Fehlerbehebung
Die folgenden Informationen sind für Administratoren gedacht, die für die Fehlerbehebung von Specops Password Sync verantwortlich sind. Bevor Sie die Aufgaben in diesem Leitfaden ausführen, stellen Sie bitte sicher, dass Sie Specops Password Sync korrekt installiert haben.
Best Practices
Installation Fehlerbehebung
Wenn Sie nach der anfänglichen Konfiguration Probleme haben, können Sie die folgende Liste verwenden, um zu überprüfen, ob die Komponenten korrekt verbunden sind:
- Überprüfen Sie, ob der Password Change Notifier auf allen Domänencontrollern installiert ist. Wie: Überprüfen Sie, ob der Dienst Specops Password Sync Notifier Service auf jedem Domänencontroller läuft. Sie finden dies in der Dienste-Anwendung oder Sie können den Dienst auf den Domänencontrollern mit PowerShell abfragen.
- Sehen Sie sich das Ereignisprotokoll auf dem Domänencontroller an, um zu überprüfen, ob der Domänencontroller neu gestartet wurde. Das Startereignis vom Notifier Filter und Notifier Service sollte im Ereignisprotokoll protokolliert werden. Wie: Ein Ereignis wird als Change Notifier Service mit der Ereignis-ID 152 im Anwendungsereignisprotokoll geschrieben.
- Überprüfen Sie, ob der Sync Server-Dienst auf dem Sync Server gestartet ist. Wie: Ein Ereignis wird als Sync Server mit der Ereignis-ID 150 im Anwendungsereignisprotokoll geschrieben.
- Überprüfen Sie, ob die folgende Konfiguration vorgenommen wurde:
- Sync Scope erstellt und Zielbenutzer unterhalb des Sync Scope platziert.
- Sync Server zum Sync Scope hinzugefügt.
- Sync Point erstellt und konfiguriert, um den Sync Server zu verwenden.
- Specops Password Sync GPO erstellt, konfiguriert, um den Sync Point zu verwenden, und verknüpft, um den Zielbenutzer zu beeinflussen.
Komponenten Fehlerbehebung
Wenn Sie nach der anfänglichen Konfiguration und Installation weiterhin Probleme haben, können Sie das Verfahren zur Fehlerbehebung bei Komponenten verwenden, um die Ursache des Problems zu identifizieren. Das folgende Verfahren folgt der Kette von Aktionen, die stattfinden, wenn ein Passwort geändert wird. Die folgenden Schritte erfordern ein Testkonto, das mit der Specops Password Sync Policy konfiguriert ist.
- Öffnen Sie auf dem ausgewählten Domänencontroller Active Directory-Benutzer und -Computer.
- Setzen Sie das Passwort des Testkontos zurück.
- Überwachen Sie das Anwendungsereignisprotokoll auf dem Domänencontroller. Das Ereignisprotokoll sollte Einträge vom Change Notifier Filter und Notifier Service enthalten, die anzeigen, dass das Passwort empfangen wurde.
- Überprüfen Sie, ob der Sync Server-Dienst läuft.
- Überwachen Sie das Ereignisprotokoll auf dem Sync Server. Das Ereignisprotokoll sollte einen Eintrag für den neuen Sync-Job enthalten.
Wenn Sie Diskrepanzen im Ereignisprotokoll festgestellt haben, können diese auf eines der folgenden Probleme zurückzuführen sein, die in der Kommunikation zwischen dem Change Notifier und dem Sync Server auftreten können:
- Firewall blockiert die Kommunikation: Der Change Notifier auf den Domänencontrollern muss sich mit dem Sync Server (Standardport tcp/4377) verbinden, um die Sync-Jobs zu übermitteln.
- Domänencontroller oder der Sync Server vertraut dem Zertifikat des Remote-Partners nicht: Der Sync-Server verwendet möglicherweise ein selbstsigniertes Zertifikat, dem die Domänencontroller nicht vertrauen.
Wenn Sie keine Probleme im Ereignisprotokoll identifizieren können, kann die Ursache des Problems außerhalb des Produkts liegen. Sie können den FileWriter-Anbieter verwenden, um das System zu testen.
Testen Sie das System mit dem File Writer-Anbieter
Der File Writer-Anbieter kann verwendet werden, um die Konfiguration der Specops Password Sync-Komponente zu testen. Wenn der File Writer eine Passwortänderungsanforderung erhält, schreibt er den Benutzernamen und einen Zeitstempel in eine Protokolldatei, sodass Sie überprüfen können, ob das System korrekt eingerichtet ist. Der File Writer-Anbieter kommuniziert nicht mit einem externen System.
