Một số mật khẩu người dùng không đồng bộ hoá

Nếu tính năng Đồng bộ hoá mật khẩu không đồng bộ hoá một số mật khẩu, hãy làm theo các bước sau để khắc phục sự cố.

Bước 1: Đảm bảo bạn đã cài đặt đúng tính năng Đồng bộ hoá mật khẩu

Kiểm tra để đảm bảo bạn đã cài đặt thành công tính năng Đồng bộ hoá mật khẩu trên tất cả các máy chủ Microsoft Active Directory (AD) có thể ghi (bộ điều khiển miền) của miền:

  1. Kiểm tra xem bộ kiểm soát miền nào đã cài đặt tính năng Đồng bộ hoá mật khẩu bằng Công cụ hỗ trợ đồng bộ hoá mật khẩu. Làm theo các bước trong Lựa chọn 1: Khắc phục sự cố tự động.

  2. Để tìm danh sách các bộ điều khiển miền có thể ghi, hãy mở dấu nhắc lệnh rồi nhập lệnh sau:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Nếu bạn không biết chắc những bộ điều khiển miền nào có thể ghi, hãy cài đặt tính năng Đồng bộ hoá mật khẩu trên tất cả bộ điều khiển miền. Việc này sẽ không gây ra vấn đề gì.

  3. Xem xét báo cáo kết quả và kiểm tra để đảm bảo rằng thư mục của mỗi bộ điều khiển miền đều có tệp service_*.txt cho biết dịch vụ đang chạy.

    Trong thư mục này, bạn có thể thấy 2 tệp cho biết dịch vụ không hoạt động và 1 tệp xác nhận dịch vụ đang chạy.

  4. Thử thay đổi mật khẩu và xác minh rằng công cụ đồng bộ hoá như dự kiến. Nếu vấn đề vẫn tiếp diễn, hãy chuyển sang bước tiếp theo.

Bước 2: Xác minh đặc quyền của người dùng

Người dùng không thể thay đổi mật khẩu cho người dùng có đặc quyền cao hơn. Ví dụ: quản trị viên thông thường không thể cập nhật mật khẩu cho quản trị viên cấp cao. Để biết thông tin chi tiết về các vai trò, hãy xem bài viết Chỉ định vai trò quản trị viên cụ thể.

  1. Đối với người dùng đang gặp phải vấn đề này, hãy xác minh rằng đặc quyền quản trị Tài khoản Google của họ không vượt quá đặc quyền của quản trị viên đã thiết lập tính năng Đồng bộ hoá mật khẩu.
  2. Thử thay đổi mật khẩu và xác minh rằng công cụ đồng bộ hoá như dự kiến. Nếu vấn đề vẫn tiếp diễn, hãy chuyển sang bước tiếp theo.

Bước 3: Kiểm tra địa chỉ email

  1. Trong tính năng Đồng bộ hoá mật khẩu, hãy kiểm tra để đảm bảo bạn đã thêm địa chỉ email của người dùng vào trường Thuộc tính thư được chỉ định. Địa chỉ phải khớp chính xác với địa chỉ email chính của Google, bao gồm cả phần miền của địa chỉ. Để biết thông tin chi tiết, hãy xem bài viết Định cấu hình chế độ cài đặt Active Directory.
  2. Thử thay đổi mật khẩu và xác minh rằng công cụ đồng bộ hoá như dự kiến. Nếu vấn đề vẫn tiếp diễn, hãy chuyển sang bước tiếp theo.

Bước 4: Xác minh mật khẩu có hợp lệ hay không

Nếu mật khẩu không đồng bộ hoá được vì chứa các ký tự không được hỗ trợ, bạn sẽ nhận được cảnh báo sau trong nhật ký sự kiện của Ứng dụng Windows:

Mật khẩu mới chứa các ký tự không được hỗ trợ. Bạn không thể cập nhật mật khẩu trên Tài khoản Google và mật khẩu sẽ không đồng bộ hoá với AD.

  1. Tìm mật khẩu và thay đổi mật khẩu đó cho phù hợp với nguyên tắc. Để biết thông tin chi tiết, hãy xem bài viết Tạo mật khẩu mạnh và tăng cường bảo mật cho tài khoản.
  2. Xác minh rằng công cụ đồng bộ hoá như dự kiến. Nếu vấn đề vẫn tiếp diễn, hãy chuyển đến phần Tôi vẫn cần được trợ giúp (phần tiếp theo trên trang này).

Tôi vẫn cần trợ giúp

Nếu bạn không giải quyết được vấn đề bằng các bước trước, hãy thử các bước sau.

Bước 1: Xác định một ví dụ

  1. Xác định một trường hợp thay đổi mật khẩu trong AD nhưng chưa được đồng bộ hoá với Google.
  2. Đảm bảo người dùng chưa thay đổi mật khẩu AD kể từ lần thay đổi đầu tiên.
  3. Ghi lại chính xác thời điểm mật khẩu được thay đổi trong AD, tên người dùng và địa chỉ email của người dùng.

Bước 2: Xác minh việc thay đổi mật khẩu

Xác minh rằng dấu thời gian của thuộc tính khớp với thời điểm người dùng thay đổi mật khẩu.

  1. Sử dụng các công cụ quản trị AD, chẳng hạn như ADSIEdit hoặc LDIFDE, để tìm và sao chép thuộc tính pwdLastSet cho người dùng. Giá trị của thuộc tính là số khoảng thời gian 100 nano giây kể từ ngày 1 tháng 1 năm 1601 (UTC). Để biết thông tin chi tiết về thuộc tính này, hãy xem bài viết Thuộc tính Pwd-Last-Set.
  2. Truy cập vào Google Admin Toolbox Encode/Decode (Google Admin Toolbox Mã hoá/Giải mã).
  3. Chọn Giải mã giá trị pwdLastSet/FILETIME.
  4. Đối với Dán văn bản cần mã hoá/giải mã bên dưới, hãy dán thuộc tính dạng số từ AD rồi nhấp vào Gửi.

