Dépannage

Les informations ci-dessous sont destinées aux administrateurs responsables du dépannage de Specops Password Sync. Avant d'effectuer les tâches de ce guide, veuillez vous assurer que vous avez correctement installé Specops Password Sync.

Meilleures pratiques

Dépannage de l'installation

Si vous rencontrez des problèmes après la configuration initiale, vous pouvez utiliser la liste ci-dessous pour vérifier que les composants sont correctement connectés:

Vérifiez que le Notificateur de Changement de Mot de Passe a été installé sur tous les Contrôleurs de Domaine. Comment: Vérifiez que le service Specops Password Sync Notifier Service est en cours d'exécution sur chaque Contrôleur de Domaine. Vous pouvez trouver cela dans l'application Services ou vous pouvez interroger le service sur les Contrôleurs de Domaine en utilisant PowerShell.
Consultez le journal des événements sur le Contrôleur de Domaine pour vérifier que le Contrôleur de Domaine a été redémarré. L'événement de démarrage du Filtre de Notificateur et du Service de Notificateur doit être enregistré dans le journal des événements. Comment: Un événement sera écrit dans le journal des événements de l'application en tant que Change Notifier Service avec l'ID d'événement 152.
Vérifiez que le service du Serveur de Synchronisation est démarré sur le Serveur de Synchronisation. Comment: Un événement sera écrit dans le journal des événements de l'application en tant que Sync Server avec l'ID d'événement 150.
Vérifiez que la configuration suivante a été effectuée:
Portée de Synchronisation créée et utilisateur cible situé sous la Portée de Synchronisation.
Serveur de Synchronisation ajouté à la Portée de Synchronisation.
Point de Synchronisation créé et configuré pour utiliser le Serveur de Synchronisation.
GPO Specops Password Sync créé, configuré pour utiliser le Point de Synchronisation, et lié pour affecter l'utilisateur cible.

Dépannage des composants

Si vous rencontrez toujours des problèmes après la configuration et l'installation initiales, vous pouvez utiliser la procédure de dépannage des composants pour identifier la source du problème. La procédure ci-dessous suit la chaîne d'actions qui se produisent lorsqu'un mot de passe est modifié. Les étapes ci-dessous nécessitent un compte de test configuré avec la Politique Specops Password Sync.

Depuis le Contrôleur de Domaine sélectionné, ouvrez Utilisateurs et Ordinateurs Active Directory.
Réinitialisez le mot de passe du compte de test.
Surveillez le journal des événements de l'application sur le contrôleur de domaine. Le journal des événements doit contenir des entrées du Filtre de Notificateur de Changement et du service de Notificateur indiquant que le mot de passe a été reçu.
Vérifiez que le service du Serveur de Synchronisation est en cours d'exécution.
Surveillez le journal des événements sur le Serveur de Synchronisation. Le journal des événements doit contenir une entrée pour le nouveau travail de synchronisation.

Si vous avez identifié des divergences dans le journal des événements, elles peuvent être attribuées à l'un des problèmes suivants pouvant survenir dans la communication entre le Notificateur de Changement et le Serveur de Synchronisation:

Pare-feu bloquant la communication: Le Notificateur de Changement sur les contrôleurs de domaine doit se connecter au Serveur de Synchronisation (port par défaut tcp/4377) pour livrer les travaux de synchronisation.
Le Contrôleur de Domaine ou le Serveur de Synchronisation ne fait pas confiance au certificat du partenaire distant: Le Serveur de Synchronisation peut utiliser un certificat auto-signé qui n'est pas approuvé par les contrôleurs de domaine.

Si vous ne pouvez identifier aucun problème dans le journal des événements, la source du problème peut être en dehors du produit. Vous pouvez utiliser le fournisseur FileWriter pour tester le système.

Tester le système en utilisant le fournisseur File Writer

Le fournisseur File Writer peut être utilisé pour tester la configuration des composants Specops Password Sync. Lorsque le File Writer reçoit une demande de changement de mot de passe, il écrit le nom d'utilisateur et un horodatage dans un fichier journal, vous permettant de vérifier si le système est correctement configuré. Le fournisseur File Writer ne communique avec aucun système externe.

