir kez çalıştırın.
Parolaları eşitlemeyen bir nesneyle ilgili sorunları giderme bölümüne bakın.
Bağlan üretkenlik sorunları
Microsoft Entra Id ile bağlantınız var mı?
Hesap, tüm etki alanlarındaki parola karmalarını okumak için gerekli izinlere sahip mi? express ayarlarını kullanarak Bağlan yüklediyseniz, izinler zaten doğru olmalıdır.
Özel yükleme kullandıysanız, aşağıdakileri yaparak izinleri el ile ayarlayın:
Active Directory bağlayıcısı tarafından kullanılan hesabı bulmak için Eşitleme Hizmeti Yöneticisi'ni başlatın.
Bağlan or'a gidin ve sorun giderdiğiniz şirket içi Active Directory ormanı arayın.
Bağlayıcıyı seçin ve özellikler'e tıklayın.
Active Directory Ormanı'na Bağlan gidin.
Kullanıcı adını ve hesabın bulunduğu etki alanını not edin.Active Directory Kullanıcıları ve Bilgisayarları başlatın ve daha önce bulduğunuz hesabın ormanınızdaki tüm etki alanlarının kökünde ayarlanmış aşağıdaki izinlere sahip olduğunu doğrulayın:
- Dizin Değişikliklerini Çoğaltma
- Dizin Değişikliklerini Çoğaltma Tümü
Etki alanı denetleyicilerine Microsoft Entra Bağlan tarafından erişilebilir mi? Bağlan sunucusu tüm etki alanı denetleyicilerine bağlanamıyorsa Yalnızca tercih edilen etki alanı denetleyicisini kullan'ı yapılandırın.
Eşitleme Hizmeti Yöneticisi'ne geri dönün ve Dizin Bölümünü Yapılandırın.
Dizin bölümlerini seçin bölümünde etki alanınızı seçin, Yalnızca tercih edilen etki alanı denetleyicilerini kullan onay kutusunu seçin ve yapılandır'a tıklayın.
Listeye, parola eşitleme için Bağlan kullanılması gereken etki alanı denetleyicilerini girin. İçeri ve dışarı aktarma için de aynı liste kullanılır. Tüm etki alanlarınız için bu adımları uygulayın.
Not
Bu değişiklikleri uygulamak için Microsoft Entra ID Sync (AD Eşitleme) hizmetini yeniden başlatın.
- Betik sinyal olmadığını gösteriyorsa, Tüm parolaların tam eşitlemesini tetikleme bölümünde betiği çalıştırın.
Bir nesne parolaları eşitlemiyor: El ile sorun giderme adımları
Bir nesnenin durumunu gözden geçirerek parola karması eşitleme sorunlarını kolayca giderebilirsiniz.
Active Directory Kullanıcıları ve Bilgisayarları'da kullanıcıyı arayın ve ardından Kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekir onay kutusunun temizlendiğini doğrulayın.
Onay kutusu seçiliyse, kullanıcıdan oturum açmasını ve parolayı değiştirmesini isteyin. Geçici parolalar Microsoft Entra Id ile eşitlenmez.
Active Directory'de parola doğru görünüyorsa, eşitleme altyapısındaki kullanıcıyı izleyin. Kullanıcıyı şirket içi Active Directory'den Microsoft Entra Id'ye kadar takip ederek nesnede açıklayıcı bir hata olup olmadığını görebilirsiniz.
a. Eşitleme Hizmeti Yöneticisi'ni başlatın.
b. Bağlan orlar'a tıklayın.
c. Active Directory Bağlan veya kullanıcının bulunduğu yeri seçin.
d. Ara Bağlan veya Boşluk'a tıklayın.
e. Kapsam kutusunda DN veya Tutturucu'ya tıklayın ve ardından sorun giderdiğiniz kullanıcının tam DN'sini girin.
f. Aradığınız kullanıcıyı bulun ve tüm öznitelikleri görmek için Özellikler'e tıklayın. Kullanıcı arama sonucunda değilse, filtreleme kurallarınızı doğrulayın ve Kullanıcının Bağlan görünmesi için Uygula ve değişiklikleri doğrula'yı çalıştırdığınızdan emin olun.
r. Geçen haftaki nesnenin parola eşitleme ayrıntılarını görmek için Günlük'e tıklayın.
