Resolver problemas da sincronização hash de palavras-passe com a Sincronização do Microsoft Entra Connect

Este tópico indica os passos para resolver problemas com a sincronização do hash de palavras-passe. Se as senhas não estiverem sincronizando conforme o esperado, pode ser para um subconjunto de usuários ou para todos os usuários.

Para implantação do Microsoft Entra Connect com versão 1.1.614.0 ou posterior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de hash de senha:

• Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Sem senhas são sincronizadas: solucionar problemas usando a tarefa de solução de problemas.

• Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: solucionar problemas usando a tarefa de solução de problemas.

Para implantação com a versão 1.1.524.0 ou posterior, há um cmdlet de diagnóstico que você pode usar para solucionar problemas de sincronização de hash de senha:

• Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Nenhuma senha está sincronizada: solucionar problemas usando o cmdlet de diagnóstico.

• Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: solucionar problemas usando o cmdlet de diagnóstico.

Para versões mais antigas da implantação do Microsoft Entra Connect:

• Se você tiver um problema em que nenhuma senha é sincronizada, consulte a seção Sem senhas são sincronizadas: etapas manuais de solução de problemas.

• Se você tiver um problema com objetos individuais, consulte a seção Um objeto não está sincronizando senhas: etapas manuais de solução de problemas.

Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize a tarefa de resolução de problemas

Você pode usar a tarefa de solução de problemas para descobrir por que nenhuma senha é sincronizada.

Executar a tarefa de solução de problemas

Para resolver problemas em que nenhuma palavra-passe é sincronizada:

1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

3. Inicie o assistente do Microsoft Entra Connect.

4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemase selecione Avançar.

5. Na página Solução de problemas, selecione Iniciar para iniciar o menu de solução de problemas no PowerShell.

6. No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.

7. No submenu, selecione A sincronização do hash de palavras-passe não funciona.

Compreender os resultados da tarefa de solução de problemas

A tarefa de solução de problemas executa as seguintes verificações:

• Valida se o recurso de sincronização de hash de senha está habilitado para seu locatário do Microsoft Entra.

• Valida que o servidor Microsoft Entra Connect não está no modo de preparação.

• Para cada conector do Ative Directory local existente (que corresponde a uma floresta existente do Ative Directory):

  • Valida que a função de sincronização do hash de palavras-passe está ativada.

  • Procura eventos de heartbeat de sincronização do hash de palavras-passe nos Registos de eventos da Aplicação Windows.

  • Para cada domínio do Ative Directory sob o conector do Ative Directory local:

    • Valida se o domínio pode ser acessado a partir do servidor Microsoft Entra Connect.

    • Valida que as contas do Active Directory Domain Services (AD DS) utilizadas pelo conector do Active Directory no local tem o nome de utilizador e a palavra-passe corretas, nem como as permissões necessárias para a sincronização do hash de palavras-passe.

O diagrama a seguir ilustra os resultados do cmdlet para uma topologia do Ative Directory local de domínio único:

O restante desta seção descreve resultados específicos que são retornados pela tarefa e problemas correspondentes.

O recurso de sincronização de hash de senha não está habilitado

Se você não tiver habilitado a sincronização de hash de senha usando o assistente do Microsoft Entra Connect, o seguinte erro será retornado:

O servidor Microsoft Entra Connect está no modo de preparo

Se o servidor Microsoft Entra Connect estiver no modo de preparação, a sincronização de hash de senha será temporariamente desabilitada e o seguinte erro será retornado:

Sem eventos de heartbeat da sincronização do hash de palavras-passe

Cada ligação do Active Directory no local tem o seu próprio canal de sincronização do hash de palavras-passe. Quando o canal de sincronização do hash de palavras-passe está estabelecido e não existem palavras-passe alteradas para sincronizar, é gerado um evento de heartbeat (EventId 654) a cada 30 minutos no Registo de Eventos da Aplicação Windows. Para cada conector do Ative Directory local, o cmdlet procura eventos de pulsação correspondentes nas últimas três horas. Se nenhum evento de pulsação for encontrado, o seguinte erro será retornado:

A conta do AD DS não tem permissões corretas

Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe não tiver as permissões corretas, será apresentado o seguinte erro:

Nome de utilizador ou palavra-passe incorretos da conta AD DS

Se a conta do AD DS utilizada pelo conector do Active Directory no local para sincronizar os hashes de palavras-passe tiver um nome de utilizador ou palavra-passe incorretos, será apresentado o seguinte erro:

Um objeto não está sincronizando senhas: solucionar problemas usando a tarefa de solução de problemas

Você pode usar a tarefa de solução de problemas para determinar por que um objeto não está sincronizando senhas.

