In hybriden Umgebungen sollten Sie Kennwörter im lokalen Active Directory ändern. Azure AD Connect synchronisiert die Kennworthashes in die Cloud. Versuchen Administratoren oder Anwender, das Kennwort direkt in Microsoft 365 zu ändern, schlägt der Vorgang fehl, solange Password Writeback nicht aktiv und korrekt konfiguriert ist. Genau hier entstehen die meisten Irritationen.
Bei Password Hash Synchronization überträgt Azure AD Connect regelmäßig Kennworthashes aus dem lokalen AD in die Cloud. Bei Pass-Through Authentication prüft ein lokaler Agent Anmeldungen gegen das AD, ohne den Hash in die Cloud zu bringen. In beiden Fällen gehört die Änderung des Kennworts zunächst on-premises. Password Writeback bildet die Ausnahme: Mit passender Lizenz und Konfiguration schreiben Cloud-Resets das neue Kennwort zurück ins lokale AD.
Im Beitrag lesen Sie, welche Voraussetzungen für Writeback gelten (Azure AD Premium P1 oder höher), wie Sie den Status im Synchronization Service Manager und im Admin Center prüfen, welche Rechte der Sync-Account braucht und welche typischen Ursachen zu Fehlermeldungen führen – etwa fehlende Berechtigungen, falsch gesetzte OU-Filter oder nicht im Scope befindliche Attribute. Zudem bekommen Sie eine klare Schrittfolge, um den Sync in Echtzeit zu testen, Notfallszenarien abzuwickeln und die Überwachung sowie Nutzerkommunikation sauber aufzusetzen.
Inhalt
- Grundregel in der Hybridwelt: Kennwörter im lokalen Active Directory ändern
- Hash-Sync, Pass-Through Authentication und Password Writeback: Funktionsweise, Lizenzen, Berechtigungen
- Password Hash Synchronization (PHS): Funktionsweise und Eigenschaften
- Pass-Through Authentication (PTA): Funktionsweise und Eigenschaften
- Password Writeback: Voraussetzungen und Lizenzen
- Typische Fehlerbilder und gezielte Prüfungen
- Passwortänderung testen und Fehler eingrenzen
- Notfall-Reset über die Cloud – nur mit Writeback
- Schritt für Schritt: Sync-Status prüfen, Echtzeittests, Notfallmaßnahmen, Monitoring und Nutzerkommunikation
Grundregel in der Hybridwelt: Kennwörter im lokalen Active Directory ändern
Warum Cloud-Resets scheitern, wenn Konten synchronisiert sind
In einer hybriden Microsoft-365-Umgebung ist das lokale Active Directory (AD) die maßgebliche Quelle für Benutzerkennwörter. Microsoft Entra Connect Sync (früher Azure AD Connect) synchronisiert entweder Kennworthashes in die Cloud (Password Hash Synchronization, PHS) oder prüft Kennwörter zur Anmeldung über Agents direkt gegen das lokale AD (Pass-through Authentication, PTA). Wird ohne konfiguriertes Password Writeback versucht, ein synchronisiertes Konto direkt in der Cloud zurückzusetzen, blockiert Entra ID die Aktion – das Kennwort kann nur im lokalen AD geändert werden.
| Modus | Ort der Kennwortprüfung | Cloud-Reset ohne Writeback | Latenz bis Änderung in M365 wirkt | Voraussetzungen/Besonderheiten |
|---|---|---|---|---|
| PHS (Password Hash Sync) | Cloud (Entra ID verifiziert synchronisierten Hash) | Nein | Nahe Echtzeit (alle ~2 Minuten) oder sofort nach manuellem Delta-Sync | Sync-Konto benötigt Replicating Directory Changes(-All/-Filtered Set) |
| PTA (Pass-through Authentication) | On-Prem (PTA-Agent gegen Domänencontroller) | Nein | Sofort (Kennwortänderung wirkt unmittelbar im AD) | PTA-Agent benötigt ausgehenden Port 443 zu Azure Service Bus |
| Password Writeback | Cloud-Reset schreibt ins lokale AD zurück | Ja | Wenige Sekunden bis Minuten | Microsoft Entra ID P1 für betroffene Nutzer, Writeback in Entra Connect und SSPR aktiviert |
Voraussetzungen für funktionierendes Password Writeback
Damit Kennwortänderungen aus der Cloud ins lokale AD zurückgeschrieben werden, müssen diese Punkte erfüllt sein:
- Lizenz: Microsoft Entra ID P1 für alle Benutzer, die Self-Service Password Reset (SSPR) bzw. Cloud-Resets nutzen.
