Freigeben über

Problembehandlung von Fehler SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet

  • Artikel

Dieser Artikel hilft Ihnen bei der Problembehandlung bei der Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) "SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet", die auftritt, nachdem der Benutzer oder Administrator ein neues Kennwort auf der SSPR-Seite eingegeben und bestätigt hat.

Symptome

Ein Benutzer oder Administrator führt die folgenden Schritte aus und empfängt dann einen SSPR_0029 Fehler:

  1. Bei einer Anmeldeseite eines Microsoft-Kontos oder einer Microsoft Azure-Anmeldeseite in der https://login.microsoftonline.com Domäne wählt ein Benutzer oder Administrator " Kann nicht auf Ihr Konto zugreifen?", vergessen Sie mein Kennwort, oder setzen Sie es jetzt zurück.

  2. Der Benutzer oder Administrator wählt den Kontotyp "Geschäfts-, Schul- oder Unikonto " aus. Anschließend werden sie zur SSPR-Seite https://passwordreset.microsoftonline.com umgeleitet, um den "Zurück in Ihren Kontoablauf " zu starten.

  3. Auf dem Bildschirm "Wer sind Sie?" gibt der Benutzer oder Administrator seine Benutzer-ID ein, schließt eine Captcha-Sicherheitsaufforderung ohne Groß-/Kleinschreibung ab und wählt dann "Weiter" aus.

  4. Auf dem Bildschirm "Warum haben Sie Probleme beim Anmelden?", wählt der Benutzer oder Administrator aus, dass ich mein Kennwort>"Weiter" vergessen habe.

  5. Auf dem Bildschirm "Neues Kennwort auswählen" gibt der Benutzer oder Administrator eine neue Kennwortzeichenfolge ein und bestätigt sie und wählt dann "Fertig stellen" aus. Anschließend wird ein We'reorry screen angezeigt und zeigt die folgende Meldung an:

    SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

    Wenn Sie Administrator sind, erhalten Sie weitere Informationen im Artikel zur Problembehandlung beim Kennwortrückschreiben. Wenn Sie kein Administrator sind, können Sie diese Informationen angeben, wenn Sie sich an Ihren Administrator wenden.

Ursache 1: Kennwortrückschreiben kann nicht verwendet werden, um das Kennwort eines synchronisierten Windows Active Directory-Administrators zurückzusetzen.

Sie sind ein synchronisierter Windows Active Directory-Administrator, der zu einer lokales Active Directory geschützten Gruppe gehört (oder verwendet hat), und Sie können SSPR- und Kennwortrückschreiben nicht verwenden, um Ihr lokales Kennwort zurückzusetzen.

Lösung: Keine (Verhalten ist beabsichtigt)

Aus Sicherheitsgründen können Administratorkonten, die in einer lokalen geschützten Active Directory-Gruppe vorhanden sind, nicht zusammen mit Kennwortrückschreiben verwendet werden. Administratoren können ihr Kennwort in der Cloud ändern, aber kein vergessenes Kennwort zurücksetzen. Weitere Informationen finden Sie unter How does self-service password reset writeback work in Microsoft Entra ID.

Ursache 2: Das AD DS Connector-Konto verfügt nicht über die richtigen Active Directory-Berechtigungen.

Der synchronisierte Benutzer fehlt die richtigen Berechtigungen in Active Directory.

Lösung: Beheben von Active Directory-Berechtigungsproblemen

Informationen zum Beheben von Problemen, die sich auf Active Directory-Berechtigungen auswirken, finden Sie unter Kennwortrückschreiben von Zugriffsrechten und Berechtigungen.

Problemumgehung: Ziel eines anderen Active Directory-Domänencontrollers

Notiz

Das Kennwortrückschreiben hat eine Abhängigkeit von der älteren API NetUserGetInfo. Die NetUserGetInfo API erfordert einen komplexen Satz zulässiger Berechtigungen in Active Directory, der schwierig zu identifizieren sein kann, insbesondere, wenn ein Microsoft Entra Connect-Server auf einem Domänencontroller ausgeführt wird. Weitere Informationen finden Sie unter Anwendungen mit NetUserGetInfo und ähnlichen APIs, die lesezugriff auf bestimmte Active Directory-Objekte verwenden.

Haben Sie ein Szenario, in dem ein Microsoft Entra Connect-Server auf einem Domänencontroller ausgeführt wird und es nicht möglich ist, Active Directory-Berechtigungen aufzulösen? In diesem Fall wird empfohlen, microsoft Entra Connect-Server auf einem Mitgliedsserver anstelle eines Domänencontrollers bereitzustellen. Oder konfigurieren Sie Ihren Active Directory-Connector so, dass nur bevorzugte Domänencontroller verwendet werden, indem Sie die folgenden Schritte ausführen:

  1. Suchen Sie im Startmenü nach dem Synchronisierungsdienst-Manager, und wählen Sie den Synchronisierungsdienst-Manager aus.