Le package d'installation du File Writer peut être trouvé dans le répertoire à partir duquel vous avez extrait le package d'installation de Specops Password (par défaut: “C:\temp”). Le chemin vers le package d'installation est: \Products\SpecopsPasswordSync\SpecopsPasswordSyncTestProviders-xXX.msi

Le fournisseur File Writer doit être installé sur le Serveur de Synchronisation. Le service Specops Password Sync Server doit être redémarré après l'installation afin d'être visible dans l'outil d'administration Specops Password Sync. Une fois le fournisseur File Writer installé, vous pouvez suivre la procédure ci-dessous pour le tester:

Créez un nouveau Point de Synchronisation et configurez-le pour utiliser le fournisseur File Writer.

Remarque

Vous devez sélectionner le Serveur de Synchronisation où le File Writer est installé.
Suivez la procédure de Dépannage des Composants pour réinitialiser le mot de passe.
Surveillez les journaux d'événements appropriés. Si le système fonctionne, vous verrez un certain nombre d'entrées indiquant que le fournisseur File Writer a réussi à terminer la synchronisation.

Problèmes courants

Le mot de passe ne se synchronise pas pour le compte administrateur

Cause possible

Specops Password Sync par défaut ne synchronisera pas les changements de mot de passe pour les comptes privilégiés. Ce comportement par défaut est une bonne pratique de sécurité.

Solution possible

Pour autoriser la synchronisation des mots de passe pour les comptes administrateurs, vous devrez ajouter manuellement ce paramètre de registre sur tous les Contrôleurs de Domaine: Les comptes privilégiés par définition ont accès à des données et systèmes critiques pour l'entreprise. Il est souvent souhaitable de s'assurer que ces utilisateurs privilégiés maintiennent des mots de passe complexes différents sur chaque système. La modification ci-dessous ne doit pas être effectuée sans prendre en compte les implications en matière de sécurité.

Depuis l'Éditeur du Registre, accédez à HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier.
Faites un clic droit, sélectionnez Nouveau, et cliquez sur Valeur DWORD (32 bits).
Dans le champ du nom de la valeur, entrez AllowSyncForAdministrators.
Dans le champ des données de la valeur, entrez 1.
Cliquez sur OK.

Journalisation des événements

Les composants Specops Password Sync enregistrent les opérations qui ont été effectuées dans le journal des applications sur le serveur approprié.

Trouvez les ID d'événement dans le tableau.

Événements du filtre de Notificateur de Changement de Mot de Passe

Type d'événement	ID	Description
Information	150	Le filtre a été chargé.
Information	151	Un changement de mot de passe aura lieu pour l'utilisateur indiqué dans le message du journal des événements. Ce message n'apparaîtra qu'une seule fois par changement de mot de passe, même si le changement provient de plusieurs GPO et/ou implique plusieurs Points de Synchronisation.
Information	152	L'utilisateur est membre d'un groupe protégé Windows. Specops Password Sync ne synchronise pas les mots de passe des utilisateurs qui sont membres de groupes protégés. Pour éviter ce message, vous devez vous assurer que les comptes protégés ne sont pas affectés par les GPO Specops Password Sync.
Avertissement	250	Échec de la mise en file d'attente d'un travail de synchronisation de mot de passe.
Avertissement	251	La politique ne contient aucun Point de Synchronisation.
Avertissement	252	Échec de l'obtention des Points de Synchronisation à partir de la politique.
Avertissement	253	Les données XML contenant la politique sont invalides.
Avertissement	254	L'utilisateur n'est pas dans le champ de gestion.
Avertissement	255	La configuration pour ce Point de Synchronisation était invalide.
Avertissement	256	Le Serveur de Synchronisation pour ce Point de Synchronisation n'est pas autorisé à être utilisé dans cette Portée de Synchronisation. Il s'agit d'une erreur de configuration inattendue. Ouvrez les outils d'administration Specops Password Sync et mettez à jour les Serveurs de Synchronisation valides pour la portée et les Serveurs de Synchronisation à utiliser pour le Point de Synchronisation.
Erreur	350	Échec de l'initialisation du filtre de mot de passe.
Erreur	351	Plantage lors de l'initialisation du filtre de mot de passe.
Erreur	352	Exception lors de la synchronisation du mot de passe.
Erreur	353	Exception lors du changement de mot de passe.
Erreur	354	Plantage lors de la synchronisation du mot de passe.