- Konfiguration in Entra Connect: Im Konfigurationsassistenten unter „Optional features“ die Option „Password writeback“ aktivieren.
- Portalstatus prüfen: Entra Admin Center > Protection > Password reset > On-premises integration. „Password writeback“ muss als aktiviert/bereit angezeigt werden.
- Berechtigungen: Das Entra Connect Sync-Konto benötigt das Recht, Kennwörter im Ziel-OU zurückzusetzen. Der Assistent kann diese Rechte automatisch setzen.
- Netzwerk: Ausgehende Verbindungen über TCP 443 zu den Microsoft-Endpunkten (u. a. Azure Service Bus) vom Connect-/Agent-Server.
Schritt-für-Schritt: Sync-Status prüfen und Kennwortänderung durchsetzen
- Änderung im AD vornehmen: In „Active Directory-Benutzer und -Computer“ das Kennwort des betroffenen Kontos setzen und ggf. „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ aktivieren.
- Synchronisierung anstoßen (PHS-Umgebungen): Auf dem Entra Connect-Server eine administrative PowerShell öffnen und Start-ADSyncSyncCycle -PolicyType Delta ausführen.
- Portal-Prüfung: Entra Admin Center > Identity > Microsoft Entra Connect > Sync. Den Gesamtstatus und den Zeitstempel der letzten Synchronisation kontrollieren.
- Anmelde-Test: Im InPrivate/Incognito-Fenster mit dem neuen Kennwort an https://myaccount.microsoft.com anmelden. Bei PTA ist die Änderung sofort wirksam; bei PHS dauert es bis zur nächsten Hash-Synchronisierung bzw. bis der Delta-Sync abgeschlossen ist.
- Remote-Clients berücksichtigen: Für domänengebundene Laptops außerhalb des Firmennetzes ist ggf. eine Always On-/VPN-Voranmeldung nötig, damit sich das lokale Windows-Login-Cached Credential aktualisiert.
Häufige Fehlerbilder und deren Behebung
- Fehlende Rechte des Sync-Kontos: PHS benötigt „Replicating Directory Changes“, „Replicating Directory Changes All“ und „Replicating Directory Changes In Filtered Set“. Writeback benötigt Reset-Kennwort-Rechte auf den betroffenen OUs.
- OU-Filter schließt Benutzer aus: In Entra Connect unter „Domain/OU filtering“ sicherstellen, dass die Benutzer-OU ausgewählt ist.
- Nicht synchronisierte oder abweichende UPNs: Der UPN im AD muss einer verifizierten Cloud-Domäne entsprechen. UPN-Anpassungen im AD vornehmen und synchronisieren.
- Netzwerk- oder Proxy-Blockaden: Ausgehender HTTPS-Verkehr vom Connect-/Agent-Server zu Microsoft-Endpunkten muss erlaubt sein (inkl. Azure Service Bus für PTA/Writeback).
- PTA-Agent nicht verfügbar: Mindestens zwei Agents bereitstellen und im Entra Admin Center unter „Pass-through authentication“ den Agent-Heartbeat prüfen.
Notfallmaßnahmen, um Benutzer handlungsfähig zu halten
- Sofortige Änderung im AD und Delta-Sync ausführen (PHS) bzw. nur im AD ändern (PTA).
- Bei wiederkehrenden Anforderungen: SSPR mit Password Writeback aktivieren, damit Helpdesk und Nutzer Kennwörter aus der Cloud heraus sicher zurücksetzen können.
- Optional: Temporärer Zugriffscode (Temporary Access Pass) für den Cloud-Login, wenn MFA-/Registrierungsprobleme bestehen. Hinweis: TAP ersetzt kein AD-Kennwort, ermöglicht aber den Zugang zu Cloud-Diensten, bis das AD-Kennwort aktualisiert ist.
- Überwachung etablieren: Entra Connect Health für Sync/PTA aktivieren und Alarme für fehlschlagende Synchronisierungen oder Agent-Ausfälle konfigurieren.