Execute o cmdlet de diagnóstico

Para solucionar problemas de um objeto de usuário específico:

1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

3. Inicie o assistente do Microsoft Entra Connect.

4. Navegue até a página Tarefas Adicionais, selecione Solucionar problemase selecione Avançar.

5. Na página Solução de problemas, selecione Iniciar para iniciar o menu de solução de problemas no PowerShell.

6. No menu principal, selecione Resolver problemas com a sincronização do hash de palavras-passe.

7. No submenu, selecione Senha não está sincronizada para uma conta de usuário específica.

Compreender os resultados da tarefa de solução de problemas

A tarefa de solução de problemas executa as seguintes verificações:

• Examina o estado do objeto do Ative Directory no espaço do conector do Ative Directory, no Metaverso e no espaço do conector do Microsoft Entra.

• Valida a existência de regras de sincronização com a sincronização do hash de palavras-passe ativada e aplicada ao objeto do Active Directory.

• Tenta recuperar e exibir os resultados da última tentativa de sincronizar a senha do objeto.

O seguinte diagrama ilustra os resultados do cmdlet durante a resolução de problemas de sincronização do hash de palavras-passe para um único objeto:

O restante desta seção descreve os resultados específicos retornados pelo cmdlet e os problemas correspondentes.

O objeto do Ative Directory não é exportado para o Microsoft Entra ID

a sincronização de hash de senha para essa conta local do Ative Directory falha porque não há nenhum objeto correspondente no locatário do Microsoft Entra. O seguinte erro é retornado:

O usuário tem uma senha temporária

As versões mais antigas do Microsoft Entra Connect não suportavam a sincronização de palavras-passe temporárias com o Microsoft Entra ID. Uma senha é considerada temporária se a opção Alterar senha no próximo logon estiver definida no usuário do Ative Directory local. O seguinte erro é retornado com estas versões mais antigas:

Para habilitar sincronizações de senhas temporárias, você deve ter o Microsoft Entra Connect versão 2.0.3.0 ou superior instalado e o recurso ForcePasswordChangeOnLogon deve estar habilitado.

Os resultados da última tentativa de sincronizar a palavra-passe não estão disponíveis

Por padrão, o Microsoft Entra Connect armazena os resultados das tentativas de sincronização de hash de senha por sete dias. Se não houver resultados disponíveis para o objeto selecionado do Ative Directory, o seguinte aviso será retornado:

Nenhuma palavra-passe é sincronizada: para resolver o problema, utilize o cmdlet de diagnóstico

Você pode usar o Invoke-ADSyncDiagnostics cmdlet para descobrir por que nenhuma senha é sincronizada.

Execute o cmdlet de diagnóstico

Para resolver problemas em que nenhuma palavra-passe é sincronizada:

1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

3. Execute Import-Module ADSyncDiagnostics.

4. Execute Invoke-ADSyncDiagnostics -PasswordSync.

Um objeto não está sincronizando senhas: solucionar problemas usando o cmdlet de diagnóstico

Você pode usar o cmdlet Invoke-ADSyncDiagnostics para determinar por que um objeto não está sincronizando senhas.

Execute o cmdlet de diagnóstico

Para solucionar problemas em que nenhuma senha é sincronizada para um usuário:

1. Abra uma nova sessão do Windows PowerShell no servidor Microsoft Entra Connect com a opção Executar como administrador .

2. Executar Set-ExecutionPolicy RemoteSigned ou Set-ExecutionPolicy Unrestricted.

3. Execute Import-Module ADSyncDiagnostics.

4. Execute o seguinte cmdlet:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
   

   Por exemplo:

   Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
   

Nenhuma palavra-passe é sincronizada: passos de resolução de problemas manual

Siga estas etapas para determinar por que nenhuma senha é sincronizada:

1. O servidor Connect está no modo de preparação? Um servidor no modo de preparo não sincroniza nenhuma senha.

2. Execute o script na seção Obter o status das configurações de sincronização de senha. Ele fornece uma visão geral da configuração de sincronização de senha.

   

3. Se o recurso não estiver habilitado no Microsoft Entra ID ou se o status do canal de sincronização não estiver habilitado, execute o assistente de instalação do Connect. Selecione Personalizar opções de sincronização e desmarque a sincronização de senha. Essa alteração desativa temporariamente o recurso. Em seguida, execute o assistente novamente e reative a sincronização de senha. Execute o script novamente para verificar se a configuração está correta.

4. Procure erros no log de eventos. Procure os seguintes eventos, que indicariam um problema:

   Fonte: "Sincronização de diretórios"
   Identificação: 0, 611, 652, 655

   Se vir estes eventos, tem um problema de conectividade. A mensagem do log de eventos contém informações da floresta onde você tem um problema.

5. Se você não vir nenhuma pulsação ou se nada mais funcionou, execute Acionar uma sincronização completa de todas as senhas. Execute o script apenas uma vez.

6. Consulte a seção Solucionar problemas de um objeto que não está sincronizando senhas.

Problemas de conectividade

Você tem conectividade com o Microsoft Entra ID?