Événements du service de Notificateur de Changement

Type d'événement	ID	Description
Information	151	Démarrage du service initié par le gestionnaire de contrôle de service.
Information	152	Démarrage du service terminé.
Information	153	Arrêt du service initié par le gestionnaire de contrôle de service.
Information	154	Arrêt du service terminé.
Information	155	Le service a commencé à desservir un Point de Synchronisation.
Information	156	Le service a détecté une configuration de Point de Synchronisation mise à jour et a commencé à l'utiliser.
Information	157	Un dossier de file d'attente de Point de Synchronisation obsolète a été supprimé. Cela se produit lors du démarrage du service lorsqu'un dossier de file d'attente est détecté pour un Point de Synchronisation qui n'existe plus.
Information	158	Vérification de la licence commencée.
Information	159	Vérification de la licence terminée.
Information	160	La licence est valide.
Avertissement	251	Le service de notificateur n'a pas pu envoyer la notification de changement de mot de passe au Serveur de Synchronisation. Cela se répétera jusqu'à ce que la notification ait été envoyée avec succès.
Avertissement	252	Aucun Serveur de Synchronisation n'est défini pour cette Portée de Synchronisation. Vous devrez configurer le(s) Serveur(s) de Synchronisation dans la Portée de Synchronisation.
Avertissement	253	La licence est sur le point d'expirer ou d'être dépassée.
Erreur	350	Une exception s'est produite dans le service de notificateur. Il s'agit d'une erreur inattendue qui doit être signalée au support Specops.
Erreur	351	Une erreur attendue s'est produite pour un Point de Synchronisation. Il s'agit d'une erreur inattendue qui doit être signalée au support Specops.
Erreur	352	Échec du démarrage du service.
Erreur	353	Configuration de Point de Synchronisation invalide.
Erreur	354	Échec du traitement d'un changement de mot de passe.
Erreur	355	Le service a cessé de desservir un Point de Synchronisation en raison d'une exception.
Erreur	356	Le filtre de Notificateur de Changement de Mot de Passe n'est pas chargé et par conséquent les changements de mot de passe ne seront pas synchronisés. Cela se produit si le serveur n'a pas été redémarré après l'installation. Vous devrez redémarrer le serveur.
Erreur	357	L'URL du Serveur de Synchronisation ne correspond pas au nom DNS. Il s'agit d'une erreur de configuration et les changements de mot de passe pour ce Point de Synchronisation ne seront pas synchronisés.
Erreur	358	Le Serveur de Synchronisation spécifié pour ce Point de Synchronisation n'est pas autorisé dans la Portée de Synchronisation. Depuis l'outil d'administration Specops Password Sync, vous pouvez vérifier que le(s) Serveur(s) de Synchronisation spécifié(s) sont répertoriés comme Serveurs de Synchronisation pour cette Portée de Synchronisation.
Erreur	359	Échec de la lecture de la configuration du Point de Synchronisation.
Erreur	360	Échec de la vérification de la licence.
Erreur	361	La licence est invalide.
Erreur	362	Échec de l'envoi de l'email de licence.
Erreur	363	Aucune licence valide n'a été trouvée.

