Active Directory 連携：密碼同步相關疑難排解

請從 Access Control 管理介面開啟 [同步記錄]。
點擊各行可查看同步內容的詳細資訊。
請確認最近的記錄中是否有以 "Start password syncing" 開頭的記錄。

※顯示為 "HDE One Directory Sync version x.x.x" 或 "Start syncing" 的記錄為使用者同步記錄，這次不屬於本次排查範圍。

• 若無記錄輸出：請前往HDE One Password Sync 服務是否正在執行？。
• 若出現錯誤：請前往該使用者是否存在於 Access Control？。
• 若無錯誤且正常輸出：請前往依案例（內部系統架構變更）。

1. 請於同步伺服器（已安裝 HDE Directory Sync Tool 的伺服器）開啟 [管理工具]－[服務]。
2. 確認 "HDE One Password Sync" 的 [狀態] 是否為 "執行中"。

• 若狀態非 "執行中"

  請於 HDE One Password Sync 上按右鍵，選擇 "開始"。
  ※若啟動後立即停止，請參考本文下方相關章節。

  • 密碼同步服務（HDE One Password Sync）執行使用者的權限是否正確設定？
  • 是否有使用 Web Proxy 或 URL 過濾進行網路連線？

• 若狀態為 "執行中"

  請參考下方文章，嘗試重新啟動服務。
  HDE One Directory Sync、HDE One Password Sync 的重新啟動方法

執行 HDE Directory Sync Tool 服務的使用者（※）需具備以下三項權限：

• Domain Admins
• Enterprise Admins
• Schema Admins

HDE Directory Sync Tool 的執行使用者設定方式如下：
請於同步伺服器（已安裝 HDE Directory Sync Tool 的伺服器）確認。

• C:\Program Files\HDE One Directory Sync\ 資料夾內的 config.ini
  ※若有修改 config.ini，需重新啟動服務。
• 於同步伺服器的 [管理工具]－[服務]，開啟下列服務的內容，於 [登入] 分頁中確認
  HDE One Directory Sync
  HDE One Password Sync

若公司內部連線至網際網路時有使用 Web Proxy 或 URL 過濾，可能會導致與 HENNGE 的通訊被阻擋。
請參考下方文章，於網路設定中允許（加入白名單）Access Control 的 URL（FQDN）通訊。
HENNGE One 我們支援的瀏覽器

若可行，亦建議設定為不經由 Web Proxy 等方式直接連線。

若要進行密碼同步，所有 Active Directory 2016 以後的伺服器皆需安裝 HDEPasswordFilter.dll。

1. 於 Active Directory 開啟下列資料夾。
   C:\WINDOWS\System32\
2. 確認資料夾內是否有 "HDEPasswordFilter.dll" 檔案。
3. 若無此檔案，請參考網域控制器全台安裝 HDEPasswordFilter.dll (WS 2016 以降)，完成 HDEPasswordFilter.dll 的安裝。

新加入的 Active Directory 伺服器可能尚未完成必要設定。
請確認HDEPasswordFilter.dll 是否已正確安裝？。

請確認下列三點：

1. Active Directory 伺服器的 IP 位址及主機名稱是否有變更

   請於同步伺服器（已安裝 HDE Directory Sync Tool 的伺服器）開啟 config.ini，確認 server= 變數所指定的 IP 位址或主機名稱是否仍為舊資訊，若是請更新為最新資訊並儲存。
   檔案位置：C:\Program Files\HDE One Directory Sync
   修改後，請於伺服器的 [管理工具]－[服務] 重新啟動下列兩個服務。

   • HDE One Directory Sync
   • HDE One Password Sync

2. Active Directory 伺服器建置後，尚未安裝 HDEPasswordFilter.dll

   請確認HDEPasswordFilter.dll 是否已正確安裝？。

3. 更換 Active Directory，但同步伺服器（已安裝 HDE Directory Sync Tool 的伺服器）仍沿用原本伺服器

   請聯絡 HENNGE One 技術支援，說明已執行的內容及目前發生的狀況。

請於新同步伺服器確認 HDE Directory Sync Tool 是否已安裝，並正確替換自舊伺服器的設定檔（config.ini）。
同時，請確認密碼同步的同步記錄是否有輸出？。

※若不確定 HDE Directory Sync Tool 的安裝狀況，請聯絡 HENNGE One 技術支援，說明已執行的內容及目前發生的狀況。

當 Active Directory 上的密碼被變更時，HDE One Password Sync 服務會將使用者的 unixUserPassword 值作為密碼進行同步。
unixUserPassword 會在 Active Directory 網域控制器上的使用者密碼變更時，由 HDEPasswordFilter.dll 功能自動更新。
若從 Windows 裝置等變更密碼，會對某一台 Active Directory 網域控制器進行密碼變更。
之後會透過複寫（同步）傳送至其他 Active Directory 網域控制器，若最初進行密碼變更的 Active Directory 網域控制器伺服器未正常執行上述功能，則 HDE One Password Sync 服務將無法正常同步密碼。

請依下列步驟，確認是否有伺服器未正常執行 HDEPasswordFilter.dll 功能。

----------------------------------------------------------

1. 登入 Active Directory 網域控制器。

2. 於 [Active Directory 使用者與電腦] 開啟該使用者的屬性 [屬性編輯器] 分頁（※1），確認 "unixUserPassword" 的值。

   
   （※1）若未顯示 [屬性編輯器] 分頁，請於 [Active Directory 使用者與電腦] 畫面的 [檢視]－[進階功能] 勾選。

   

3. 於登入中的 Active Directory 網域控制器上重設該使用者的密碼。
4. 再次確認該使用者屬性 [屬性編輯器] 的 "unixUserPassword" 值，若已變更則表示 HDEPasswordFilter.dll 正常運作。

----------------------------------------------------------

若上述確認作業後，密碼變更後 "unixUserPassword" 的值未變更，請確認HDEPasswordFilter.dll 是否已正確安裝？。