Einige Nutzerpasswörter werden nicht synchronisiert

Wenn die Passwortsynchronisierung einige Passwörter nicht synchronisiert, führen Sie die folgenden Schritte zur Fehlerbehebung aus.

Schritt 1: Prüfen, ob die Passwortsynchronisierung richtig installiert ist

Prüfen Sie, ob Sie Password Sync auf allen beschreibbaren AD-Servern (Microsoft Active Directory) (Domaincontrollern) Ihrer Domain installiert haben:

  1. Mit dem Password Sync Support Tool können Sie prüfen, auf welchen Domaincontrollern Password Sync installiert ist. Folgen Sie der Anleitung unter Option 1: Automatische Fehlerbehebung.

  2. Um die Liste der beschreibbaren Domaincontroller zu finden, öffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl ein:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Wenn Sie sich nicht sicher sind, welche Domaincontroller beschreibbar sind, installieren Sie Password Sync auf allen Domaincontrollern. Dies verursacht keine Probleme.

  3. Sehen Sie sich den resultierenden Bericht an und prüfen Sie, ob der Ordner jedes Domaincontrollers eine Datei service_*.txt enthält, die angibt, dass der Dienst ausgeführt wird.

    Im Ordner sollten zwei Dateien anzeigen, dass der Dienst nicht verfügbar ist, und eine Datei, dass er ausgeführt wird.

  4. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert wird. Falls das Problem weiterhin auftritt, fahre mit dem nächsten Schritt fort.

Schritt 2: Berechtigungen des Nutzers überprüfen

Nutzer können die Passwörter von Nutzern mit höheren Berechtigungen nicht ändern. So kann beispielsweise ein normaler Administrator nicht das Passwort eines Super Admins ändern. Weitere Informationen zu Rollen finden Sie im Hilfeartikel Bestimmte Administratorrollen zuweisen.

  1. Prüfen Sie für den Nutzer, bei dem das Problem auftritt, ob die Google-Konto-Administratorberechtigungen möglicherweise über die Berechtigungen des Administrators hinausgehen, der die Passwortsynchronisierung eingerichtet hat.
  2. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert wird. Falls das Problem weiterhin auftritt, fahre mit dem nächsten Schritt fort.

Schritt 3: E-Mail-Adressen prüfen

  1. Prüfen Sie, ob Sie die E-Mail-Adressen Ihrer Nutzer in der Passwortsynchronisierung im dafür vorgesehenen Feld Mail Attribute (E-Mail-Attribut) hinzugefügt haben. Die hier gespeicherten Adressen müssen genau mit den primären Google-E-Mail-Adressen übereinstimmen, einschließlich des Domainteils der Adresse. Weitere Informationen finden Sie unter Active Directory-Einstellungen konfigurieren.
  2. Ändern Sie ein Passwort und prüfen Sie, ob das Tool wie erwartet synchronisiert wird. Falls das Problem weiterhin auftritt, fahre mit dem nächsten Schritt fort.

Schritt 4: Passwort prüfen

Wenn bei der Passwortsynchronisierung aufgrund nicht unterstützter Zeichen ein Fehler auftritt, wird im Ereignisprotokoll der Windows-Anwendung die folgende Warnung angezeigt:

Das neue Passwort enthält nicht unterstützte Zeichen. Das Passwort kann im Google-Konto nicht aktualisiert werden und ist in der Synchronisierung mit Active Directory nicht enthalten.

  1. Suchen Sie das Passwort und ändern Sie es so, dass es den Richtlinien entspricht. Weitere Informationen finden Sie unter Starkes Passwort erstellen und für mehr Kontosicherheit sorgen.
  2. Prüfen Sie, ob das Tool wie erwartet synchronisiert wird. Wenn das Problem weiterhin besteht, fahren Sie mit dem nächsten Abschnitt auf dieser Seite fort: Ich benötige weitere Hilfe.

Ich benötige weiterhin Hilfe.

Wenn Sie das Problem mit den vorherigen Schritten nicht beheben können, versuchen Sie es mit diesen Schritten.

Schritt 1: Beispiel identifizieren

  1. Suchen Sie in AD nach einer Instanz einer Passwortänderung, die nicht mit Google synchronisiert wurde.
  2. Prüfen Sie, ob der Nutzer sein AD-Passwort seit der ersten Änderung nicht geändert hat.
  3. Notieren Sie sich die genaue Uhrzeit, zu der das Passwort in AD geändert wurde, den Nutzernamen und die E-Mail-Adresse des Nutzers.

Schritt 2: Passwortänderung bestätigen

Prüfen Sie, ob der Zeitstempel für das Attribut mit dem Zeitpunkt übereinstimmt, zu dem der Nutzer sein Passwort geändert hat.

  1. Verwenden Sie AD-Verwaltungstools wie ADSIEdit oder LDIFDE, um das Attribut pwdLastSet für den Nutzer zu suchen und zu kopieren. Der Wert des Attributs ist die Anzahl der 100-Nanosekunden-Intervalle seit dem 1. Januar 1601 (UTC). Weitere Informationen zum Attribut finden Sie unter Attribut „Pwd-Last-Set“.
  2. Rufen Sie Google Admin Toolbox Codieren/Decodieren auf.
  3. Wählen Sie pwdLastSet/FILETIME Decode (pwdLastSet/FILETIME-Decodierung) aus.
  4. Fügen Sie unter Paste the text to encode/decode below (Fügen Sie den zu codierenden/decodierenden Text unten ein) das numerische Attribut aus AD ein und klicken Sie auf Submit (Senden).

