Azure AD Connect Password Hash Sync Failed – Event ID 611
Domain Controller upgrade projesi kapsamında, Windows Server 2012 R2 DC’leri Windows Server 2019’a güncelliyoruz. Aynı zamanda başka bir sunucu üzerinde kurulu olan Azure AD Connect ile user ve password bilgilerini Azure’a Sync ediyoruz, MS Teams kullanımı için. Bazı kullanıcılardan Teams girişlerinde şifre kabul etmeme problemleri gelmeye başladı. Local Active Directory üzerinde değiştirilen şifreler ile Teams oturumu açılamıyor, bu durum user veya password senkronizasyonunda bir problem oldugu anlamına geliyor.
Azure AD Connect yüklü sunucuyu kontrol ettiğiniz zaman aşağıdaki Error Event ID 611 ile karşılaşıyorsunuz.
Azure AD Connect üzerinde Troubleshooting çalıştırıyoruz.
Troubleshooting Tool ile Azure ile olan senkronizasyon seçeneklerinin tamamını test edebiliyorsunuz. Object, Password, Connectivity testleri tek bir account için yapılabilirken tüm organizasyon içinde yapılabilmektedir.
Password Hash Senkronizasyon testi için 1 numara’yı seçiyoruz.
Yapılan test sonucusunda Domain Controller sunucusuna ulaşılamadığı belirtiliyor. Azure AD Connect object senkronizasyonu için Onprem ortamda ki Domain Controller sunucularını DNS sorguları ile bulmaktadır. Öncelikle kendisi ile aynı veya en yakın site’da yer alan DC’ye bağlanmaya çalışacaktır, eğer ulaşmazsa uzak site’larda ki DC’lere baglanmayı dener.
Bu durumda şöyle bir senaryoyu göz önünde bulundurmak lazım, Office 365 ile Active Directory eşitlemesi yapacaksınız. Tüm Dünyada coğrafi olarak dağılmış çeşitli lokasyonlarda Active Directory Site ve DC’leriniz mevcut. Bu konumların bazıları diğerlerinden daha iyi bağlantıya sahip olması muhtemel. Azure AD Connect’in baglantısı daha yavas veya daha uzak bir DC’ye bağlanması, tüm senkronizasyon sürecinin yavaş veya gecikmeli olmasına sebep olacaktır. Bu sebeple Azure AD Connect’e static DC tanımlama yapılması tavsiye edilmektedir. Static olarak tanımladığınız DC’yi de ortamdan kaldırdıysanız bu hatayı alırsınız 🙂 Karşılaştığım senaryo da tam olarak bu idi.
Azure AD Connect yüklü sunucuda miisclient.exe (C:\Program Files\Microsoft Azure AD Sync\UIShell) açıyoruz.
Connectors bölümünden Onprem Domain’in özelliklerine giriyoruz.
Bu bölümden belirli bir DC’yi gosterebiliyoruz. Ortamdan kaldırılan DC yerine güncel DC’yi Configure seçeneği ile gösterebilirsiniz.
Tekrar Troubleshooting çalıştırarak test yaptıgımızda DC erişimini test edebilirsiniz.