Hash-Sync, Pass-Through Authentication und Password Writeback: Funktionsweise, Lizenzen, Berechtigungen
Password Hash Synchronization (PHS): Funktionsweise und Eigenschaften
Bei PHS synchronisiert Microsoft Entra Connect (früher Azure AD Connect) in kurzen Intervallen eine nicht umkehrbare Hash-Variante des On-Premises-Kennworthashes in die Cloud. Die Anmeldung in Microsoft 365 erfolgt damit direkt gegen Microsoft Entra ID, ohne Rückfrage an das lokale AD. Passwortänderungen müssen weiterhin im lokalen AD erfolgen; die neue Hash-Variante wird in der Regel innerhalb von etwa 2 Minuten synchronisiert.
Erforderliche Rechte im AD für das Entra Connect-Konto: Replicate Directory Changes und Replicate Directory Changes All auf Domänen-/Forest-Ebene, damit PHS die Passwort-Hashänderungen auslesen darf.
Pass-Through Authentication (PTA): Funktionsweise und Eigenschaften
Bei PTA wird jede Cloud-Anmeldung über den lokal installierten PTA-Agenten (ausgehende Verbindung über Port 443) an das lokale AD delegiert. Es werden keine Passwort-Hashes in der Cloud gespeichert. Passwortänderungen sind ausschließlich im lokalen AD wirksam. Für Hochverfügbarkeit sollten mehrere PTA-Agenten registriert sein.
Erforderliche Rechte im AD: Leserechte für Benutzerobjekte reichen aus; es ist kein Zugriff auf Passwort-Hashes notwendig. Die eigentliche Kennwortprüfung übernimmt das Domänen-Controller-Kerberos/NTLM-Subsystem über den Agenten.
| Methode | Anmeldung | Ort der Passwortänderung | Besonderheiten |
|---|---|---|---|
| PHS | In der Cloud, validiert durch gehashtes Kennwort in Entra ID | Immer im lokalen AD (Hash wird hoch synchronisiert) | Schnelle Propagierung (~2 Min). Cloud-Reset ohne Writeback wird vom nächsten Sync überschrieben. |
| PTA | Delegiert an lokalen PTA-Agent und DC | Immer im lokalen AD | Keine Kennwort-Hashes in der Cloud; mehrere Agenten für HA empfohlen. |
| Writeback (Feature) | Unabhängig von PHS/PTA | Cloud-Reset schreibt in lokales AD zurück | Benötigt Microsoft Entra ID P1 und korrekt konfiguriertes Writeback in Entra Connect. |
Password Writeback: Voraussetzungen und Lizenzen
Password Writeback ermöglicht, Kennwortzurücksetzungen in der Cloud (z. B. durch Helpdesk oder Self-Service) in das lokale AD zurückzuschreiben. Das ist die einzige unterstützte Option, damit ein Cloud-Reset bei synchronisierten Konten tatsächlich wirksam wird.
- Lizenz: Microsoft Entra ID P1 (in Microsoft 365 E3/E5 bzw. EMS E3/E5 enthalten). Betroffene Benutzer müssen lizenziert sein.
- Konfiguration: Entra Connect-Setup > Optionale Features > Kennwortzurückschreiben aktivieren. Danach Delta-Synchronisierung durchführen.
- SSPR: In der Entra Admin Center-Richtlinie Self-Service Password Reset den Schreibzugriff ins lokale AD aktivieren; optional Kontenentsperrung ohne Passwortänderung erlauben.
AD-Berechtigungen für den Entra-Connect-Sync-Account: Reset password auf Benutzerobjekten in den betroffenen OUs; für reine Entsperrung zusätzlich Schreibrecht auf lockoutTime.
Typische Fehlerbilder und gezielte Prüfungen
- OU-Filter: Der Benutzer liegt in einer OU, die in Entra Connect ausgeschlossen ist. Lösung: OU in der Entra-Connect-Konfiguration einschließen, Delta-Sync starten.
- Fehlende Rechte: Der Sync-Account hat kein Reset password (Writeback) oder keine Replicate Directory Changes-Rechte (PHS). Lösung: Rechte gemäß Best Practice auf Domäne/OU erteilen und Dienst neu synchronisieren.
- Nicht synchronisierte Schlüsselattribute: Inkonsistenzen bei userPrincipalName oder immutableId verursachen Anmelde- bzw. Zuordnungsprobleme. Lösung: Attributfluss prüfen und korrigieren.