Das File Writer-Installationspaket befindet sich im Verzeichnis, aus dem Sie das Specops Password Setup-Paket extrahiert haben (Standard: „C:\temp“). Der Pfad zum Installationspaket ist:
\Products\SpecopsPasswordSync\SpecopsPasswordSyncTestProviders-xXX.msi
Der File Writer-Anbieter sollte auf dem Sync Server installiert werden. Der Specops Password Sync Server-Dienst muss nach der Installation neu gestartet werden, um im Specops Password Sync Administration Tool sichtbar zu sein. Wenn der File Writer-Anbieter installiert wurde, können Sie das folgende Verfahren befolgen, um ihn zu testen:
-
Erstellen Sie einen neuen Sync Point und konfigurieren Sie ihn so, dass er den File Writer-Anbieter verwendet.
Hinweis
Sie müssen den Sync Server auswählen, auf dem der File Writer installiert ist.
-
Befolgen Sie das Verfahren zur Komponenten Fehlerbehebung, um das Passwort zurückzusetzen.
- Überwachen Sie die entsprechenden Ereignisprotokolle. Wenn das System funktioniert, sehen Sie eine Reihe von Einträgen, die anzeigen, dass der File Writer-Anbieter die Synchronisierung erfolgreich abgeschlossen hat.
Häufige Probleme
Passwort wird für Admin-Konto nicht synchronisiert
Mögliche Ursache
Specops Password Sync synchronisiert standardmäßig keine Passwortänderungen für privilegierte Konten. Dieses Standardverhalten ist eine gute Sicherheitsmaßnahme.
Mögliche Lösung
Um die Passwortsynchronisierung für Admin-Konten zu ermöglichen, müssen Sie diese Registrierungseinstellung manuell auf allen Domänencontrollern hinzufügen: Privilegierte Konten haben per Definition Zugriff auf kritische Geschäftsdaten und -systeme. Es ist oft wünschenswert, sicherzustellen, dass diese privilegierten Benutzer auf jedem System unterschiedliche komplexe Passwörter beibehalten. Die folgende Änderung sollte nicht vorgenommen werden, ohne die Sicherheitsimplikationen zu berücksichtigen.
- Navigieren Sie im Registrierungs-Editor zu
HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier. - Rechtsklick, wählen Sie Neu und klicken Sie auf DWORD (32-Bit) Wert.
- Geben Sie im Feld Wertname AllowSyncForAdministrators ein.
- Geben Sie im Feld Wertdaten 1 ein.
- Klicken Sie auf OK.
Ereignisprotokollierung
Die Specops Password Sync-Komponenten protokollieren die durchgeführten Operationen im Anwendungsprotokoll auf dem entsprechenden Server.
Finden Sie Ereignis-IDs in der Tabelle.
Passwort Change Notifier Filterereignisse
| Ereignistyp | ID | Beschreibung |
|---|---|---|
| Information | 150 | Filter wurde geladen. |
| Information | 151 | Eine Passwortänderung wird für den im Ereignisprotokoll angegebenen Benutzer vorgenommen. Diese Nachricht erscheint nur einmal pro Passwortänderung, auch wenn die Änderung von mehreren GPOs stammt und/oder mehrere Sync Points betrifft. |
| Information | 152 | Benutzer ist Mitglied einer Windows-geschützten Gruppe. Specops Password Sync synchronisiert die Passwörter von Benutzern, die Mitglieder geschützter Gruppen sind, nicht. Um diese Nachricht zu vermeiden, sollten Sie sicherstellen, dass geschützte Konten nicht von Specops Password Sync GPOs betroffen sind. |
| Warnung | 250 | Fehler beim Einreihen eines Passwort-Sync-Jobs. |
| Warnung | 251 | Die Richtlinie enthält keine Sync Points. |
| Warnung | 252 | Fehler beim Abrufen von Sync Points aus der Richtlinie. |
| Warnung | 253 | Die XML-Daten, die die Richtlinie enthalten, sind ungültig. |
| Warnung | 254 | Benutzer ist nicht im Verwaltungsbereich. |
| Warnung | 255 | Die Konfiguration für diesen Sync Point war ungültig. |
| Warnung | 256 | Der Sync Server für diesen Sync Point ist nicht berechtigt, innerhalb dieses Sync Scope verwendet zu werden. Dies ist ein unerwarteter Konfigurationsfehler. Öffnen Sie die Specops Password Sync Admin-Tools und aktualisieren Sie die gültigen Sync Server für den Bereich und die Sync Server, die für den Sync Point verwendet werden sollen. |