Événements du Serveur de Synchronisation

Type d'événement	ID	Description
Information	150	Serveur Specops Password Sync démarré.
Information	151	Serveur Specops Password Sync arrêté.
Information	152	Un mot de passe pour un point de synchronisation a été mis à jour.
Information	153	Le groupe “Contrôleurs de Domaine” a été ajouté au groupe “Specops Password Change Notifiers”.
Information	154	Le groupe "Contrôleurs de Domaine" n'a pas été ajouté au groupe "Specops Password Change Notifiers" car il est déjà ajouté.
Information	155	Un changement de mot de passe réussi a été effectué par un fournisseur.
Information	156	Un fournisseur a été chargé.
Avertissement	250	Aucun fournisseur valide n'a été trouvé.
Avertissement	251	Impossible d'envoyer l'email à l'utilisateur.
Erreur	350	Échec du démarrage du Serveur Specops Password Sync.
Erreur	351	Échec de l'arrêt du Serveur Specops Password Sync.
Erreur	353	Événement de changement de mot de passe se référant à un Point de Synchronisation inconnu.
Erreur	354	Échec du changement de mot de passe pour un utilisateur.
Erreur	355	Échec du changement de mot de passe pour un utilisateur. Aucune autre tentative ne sera effectuée.
Erreur	356	Échec du changement de mot de passe pour un utilisateur car le Point de Synchronisation configuré se réfère à un fournisseur non pris en charge.
Erreur	357	Aucun mot de passe n'a été configuré pour le fournisseur sur le Point de Synchronisation.
Erreur	358	Échec de la transformation du nom d'utilisateur.
Erreur	359	Impossible de trouver le groupe “Contrôleurs de Domaine” pour le groupe “Specops Password Change Notifiers”.
Erreur	360	Impossible d'ajouter le groupe “Contrôleurs de Domaine” au groupe “Specops Password Change Notifiers”.
Erreur	362	Échec du chargement du fournisseur.
Erreur	363	Échec de l'envoi de l'email.
Erreur	365	Configuration SMTP invalide sur la Portée de Synchronisation.
Erreur	366	Impossible de consommer les données de réinitialisation.
Erreur	367	Échec du chargement des métadonnées pour le fournisseur.
Erreur	368	Le changement de mot de passe a été rejeté par le serveur.
Erreur	369	Échec du changement de mot de passe car le Point de Synchronisation a une configuration invalide pour le fournisseur.
Erreur	370	Une exception non gérée s'est produite dans le Serveur Specops Password Sync.

Journalisation de débogage

Vous pouvez configurer les composants de Specops Password Sync pour enregistrer leur activité interne dans un journal de débogage détaillé. Le journal de débogage vous permet de suivre les événements menant à l'erreur. La journalisation de débogage est activée en changeant la clé de registre pertinente de “0” à “1.” Une journalisation supplémentaire sera renvoyée en utilisant les niveaux de débogage plus élevés “2” ou “3.”

Clé de registre	Description
HKLM\Software\Specopssoft\Specops Password Sync\Admin Tools\Debug	Contrôle la journalisation de débogage pour les outils d'administration. Les fichiers journaux (SPS.AdminTools.log) sont stockés sous %LocalAppData%\Specopssoft\ Valeur par défaut = 0 Remarque: Doit être activé sur un ordinateur qui a les outils d'administration installés.
HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier\Debug	Contrôle la journalisation de débogage pour le filtre de Notificateur de Changement. Les fichiers journaux (spsflt*.log) sont stockés sous %SystemRoot%\Debug\ Valeur par défaut = 0 Remarque: Doit être activé sur le Contrôleur de Domaine.
HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifierService\Debug	Contrôle la journalisation de débogage pour le service de Notificateur de Changement. Les fichiers journaux (spsChangeNotifier*.log) sont stockés sous %SystemRoot%\Debug\ Valeur par défaut = 0 Remarque: Doit être activé sur le Contrôleur de Domaine.
HKLM\Software\Specopssoft\Specops Password Sync\Server\Debug	Contrôle la journalisation de débogage pour le service du Serveur de Synchronisation. Le chemin par défaut du fichier journal est “C:\SPS.SyncServer.log”. Valeur par défaut = 0 Remarque: Doit être activé sur le Serveur Specops Password Sync.

Remarque

Ne laissez pas la journalisation de débogage activée à moins que vous n'en ayez besoin. Une journalisation détaillée sur une période prolongée peut créer de gros fichiers journaux qui ont le potentiel de remplir la partition de disque de votre système.