Nesne günlüğü boşsa, Microsoft Entra Bağlan Active Directory'den parola karmasını okuyamadı. Bağlan Ivity Errors ile sorun giderme işleminize devam edin. Başarı dışında bir değer görürseniz Parola eşitleme günlüğündeki tabloya bakın.
h. Köken sekmesini seçin ve PasswordSync sütunundaki en az bir eşitleme kuralının True olduğundan emin olun. Varsayılan yapılandırmada, eşitleme kuralının adı AD ' den Gelen - Kullanıcı HesabıEnabled şeklindedir.
i. Kullanıcı özniteliklerinin listesini görüntülemek için Meta Veri Kümesi Nesne Özellikleri'ne tıklayın.
CloudFiltered özniteliğinin mevcut olmadığını doğrulayın. Etki alanı özniteliklerinin (domainFQDN ve domainNetBios) beklenen değerlere sahip olduğundan emin olun.
j. Bağlan orlar sekmesine tıklayın. Hem şirket içi Active Directory hem de Microsoft Entra Kimliği bağlayıcıları gördüğünüzden emin olun.
k. Microsoft Entra Kimliğini temsil eden satırı seçin, Özellikler'e tıklayın ve ardından Köken sekmesine tıklayın. Bağlayıcı alanı nesnesinin PasswordSync sütununda True olarak ayarlanmış bir giden kuralı olmalıdır. Varsayılan yapılandırmada, eşitleme kuralının adı Microsoft Entra Id - User Join olarak adlandırılır.
Parola eşitleme günlüğü
Durum sütunu aşağıdaki değerlere sahip olabilir:
Çalıştırma Durumu | Açıklama |
---|---|
Başarılı | Parola başarıyla eşitlendi. |
FilteredByTarget | Parola, Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir olarak ayarlanır. Parola eşitlenmedi. |
NoTarget Bağlan ion | Meta veri bölmesinde veya Microsoft Entra bağlayıcısı alanında nesne yok. |
Source Bağlan orNotPresent | şirket içi Active Directory bağlayıcı alanında nesne bulunamadı. |
TargetNotExportedToDirectory | Microsoft Entra bağlayıcısı alanında bulunan nesne henüz dışarı aktarılmadı. |
MigratedCheckDetailsForMoreInfo | Günlük girdisi 1.0.9125.0 derlemesi öncesinde oluşturulmuş ve eski durumunda gösterilmiştir. |
Hata | Hizmet bilinmeyen bir hata döndürdü. |
Bilinmiyor | Bir grup parola karması işlenmeye çalışılırken bir hata oluştu. |
MissingAttribute | Microsoft Entra Domain Services tarafından gereken belirli öznitelikler (örneğin, Kerberos karması) kullanılamaz. |
RetryRequestedByTarget | Microsoft Entra Domain Services tarafından gereken belirli öznitelikler (örneğin, Kerberos karması) daha önce kullanılamıyordu. Kullanıcının parola karması yeniden eşitlenmesi denenir. |
Sorun gidermeye yardımcı olacak betikler
Parola eşitleme ayarlarının durumunu alma
Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
if ($aadConnectors.Count -eq 1)
{
$features = Get-ADSyncAADCompanyFeature
Write-Host
Write-Host "Password sync feature enabled in your Azure AD directory: " $features.PasswordHashSync
foreach ($adConnector in $adConnectors)
{
Write-Host
Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
Write-Host
Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
Write-Host
$pingEvents =
Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654 -After (Get-Date).AddHours(-3) |
Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
Sort-Object { $_.Time } -Descending
if ($pingEvents -ne $null)
{
Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
}
else
{
Write-Warning "No ping event found within last 3 hours."
}
Write-Host
Write-Host "Password sync channel status END ------------------------------------------------------- "
Write-Host
}
}
else
{
Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
}
}
Write-Host
if ($aadConnectors -eq $null)
{
Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
Write-Warning "No AD DS Connector was found."
}
Write-Host
Tüm parolaların tam eşitlemesini tetikleme
Not
Bu betiği yalnızca bir kez çalıştırın. Birden çok kez çalıştırmanız gerekiyorsa, sorun başka bir şeydir. Sorunu gidermek için Microsoft desteğine başvurun.
Aşağıdaki betiği kullanarak tüm parolaların tam eşitlemesini tetikleyebilirsiniz:
$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true