| Fehler | 350 | Fehler beim Initialisieren des Passwortfilters. |
| Fehler | 351 | Absturz beim Initialisieren des Passwortfilters. |
| Fehler | 352 | Ausnahme während der Passwortsynchronisierung. |
| Fehler | 353 | Ausnahme während der Passwortänderung. |
| Fehler | 354 | Absturz während der Passwortsynchronisierung. |
Change Notifier Dienstereignisse
| Ereignistyp | ID | Beschreibung |
|---|---|---|
| Information | 151 | Dienststart vom Dienststeuerungs-Manager initiiert. |
| Information | 152 | Dienststart abgeschlossen. |
| Information | 153 | Dienststopp vom Dienststeuerungs-Manager initiiert. |
| Information | 154 | Dienststopp abgeschlossen. |
| Information | 155 | Dienst hat begonnen, einen Sync Point zu bedienen. |
| Information | 156 | Dienst hat eine aktualisierte Sync Point-Konfiguration erkannt und begonnen, diese zu verwenden. |
| Information | 157 | Ein veralteter Sync Point-Warteschlangenordner wurde gelöscht. Dies geschieht beim Dienststart, wenn ein Warteschlangenordner für einen nicht mehr vorhandenen Sync Point erkannt wird. |
| Information | 158 | Lizenzprüfung gestartet. |
| Information | 159 | Lizenzprüfung abgeschlossen. |
| Information | 160 | Lizenz ist gültig. |
| Warnung | 251 | Notifier-Dienst konnte die Passwortänderungsbenachrichtigung nicht an den Sync Server senden. Dies wird wiederholt, bis die Benachrichtigung erfolgreich gesendet wurde. |
| Warnung | 252 | Es ist kein Sync Server für diesen Sync Scope definiert. Sie müssen die Sync Server(s) innerhalb des Sync Scope konfigurieren. |
| Warnung | 253 | Lizenz läuft bald ab oder wird überschritten. |
| Fehler | 350 | Eine Ausnahme ist im Notifier-Dienst aufgetreten. Dies ist ein unerwarteter Fehler, der dem Specops Support gemeldet werden sollte. |
| Fehler | 351 | Ein erwarteter Fehler ist für einen Sync Point aufgetreten. Dies ist ein unerwarteter Fehler, der dem Specops Support gemeldet werden sollte. |
| Fehler | 352 | Dienst konnte nicht gestartet werden. |
| Fehler | 353 | Ungültige Sync Point-Konfiguration. |
| Fehler | 354 | Fehler beim Verarbeiten einer Passwortänderung. |
| Fehler | 355 | Dienst hat die Bedienung eines Sync Points aufgrund einer Ausnahme eingestellt. |
| Fehler | 356 | Der Passwort Change Notifier-Filter ist nicht geladen und daher werden Passwortänderungen nicht synchronisiert. Dies tritt auf, wenn der Server nach der Installation nicht neu gestartet wurde. Sie müssen den Server neu starten. |
| Fehler | 357 | Sync Server-URL stimmt nicht mit dem DNS-Namen überein. Dies ist ein Konfigurationsfehler und Passwortänderungen für diesen Sync Point werden nicht synchronisiert. |
| Fehler | 358 | Der für diesen Sync Point angegebene Sync Server ist im Sync Scope nicht erlaubt. Im Specops Password Sync Administration Tool können Sie überprüfen, ob die angegebenen Sync Server als Sync Server für diesen Sync Scope aufgeführt sind. |
| Fehler | 359 | Fehler beim Lesen der Sync Point-Konfiguration. |
| Fehler | 360 | Lizenzprüfung fehlgeschlagen. |
| Fehler | 361 | Lizenz ist ungültig. |
| Fehler | 362 | Fehler beim Senden der Lizenz-E-Mail. |
| Fehler | 363 | Keine gültige Lizenz gefunden. |
Sync Server-Ereignisse
| Ereignistyp | ID | Beschreibung |
|---|---|---|
| Information | 150 | Specops Password Sync Server gestartet. |
| Information | 151 | Specops Password Sync Server gestoppt. |
| Information | 152 | Ein Passwort für einen Sync Point wurde aktualisiert. |
| Information | 153 | Die Gruppe „Domänencontroller“ wurde zur Gruppe „Specops Password Change Notifiers“ hinzugefügt. |
| Information | 154 | Die Gruppe "Domänencontroller" wurde nicht zur Gruppe "Specops Password Change Notifiers" hinzugefügt, da sie bereits hinzugefügt wurde. |