A conta tem as permissões necessárias para ler os hashes de palavras-passe em todos os domínios? Se você instalou o Connect usando as configurações Express, as permissões já devem estar corretas.

Se você usou a instalação personalizada, defina as permissões manualmente fazendo o seguinte:

1. Para localizar a conta usada pelo conector do Ative Directory, inicie o Gerenciador de Serviço de Sincronização.

2. Vá para Conectores e procure a floresta do Ative Directory local que você está solucionando.

3. Selecione o conector e, em seguida, selecione Propriedades.

4. Vá para Conectar-se à Floresta do Ative Directory.

   
   Observe o nome de usuário e o domínio onde a conta está localizada.

5. Inicie Usuários e Computadores do Ative Directory e verifique se a conta encontrada anteriormente tem as seguintes permissões definidas na raiz de todos os domínios da floresta:

   • Replicar Alterações do Diretório
   • Replicar Todas Alterações do Diretório

6. Os controladores de domínio podem ser acessados pelo Microsoft Entra Connect? Se o servidor Connect não puder se conectar a todos os controladores de domínio, configure Usar somente o controlador de domínio preferencial.

   

7. Volte para o Gerenciador de Serviço de Sincronização e Configure a Partição de Diretório.

8. Selecione o seu domínio em Selecionar partições de diretório, seleccione a caixa de seleção Usar apenas controladores de domínio preferenciais e depois clique em Configurar.

9. Na lista, insira os controladores de domínio que o Connect deve usar para sincronização de senha. A mesma lista também é usada para importação e exportação. Siga estas etapas para todos os seus domínios.

10. Se o script mostrar que não há pulsação, execute o script no Acionar uma sincronização completa de todas as senhas.

Um objeto não está sincronizando senhas: etapas manuais de solução de problemas

Pode facilmente resolver problemas de sincronização do hash de palavras-passe ao consultar o estado de um objeto.

1. Em Usuários e Computadores do Ative Directory, procure o usuário e verifique se a caixa de seleção Usuário deve alterar a senha no próximo logon está desmarcada.

   

   Se a caixa de seleção estiver marcada, peça ao usuário para entrar e alterar a senha. As senhas temporárias não são sincronizadas com o Microsoft Entra ID.

2. Se a senha parecer correta no Ative Directory, siga o usuário no mecanismo de sincronização. Seguindo o usuário do Ative Directory local para o Microsoft Entra ID, você pode ver se há um erro descritivo no objeto.

   a. Inicie o Gerenciador de Serviço de Sincronização.

   b. Selecione Conectores.

   c. Selecione o Conector do Ative Directory onde o usuário está localizado.

   d. Selecione Espaço do conector de pesquisa.

   e. Na caixa Escopo, selecione DN ou Âncora e insira o DN completo do usuário que você está solucionando.

   

   f. Localize o usuário que você está procurando e selecione Propriedades para ver todos os atributos. Se o utilizador não estiver no resultado da pesquisa, verifique as regras de filtragem e certifique-se de executar Aplicar e verificar as alterações para que o utilizador possa aparecer no Connect.

   g. Para ver os detalhes de sincronização de senha do objeto da semana passada, selecione Log.

   

   Se o log de objetos estiver vazio, o Microsoft Entra Connect não conseguiu ler o hash de senha do Ative Directory. Continue a solução de problemas com Erros de conectividade. Se você vir qualquer outro valor além de sucesso, consulte a tabela no Log de sincronização de senha.

   h. Selecione a guia linhagem e verifique se pelo menos uma regra de sincronização na coluna PasswordSync é True. Na configuração padrão, o nome da regra de sincronização é In from AD - User AccountEnabled.

   

   i. Selecione Propriedades do objeto Metaverso para exibir uma lista de atributos do usuário.

   

   Verifique se não há nenhum atributo cloudFiltered presente. Certifique-se de que os atributos de domínio (domainFQDN e domainNetBios) têm os valores esperados.

   j. Selecione a guia Conectores. Certifique-se de ver conectores para o Ative Directory local e o Microsoft Entra ID.

   

   k. Selecione a linha que representa Microsoft Entra ID, selecione Propriedadese, em seguida, selecione a guia Linhagem. O objeto de espaço do conector deve ter uma regra de saída na coluna PasswordSync definida como Verdadeiro. Na configuração padrão, o nome da regra de sincronização é out to Microsoft Entra ID - User Join.

   

Registo de sincronização de palavras-passe

A coluna de status pode ter os seguintes valores:

Scripts para ajudar na solução de problemas

Obter o status das configurações de sincronização de senha

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Acionar uma sincronização completa de todas as senhas

Você pode acionar uma sincronização completa de todas as senhas usando o seguinte script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Próximos passos

• Implementando a sincronização de hash de senha com o Microsoft Entra Connect Sync
• Microsoft Entra Connect Sync: Personalizando opções de sincronização
• Integrando suas identidades locais com o Microsoft Entra ID