    Hộp công cụ hiển thị giá trị thời gian đã giải mã theo múi giờ địa phương và giờ UTC.

  5. Nếu dấu thời gian không khớp với thời điểm mật khẩu của người dùng được thay đổi, thì AD sẽ không xử lý nội dung cập nhật mật khẩu. Giải quyết các vấn đề về mật khẩu trong AD rồi thử lại.

Bước 3: Xác minh vấn đề

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Báo cáo sau đóKiểm tra và điều tra sau đóSự kiện trong nhật ký của quản trị viên.

    Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

  2. Tìm kiếm các sự kiện thay đổi mật khẩu của người dùng để xác nhận xem có sự kiện thay đổi mật khẩu nào xảy ra trong vòng 1 đến 2 phút kể từ dấu thời gian trong thuộc tính pwdLastSet hay không. Hãy nhớ tính đến sự khác biệt về múi giờ. Để biết thông tin chi tiết về sự kiện trong nhật ký, hãy xem bài viết Sự kiện trong nhật ký của quản trị viên.
  3. Nếu bạn xác minh một sự kiện thay đổi mật khẩu trong các sự kiện nhật ký vào đúng thời điểm, hãy kiểm tra các điểm sau:
    1. Kiểm tra để đảm bảo quản trị viên đã thay đổi mật khẩu khớp với quản trị viên đã uỷ quyền tính năng Đồng bộ hoá mật khẩu trong nhật ký. Nếu quản trị viên là người dùng, thì tính năng Đồng bộ hoá mật khẩu sẽ hoạt động như dự kiến.
    2. Kiểm tra xem các nguồn khác có thay đổi mật khẩu của người dùng Google sau khi mật khẩu được đồng bộ hoá hay không (khiến mật khẩu không đồng bộ hoá với AD). Hãy giải quyết vấn đề này trước khi thử lại.

Bước 4: Tạo báo cáo về Công cụ hỗ trợ đồng bộ hoá mật khẩu

Để tạo báo cáo, bạn cần thu thập nhật ký và thông tin chi tiết về tính năng Đồng bộ hoá mật khẩu từ tất cả các bộ điều khiển miền có thể ghi vào một thư mục duy nhất. Để làm như vậy, hãy hoàn tất các bước trong Cách 1: Khắc phục sự cố tự động.

Bước 5: Xác định vị trí bộ điều khiển miền chịu trách nhiệm thay đổi mật khẩu

  1. Mở dấu nhắc lệnh và dùng lệnh cd để chuyển đến thư mục nơi bạn đã tạo báo cáo ở bước trước.

    Ví dụ: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Để tìm tên người dùng trong AD, hãy dùng lệnh findstr.

    Để xem ví dụ, hãy chuyển đến phần Ví dụ: Sử dụng lệnh finstr (ở phần sau trên trang này).

  3. Nếu bạn thấy nhiều tệp nhật ký có tên người dùng, hãy chọn tệp có dấu thời gian nhật ký trùng khớp với thời gian trong thuộc tính pwdLastSet. Hãy nhớ tính đến sự khác biệt về múi giờ.
  4. Trong nhật ký, hãy kiểm tra những dòng có đề cập đến tên người dùng để tìm thông báo hoặc mã lỗi liên quan.

    Để được trợ giúp thêm về lỗi, hãy xem bài viết Mã và thông báo lỗi của tính năng Đồng bộ hoá mật khẩu.

  5. Nếu bạn không tìm thấy tên người dùng, hãy đảm bảo rằng bạn đã cài đặt tính năng Đồng bộ hoá mật khẩu trên tất cả bộ điều khiển miền có thể ghi. Để biết thông tin chi tiết, hãy xem phần Đảm bảo bạn đã cài đặt đúng cách tính năng Đồng bộ hoá mật khẩu (trước đó trên trang này).

  6. Nếu bạn vẫn gặp vấn đề, hãy liên hệ với Nhóm hỗ trợ Google Workspace. Cung cấp thông tin sau:
    • Tệp ZIP báo cáo của Công cụ hỗ trợ đồng bộ hoá mật khẩu
    • Địa chỉ email của người dùng và thời điểm mật khẩu của họ được thay đổi
    • Một tệp kết xuất LDIF (Định dạng trao đổi dữ liệu LDAP) của người dùng

    Để biết thông tin chi tiết về cách liên hệ với nhóm hỗ trợ, hãy xem bài viết Liên hệ với nhóm hỗ trợ Google Workspace.

Ví dụ: Sử dụng lệnh findstr

Ví dụ 1: Lệnh sau đây tìm kiếm các tệp nhật ký trong thư mục hiện tại và các thư mục con của thư mục đó có chứa tên người dùng (không phân biệt chữ hoa chữ thường). Trong cửa sổ trình nhắc lệnh, bạn có thể xem tên tệp của các tệp nhật ký trùng khớp.

findstr /S /I /M /C:"username" *.log

Ví dụ 2: Lệnh sau đây tìm kiếm các tệp nhật ký trong thư mục hiện tại và các thư mục con của thư mục đó có chứa tên người dùng (không phân biệt chữ hoa chữ thường). Trong cửa sổ dấu nhắc lệnh, bạn có thể xem tên tệp của các tệp nhật ký khớp và số dòng chứa tên người dùng.

findstr /S /I /N /C:"username" *.log


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.