- PTA-Agent offline: Cloud-Logins schlagen fehl, Passwortänderungen greifen nicht. Lösung: Mindestens zwei aktive Agenten betreiben; Dienststatus prüfen.
Kontrollen: Auf dem Entra-Connect-Server den Synchronization Service Manager (miisclient.exe) öffnen, unter Operations auf Fehler/Export-Fehler prüfen. Ereignisprotokolle: Application and Services Logs > Directory Synchronization > Password Synchronization (PHS) sowie Microsoft > AzureAdConnect > AuthenticationAgent/Admin (PTA). Im Entra Admin Center den Status von Microsoft Entra Connect, PHS/PTA und Writeback prüfen.
Passwortänderung testen und Fehler eingrenzen
- Im lokalen AD das Passwort eines Testbenutzers ändern.
- Auf dem Entra-Connect-Server eine Delta-Synchronisierung auslösen (z. B. über PowerShell: Start-ADSyncSyncCycle -PolicyType Delta).
- In einem InPrivate/Inkognito-Browser mit dem neuen Passwort an portal.microsoft.com anmelden.
- Wenn die Anmeldung mit PHS nach wenigen Minuten noch fehlschlägt: PHS-Events und Export in miisclient prüfen. Bei PTA: Agent-Status und Konnektivität kontrollieren.
Notfall-Reset über die Cloud – nur mit Writeback
Ist Password Writeback aktiv, kann der Helpdesk im Entra Admin Center beim synchronisierten Benutzer „Kennwort zurücksetzen“ ausführen. Das neue Kennwort wird in das lokale AD geschrieben und gilt sofort für Cloud- und On-Premises-Anmeldungen (je nach Replikationslatenz der DCs). Ohne Writeback ist ein Cloud-Reset wirkungslos oder wird vom nächsten Sync überschrieben; in diesem Fall muss das Kennwort zwingend im lokalen AD gesetzt werden. Für die Notfalladministration sollten zusätzlich mindestens zwei cloudnative Break-Glass-Konten existieren.
Schritt für Schritt: Sync-Status prüfen, Echtzeittests, Notfallmaßnahmen, Monitoring und Nutzerkommunikation
Sync-Status fundiert prüfen (Microsoft Entra und lokal)
Vergewissern Sie sich zuerst, dass die Quelle der Wahrheit das lokale Active Directory ist und dass die Synchronisierung fehlerfrei läuft. Prüfen Sie dazu Cloud- und On-Prem-Komponenten.
- Microsoft Entra Admin Center: Identity > Hybrid management > Microsoft Entra Connect > Sync status. Notieren Sie „Last sync“, „Sync errors“ sowie „Password hash sync: Enabled/Disabled“ und den Zeitstempel „Last password sync“.
- Passwort-Writeback-Status: Protection > Password reset > On-premises integration. „Write back passwords to your on-premises directory“ muss Enabled anzeigen, wenn Writeback genutzt wird.
- Auf dem Connect-Server (Microsoft Entra Connect Sync, ehemals Azure AD Connect): Öffnen Sie Synchronization Service Manager (miisclient.exe) und prüfen Sie unter „Operations“, ob die letzten „Import“, „Synchronize“ und „Export“ Läufe ohne Fehler abgeschlossen wurden.
- Scheduler: In einer administrativen PowerShell auf dem Connect-Server Get-ADSyncScheduler ausführen. Achten Sie auf SyncCycleEnabled = True, NextSyncCycleStartTime, und ob Delta-Syncs planmäßig laufen.
Echtzeittests: Passwortänderung nachvollziehen
Mit einem Testkonto lässt sich bestätigen, dass Passwortänderungen aus dem lokalen AD in die Cloud gehen. So gehen Sie vor:
- Lokales AD: Ändern Sie das Kennwort eines synchronisierten Testbenutzers in Active Directory Users and Computers (ADUC). Kein Cloud-Reset.
- Delta-Sync anstoßen: Auf dem Connect-Server Start-ADSyncSyncCycle -PolicyType Delta ausführen, um nicht auf den nächsten geplanten Lauf zu warten.
- Cloud-Prüfung: Im Entra Admin Center beim Benutzer unter Sign-in logs/Authentication details (bzw. Testanmeldung über https://portal.office.com) verifizieren, ob das neue Kennwort akzeptiert wird.