| Information | 155 | Eine erfolgreiche Passwortänderung wurde von einem Anbieter vorgenommen. |
| Information | 156 | Ein Anbieter wurde geladen. |
| Warnung | 250 | Ein gültiger Anbieter wurde nicht gefunden. |
| Warnung | 251 | E-Mail konnte nicht an Benutzer gesendet werden. |
| Fehler | 350 | Fehler beim Starten des Specops Password Sync Servers. |
| Fehler | 351 | Fehler beim Stoppen des Specops Password Sync Servers. |
| Fehler | 353 | Passwortänderungsereignis bezieht sich auf einen unbekannten Sync Point. |
| Fehler | 354 | Fehler beim Ändern des Passworts für einen Benutzer. |
| Fehler | 355 | Fehler beim Ändern des Passworts für einen Benutzer. Weitere Versuche werden nicht unternommen. |
| Fehler | 356 | Fehler beim Ändern des Passworts für einen Benutzer, da der konfigurierte Sync Point auf einen nicht unterstützten Anbieter verweist. |
| Fehler | 357 | Kein Passwort wurde für den Anbieter auf dem Sync Point konfiguriert. |
| Fehler | 358 | Fehler beim Transformieren des Benutzernamens. |
| Fehler | 359 | Konnte die Gruppe „Domänencontroller“ nicht zur Gruppe „Specops Password Change Notifiers“ finden. |
| Fehler | 360 | Konnte die Gruppe „Domänencontroller“ nicht zur Gruppe „Specops Password Change Notifiers“ hinzufügen. |
| Fehler | 362 | Fehler beim Laden des Anbieters. |
| Fehler | 363 | Fehler beim Senden der E-Mail. |
| Fehler | 365 | Ungültige SMTP-Konfiguration auf Sync Scope. |
| Fehler | 366 | Konnte Rücksetzungsdaten nicht verbrauchen. |
| Fehler | 367 | Fehler beim Laden der Metadaten für den Anbieter. |
| Fehler | 368 | Passwortänderung wurde vom Server abgelehnt. |
| Fehler | 369 | Fehler beim Ändern des Passworts, da der Sync Point eine ungültige Konfiguration für den Anbieter hat. |
| Fehler | 370 | Unbehandelte Ausnahme im Specops Password Sync Server aufgetreten. |
Debug-Protokollierung
Sie können die Komponenten von Specops Password Sync so konfigurieren, dass sie ihre internen Aktivitäten in ein ausführliches Debug-Protokoll protokollieren. Das Debug-Protokoll ermöglicht es Ihnen, die Ereignisse bis zum Fehler zu verfolgen. Die Debug-Protokollierung wird aktiviert, indem der entsprechende Registrierungsschlüssel von „0“ auf „1“ geändert wird. Zusätzliche Protokollierung wird durch die Verwendung der höheren Debug-Stufen „2“ oder „3“ zurückgegeben.
| Registrierungsschlüssel | Beschreibung |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Sync\Admin Tools\Debug | Steuert die Debug-Protokollierung für die Admin-Tools. Protokolldateien (SPS.AdminTools.log) werden unter %LocalAppData%\Specopssoft\ gespeichert. Standardwert = 0 Hinweis: Muss auf einem Computer aktiviert werden, auf dem die Administration Tools installiert sind. |
| HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier\Debug | Steuert die Debug-Protokollierung für den Change Notifier-Filter. Protokolldateien (spsflt*.log) werden unter %SystemRoot%\Debug\ gespeichert. Standardwert = 0 Hinweis: Muss auf dem Domänencontroller aktiviert werden. |
| HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifierService\Debug | Steuert die Debug-Protokollierung für den Change Notifier-Dienst. Protokolldateien (spsChangeNotifier*.log) werden unter %SystemRoot%\Debug\ gespeichert. Standardwert = 0 Hinweis: Muss auf dem Domänencontroller aktiviert werden. |
| HKLM\Software\Specopssoft\Specops Password Sync\Server\Debug | Steuert die Debug-Protokollierung für den Sync Server-Dienst. Der Standardpfad für Protokolldateien ist „C:\SPS.SyncServer.log“. Standardwert = 0 Hinweis: Muss auf dem Specops Password Sync Server aktiviert werden. |
Hinweis
Lassen Sie die Debug-Protokollierung nicht aktiviert, es sei denn, Sie benötigen sie. Ausführliche Protokollierung über einen längeren Zeitraum kann große Protokolldateien erstellen, die das Potenzial haben, Ihre Systemfestplattenpartition zu füllen.