    In der Toolbox wird der decodierte Zeitwert in Ihrer lokalen Zeitzone und in UTC angezeigt.

  5. Wenn der Zeitstempel nicht mit der Zeit übereinstimmt, zu der das Passwort des Nutzers geändert wurde, hat AD die Passwortaktualisierung nicht verarbeitet. Beheben Sie die Passwortprobleme in AD und versuchen Sie es noch einmal.

Schritt 3: Problem verifizieren

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü  und dann Berichterstellung und dannAudit und Prüfung und dannAdministrator-Protokollereignisse.

    Hierfür ist die Administratorberechtigung Audit und Prüfung erforderlich.

  2. Suchen Sie nach Ereignissen zur Passwortänderung für den Nutzer, um zu bestätigen, ob innerhalb von 1–2 Minuten nach dem Zeitstempel im Attribut pwdLastSet eine Passwortänderung stattgefunden hat. Berücksichtigen Sie die Zeitzonenunterschiede. Weitere Informationen zu Protokollereignissen finden Sie im Hilfeartikel Administrator-Protokollereignisse.
  3. Wenn Sie ein Ereignis zur Passwortänderung im Ereignisprotokoll zum richtigen Zeitpunkt bestätigen, prüfen Sie die folgenden Punkte:
    1. Prüfen Sie in den Logs, ob der Administrator, der das Passwort geändert hat, mit dem Administrator übereinstimmt, der die Passwortsynchronisierung autorisiert hat. Wenn der Administrator derselbe ist, funktioniert die Passwortsynchronisierung wie erwartet.
    2. Prüfen Sie, ob das Passwort des Google-Nutzers nach der Synchronisierung durch andere Quellen geändert wurde (wodurch das Passwort nicht mehr mit AD synchronisiert ist). Beheben Sie das Problem, bevor Sie es noch einmal versuchen.

Schritt 4: Bericht mit dem Tool zur Unterstützung der Passwortsynchronisierung erstellen

Um den Bericht zu erstellen, müssen Sie die Protokolle und Details zur Passwortsynchronisierung von allen schreibbaren Domaincontrollern in einem einzigen Ordner sammeln. Führen Sie dazu die Schritte unter Option 1: Automatische Fehlerbehebung aus.

Schritt 5: Domaincontroller ermitteln, der für die Passwortänderung verantwortlich ist

  1. Öffnen Sie eine Eingabeaufforderung und verwenden Sie den Befehl cd, um zu dem Verzeichnis zu wechseln, in dem Sie den Bericht im vorherigen Schritt erstellt haben.

    Beispiel: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Verwenden Sie den Befehl findstr, um in AD nach dem Nutzernamen zu suchen.

    Beispiele finden Sie weiter unten auf dieser Seite unter Beispiele: Befehl „finstr“ verwenden.

  3. Wenn Sie mehrere Protokolldateien mit dem Nutzernamen finden, wählen Sie die Datei aus, deren Zeitstempel mit der Zeit im Attribut pwdLastSet übereinstimmt. Berücksichtigen Sie die Zeitzonenunterschiede.
  4. Suchen Sie im Protokoll nach Zeilen, in denen der Nutzername erwähnt wird, um eine zugehörige Fehlermeldung oder einen zugehörigen Fehlercode zu finden.

    Weitere Informationen zu Fehlern finden Sie unter Fehlercodes und ‑meldungen in Password Sync.

  5. Wenn Sie den Nutzernamen nicht finden, prüfen Sie, ob Sie Password Sync auf allen beschreibbaren Domaincontrollern installiert haben. Weitere Informationen finden Sie weiter oben auf dieser Seite im Abschnitt Prüfen, ob Password Sync korrekt installiert ist.

  6. Wenn weiterhin Probleme auftreten, wenden Sie sich an den Google Workspace-Support. Geben Sie die folgenden Informationen an:
    • ZIP-Datei mit dem Bericht des Support-Tools für die Passwortsynchronisierung
    • E-Mail-Adresse des Nutzers und Zeitpunkt der Passwortänderung
    • Eine Dump-Datei im LDAP-Data-Interchange-Format (LDIF) des Nutzers

    Weitere Informationen dazu, wie Sie den Support kontaktieren, finden Sie unter Google Workspace-Support kontaktieren.

Beispiele: Verwendung des Befehls „findstr“

Beispiel 1: Mit dem folgenden Befehl wird im aktuellen Verzeichnis und in seinen Unterverzeichnissen nach Logdateien gesucht, die den Nutzernamen enthalten (Groß- und Kleinschreibung spielt keine Rolle). Im Eingabeaufforderungsfenster können Sie den Dateinamen der entsprechenden Protokolldateien sehen.

findstr /S /I /M /C:"username" *.log

Beispiel 2: Mit dem folgenden Befehl wird im aktuellen Verzeichnis und in seinen Unterverzeichnissen nach Logdateien gesucht, die den Nutzernamen enthalten (Groß- und Kleinschreibung spielt keine Rolle). Im Eingabeaufforderungsfenster können Sie den Dateinamen der übereinstimmenden Logdateien und die Zeilennummer mit dem Nutzernamen sehen.

findstr /S /I /N /C:"username" *.log


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.