- Zeitkontrolle: Prüfen Sie im Entra Admin Center den „Last password sync“-Zeitstempel. Bei Password Hash Sync ist typischerweise innerhalb von Minuten ein Update sichtbar.
Wenn Pass-Through Authentication verwendet wird, erfolgt keine Passwortreplikation. Testen Sie dann die Anmeldung; schlägt sie fehl, prüfen Sie den Status der PTA-Agents und Netzwerkverbindungen.
Notfallmaßnahmen: Handlungsfähigkeit sichern
- Mit Writeback: Im Entra Admin Center Benutzer aufrufen > Reset password (Administrator-Reset). Das neue Kennwort wird via Writeback ins lokale AD geschrieben. Voraussetzungen: Microsoft Entra ID P1-Lizenz für betroffene Nutzer, „Password writeback“ in Entra Connect und im Portal aktiviert, Sync-Dienstkonto mit Reset-Rechten im AD.
- Ohne Writeback: Passwort im lokalen AD setzen (ggf. via Remotesitzung/VPN) und sofort Delta-Sync auslösen. Informieren Sie den Nutzer über die Gültigkeit erst nach erfolgreichem Sync.
- PTA-Störung: PHS als Fallback aktivieren. Im Entra Connect-Assistenten Password Hash Sync einschalten; nach erstem Hash-Upload können Nutzer auch bei PTA-Ausfall weiter anmelden.
- Außerhalb des Netzes: Nutzer über VPN-Zwang bei On-Prem-Änderung informieren oder kurzfristig SSPR mit Writeback einführen und registrieren lassen (https://aka.ms/sspr), sofern Lizenzen/Policies bereitstehen.
Nicht unterstützt: Cloud-Passwortänderung für synchronisierte Konten ohne Writeback. Solche Resets schlagen reproduzierbar fehl und dürfen nicht als Notfallpfad dokumentiert werden.
Schnellcheck-Tabelle: Was ist gesund, was weist auf Fehler hin?
| Prüfung | Ort | Erwartet | Abweichung | Hinweis/Ursache |
|---|---|---|---|---|
| Last sync | Entra > Connect > Sync status | < 30 Min. | > 1 Std. | Scheduler aus; Dienst gestoppt; Netzwerkfehler |
| Last password sync | Entra > Connect > Sync status | Aktuell bei PHS | Kein Zeitstempel | PHS deaktiviert oder Fehler im Agent |
| Writeback aktiviert | Protection > Password reset | Enabled | Disabled | Keine P1-Lizenzen oder Portal/Connector nicht konfiguriert |
| Sync-Operationen | miisclient.exe > Operations | Success | Errors/Warnings | OU-Filter, Berechtigungen, Attributfehler |
| Scheduler | Get-ADSyncScheduler | Enabled=True | Enabled=False | Geplante Läufe pausiert |
Monitoring und Protokolle
- Connect Health: Identity > Monitoring & health > Connect Health. Alerts zu Fehlern in Sync, PHS, PTA. Agent auf dem Connect-Server prüfen.
- Ereignisanzeige (Connect-Server): Anwendungen- und Diensteprotokolle > Directory Synchronization/Synchronization Service. Korrelation mit Zeitstempel der Passwortänderung.
- Warnungen automatisieren: E-Mail/Teams-Alarme aus Connect Health aktivieren, damit Verzögerungen oder Writeback-Fehler sofort sichtbar werden.
Nutzerkommunikation: Klarheit über den richtigen Ort der Änderung
Kommunizieren Sie eindeutig, dass Kennwortänderungen in hybriden Umgebungen im lokalen AD erfolgen. Formulieren Sie kurze Handlungsanweisungen für Standard- und Ausnahmesituationen.
- Wo ändern? Immer im Firmennetz/VPN über Windows-Anmeldung oder IT-Service; bei SSPR+Writeback über https://aka.ms/sspr.
- Wann wirkt die Änderung? In der Regel binnen weniger Minuten; bei PTA sofort, bei PHS nach nächstem Hash-Sync.
- Was tun bei Sperren? Service Desk kontaktieren; keine Cloud-Resets ohne Writeback versuchen.
- Registrierung: SSPR-Registrierung verpflichtend machen und regelmäßig erinnern, damit Notfälle ohne Helpdesk lösbar sind.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten