Einige Nutzerpasswörter werden nicht synchronisiert

Wenn Password Sync einige Passwörter nicht synchronisiert, folgen Sie dieser Anleitung zur Fehlerbehebung.

Schritt 1: Prüfen, ob Password Sync richtig installiert ist

Prüfen Sie, ob Sie Password Sync auf allen beschreibbaren AD-Servern (Microsoft Active Directory) (Domaincontrollern) Ihrer Domain installiert haben:

  1. Mit dem Password Sync Support Tool können Sie prüfen, auf welchen Domaincontrollern Password Sync installiert ist. Folgen Sie der Anleitung unter Option 1: Automatische Fehlerbehebung.

  2. Wenn Sie eine Liste der beschreibbaren Domaincontroller aufrufen möchten, öffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl ein:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Wenn Sie sich nicht sicher sind, welche Domaincontroller beschreibbar sind, installieren Sie Password Sync auf allen Domaincontrollern. Dies verursacht keine Probleme.

  3. Sehen Sie sich den Bericht an und prüfen Sie, ob im Ordner jedes Domaincontrollers eine Datei service_*.txt vorhanden ist, die angibt, dass der Dienst ausgeführt wird.

    Im Ordner sollten zwei Dateien anzeigen, dass der Dienst nicht verfügbar ist, und eine Datei sollte bestätigen, dass er ausgeführt wird.

  4. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert. Falls das Problem weiter auftritt, fahren Sie mit dem nächsten Schritt fort.

Schritt 2: Berechtigungen des Nutzers prüfen

Nutzer können die Passwörter von Nutzern mit höheren Berechtigungen nicht ändern. Ein normaler Administrator kann beispielsweise nicht das Passwort eines Super Admins ändern. Weitere Informationen zu Rollen finden Sie im Hilfeartikel Bestimmte Administratorrollen zuweisen.

  1. Prüfen Sie für den Nutzer, bei dem das Problem auftritt, ob die Google-Konto-Administratorberechtigungen möglicherweise über die Berechtigungen des Administrators hinausgehen, der Password Sync eingerichtet hat.
  2. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert. Falls das Problem weiter auftritt, fahren Sie mit dem nächsten Schritt fort.

Schritt 3: E‑Mail-Adressen prüfen

  1. Prüfen Sie in Password Sync, ob Sie die E‑Mail-Adressen Ihrer Nutzer im entsprechenden Feld Mail Attribute hinzugefügt haben. Die hier gespeicherten Adressen müssen genau mit den primären Google-E‑Mail-Adressen übereinstimmen, einschließlich des Domainteils der Adresse. Weitere Informationen finden Sie im Hilfeartikel Active Directory-Einstellungen konfigurieren.
  2. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert. Falls das Problem weiter auftritt, fahren Sie mit dem nächsten Schritt fort.

Schritt 4: Prüfen, ob das Passwort gültig ist

Wenn bei der Passwortsynchronisierung aufgrund nicht unterstützter Zeichen ein Fehler auftritt, wird im Ereignisprotokoll der Windows-Anwendung die folgende Warnung protokolliert:

The new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with AD.

  1. Suchen Sie das Passwort und ändern Sie es so, dass es den Richtlinien entspricht. Weitere Informationen finden Sie im Hilfeartikel Starkes Passwort erstellen und für mehr Kontosicherheit sorgen.
  2. Prüfen Sie, ob das Tool wie erwartet synchronisiert. Falls das Problem weiter auftritt, fahren Sie mit dem nächsten Abschnitt auf dieser Seite fort: Ich benötige weiterhin Hilfe.

Ich benötige weiterhin Hilfe.

Wenn Sie das Problem mit den vorherigen Schritten nicht beheben können, versuchen Sie es mit diesen Schritten.

Schritt 1: Beispiel ermitteln

  1. Suchen Sie nach einer Instanz einer Passwortänderung in AD, die nicht mit Google synchronisiert wurde.
  2. Prüfen Sie, ob der Nutzer sein AD-Passwort seit der ersten Änderung nicht geändert hat.
  3. Notieren Sie sich die genaue Uhrzeit, zu der das Passwort in AD geändert wurde, den Nutzernamen und die E‑Mail-Adresse des Nutzers.

Schritt 2: Passwortänderung prüfen

Prüfen Sie, ob der Zeitstempel für das Attribut mit der Uhrzeit übereinstimmt, zu der der Nutzer sein Passwort geändert hat.

  1. Suchen Sie mit AD-Verwaltungstools wie ADSIEdit oder LDIFDE das Attribut pwdLastSet für den Nutzer und kopieren Sie es. Der Wert des Attributs ist die Anzahl der 100-Nanosekunden-Intervalle seit dem 1. Januar 1601 (UTC). Weitere Informationen zum Attribut finden Sie im Hilfeartikel Attribut „pwdLastSet“.
  2. Rufen Sie Google Admin Toolbox Codieren/Decodieren auf.
  3. Wählen Sie pwdLastSet/FILETIME-Decodierung aus.
  4. Fügen Sie unter Fügen Sie den zu codierenden/decodierenden Text hier ein das numerische Attribut aus AD ein und klicken Sie auf Senden.

    In der Toolbox wird der decodierte Zeitwert in Ihrer lokalen Zeitzone und in UTC angezeigt.

  5. Wenn der Zeitstempel nicht mit der Uhrzeit übereinstimmt, zu der das Passwort des Nutzers geändert wurde, hat AD die Passwortaktualisierung nicht verarbeitet. Beheben Sie die Probleme mit dem Passwort in AD und versuchen Sie es noch einmal.

Schritt 3: Problem verifizieren

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Berichterstellung und dann Audit und Prüfung und dann Administrator-Protokollereignisse.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Suchen Sie nach Ereignissen zur Passwortänderung für den Nutzer, um zu prüfen, ob innerhalb von 1–2 Minuten nach dem Zeitstempel im Attribut pwdLastSet eine Passwortänderung stattgefunden hat. Berücksichtigen Sie dabei die Zeitzonenunterschiede. Weitere Informationen zu Protokollereignissen finden Sie im Hilfeartikel Administrator-Protokollereignisse.
  3. Wenn Sie ein Ereignis zur Passwortänderung in den Protokollereignissen zur richtigen Zeit finden, prüfen Sie Folgendes:
    1. Prüfen Sie, ob der Administrator, der das Passwort geändert hat, mit dem Administrator übereinstimmt, der Password Sync in den Protokollen autorisiert hat. Wenn der Administrator derselbe ist, funktioniert Password Sync wie erwartet.
    2. Prüfen Sie, ob das Passwort des Google-Nutzers nach der Synchronisierung von anderen Quellen geändert wurde (wodurch das Passwort nicht mehr mit AD synchronisiert ist). Beheben Sie das Problem, bevor Sie es noch einmal versuchen.

Schritt 4: Bericht des Password Sync Support Tool erstellen

Um den Bericht zu erstellen, müssen Sie Password Sync-Protokolle und ‑Details von allen beschreibbaren Domaincontrollern in einem Ordner zusammenführen. Folgen Sie dazu der Anleitung unter Option 1: Automatische Fehlerbehebung.

Schritt 5: Domaincontroller ermitteln, der für die Passwortänderung verantwortlich ist

  1. Öffnen Sie eine Eingabeaufforderung und wechseln Sie mit dem Befehl cd zu dem Verzeichnis, in dem Sie im vorherigen Schritt den Bericht erstellt haben.

    Beispiel: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Verwenden Sie den Befehl findstr, um in AD nach dem Nutzernamen zu suchen.

    Beispiele finden Sie weiter unten auf dieser Seite unter Beispiele: Befehl „findstr“ verwenden.

  3. Wenn Sie mehrere Protokolldateien mit dem Nutzernamen finden, wählen Sie die Datei aus, in der der Zeitstempel des Protokolls mit der Uhrzeit im Attribut pwdLastSet übereinstimmt. Berücksichtigen Sie dabei die Zeitzonenunterschiede.
  4. Suchen Sie im Protokoll in den Zeilen, in denen der Nutzername erwähnt wird, nach einer zugehörigen Fehlermeldung oder einem Fehlercode.

    Weitere Informationen zu Fehlern finden Sie im Hilfeartikel Fehlercodes und ‑meldungen in Password Sync.

  5. Wenn Sie den Nutzernamen nicht finden, prüfen Sie, ob Sie Password Sync auf allen beschreibbaren Domaincontrollern installiert haben. Weitere Informationen finden Sie weiter oben auf dieser Seite unter Schritt 1: Prüfen, ob Password Sync richtig installiert ist.

  6. Wenn immer noch Probleme auftreten sollten, wenden Sie sich bitte an den Google Workspace-Support. Geben Sie die folgenden Informationen an:
    • ZIP-Datei des Berichts des Password Sync Support Tool
    • E‑Mail-Adresse des Nutzers und Uhrzeit, zu der sein Passwort geändert wurde
    • Eine Dump-Datei im LDAP-Data-Interchange-Format (LDIF) des Nutzers

    Weitere Informationen dazu, wie Sie den Support kontaktieren, finden Sie im Hilfeartikel Google Workspace-Support kontaktieren.

Beispiele: Befehl „findstr“ verwenden

Beispiel 1: Mit dem folgenden Befehl wird im aktuellen Verzeichnis und in den Unterverzeichnissen nach Protokolldateien gesucht, die den Nutzernamen enthalten (Groß-/Kleinschreibung wird nicht berücksichtigt). Im Eingabeaufforderungsfenster können Sie den Dateinamen der übereinstimmenden Protokolldateien sehen.

findstr /S /I /M /C:"username" *.log

Beispiel 2: Mit dem folgenden Befehl wird im aktuellen Verzeichnis und in den Unterverzeichnissen nach Protokolldateien gesucht, die den Nutzernamen enthalten (Groß-/Kleinschreibung wird nicht berücksichtigt). Im Eingabeaufforderungsfenster können Sie den Dateinamen der übereinstimmenden Protokolldateien und die Zeilennummer sehen, die den Nutzernamen enthält.

findstr /S /I /N /C:"username" *.log


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.