  2. Wählen Sie im Fenster "Synchronisierungsdienst-Manager " die Registerkarte "Connectors " aus.

  3. Klicken Sie mit der rechten Maustaste in der Liste der Connectors auf den Active Directory-Connector, und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie im Dialogfeld "Eigenschaften" im Bereich "Connector-Designer" die Option "Verzeichnispartitionen konfigurieren" aus.

  5. Wählen Sie im Bereich "Verzeichnispartitionen konfigurieren" die Option "Nur bevorzugte Domänencontroller verwenden" und dann " Konfigurieren" aus.

  6. Fügen Sie im Dialogfeld "Bevorzugte DCs konfigurieren" einen oder mehrere Servernamen hinzu, die auf einen anderen Domänencontroller (oder Domänencontroller) als den lokalen Host verweisen.

  7. Wenn Sie Ihre Änderungen speichern und zum Hauptfenster zurückkehren möchten, wählen Sie dreimal "OK" aus, einschließlich des Dialogfelds "Warnung", in dem ein Haftungsausschluss für erweiterte Konfigurationen angezeigt wird.

Ursache 3: Server dürfen keine Remoteanrufe an Den Security Accounts Manager (SAM) tätigen.

In diesem Fall werden zwei ähnliche Anwendungsfehlerereignisse protokolliert: Ereignis-ID 33004 und 6329. Die Ereignis-ID 6329 unterscheidet sich von 33004, da sie einen ERROR_ACCESS_DENIED Fehlercode in der Stapelablaufverfolgung enthält, wenn der Server versucht, einen Remoteaufruf an SAM durchzuführen:

ERR_: MMS(####): admaexport.cpp(2944): Fehler beim Abrufen von Benutzerinformationen: Contoso\MSOL_############. Fehlercode: ERROR_ACCESS_DENIED

Diese Situation kann auftreten, wenn der Microsoft Entra Connect-Server oder der Domänencontroller eine Sperrungssicherheitseinstellung mit einem Gruppenrichtlinienobjekt (Domain Group Policy Object, GPO) oder in der lokalen Sicherheitsrichtlinie des Servers angewendet hat oder hatte. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dies der Fall ist:

  1. Öffnen Sie ein Administrator-Eingabeaufforderungsfenster, und führen Sie die folgenden Befehle aus:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Öffnen Sie die Datei "C:\Temp\gpresult.htm" in Ihrem Webbrowser, und erweitern Sie "Computerdetails>Settings>Policies>Windows Settings>Security Settings>Local Policies/Security Options>Network Access". Überprüfen Sie dann, ob Sie über eine Einstellung mit dem Namen "Netzwerkzugriff" verfügen: Clients einschränken, die Remoteanrufe an SAM tätigen dürfen.

  3. Um das Snap-In für lokale Sicherheitsrichtlinien zu öffnen, wählen Sie "Start" aus, geben Sie "secpol.msc" ein, drücken Sie die EINGABETASTE, und erweitern Sie dann "Lokale Richtlinien>erweitern" die Sicherheitsoptionen.

  4. Wählen Sie in der Liste der Richtlinien "Netzwerkzugriff" die Option "Netzwerkzugriff" aus : Clients einschränken, die Remoteanrufe an SAM tätigen dürfen. In der Spalte "Sicherheitseinstellung" wird "Nicht definiert" angezeigt, wenn die Einstellung nicht aktiviert ist, oder es wird ein O:BAG:... Sicherheitsdeskriptorwert angezeigt, wenn die Einstellung aktiviert ist. Wenn die Einstellung aktiviert ist, können Sie auch das Symbol "Eigenschaften" auswählen, um die aktuell angewendete Zugriffssteuerungsliste (Access Control List, ACL) anzuzeigen.

    Notiz

    Diese Richtlinieneinstellung ist standardmäßig deaktiviert. Wenn diese Einstellung auf ein Gerät über ein Gruppenrichtlinienobjekt oder eine lokale Richtlinieneinstellung angewendet wird, wird ein Registrierungswert namens RestrictRemoteSam im Registrierungspfad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ erstellt. Diese Registrierungseinstellung kann jedoch schwer zu löschen sein, nachdem sie definiert und auf den Server angewendet wurde. Wenn Sie die Gruppenrichtlinieneinstellung deaktivieren oder die Option "Diese Richtlinieneinstellung definieren" in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) deaktivieren, wird der Registrierungseintrag nicht entfernt. Daher schränkt der Server weiterhin ein, welche Clients Remoteanrufe an SAM tätigen dürfen.

    Wie überprüfen Sie genau, ob der Microsoft Entra Connect-Server oder der Domänencontroller weiterhin Remoteanrufe auf SAM beschränken? Sie überprüfen, ob der Registrierungseintrag vorhanden bleibt, indem Sie das Cmdlet "Get-ItemProperty " in PowerShell ausführen:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

Zeigt die PowerShell-Ausgabe an, dass noch ein RestrictRemoteSam-Registrierungseintrag vorhanden ist? Wenn ja, haben Sie zwei mögliche Lösungen.

Lösung 1: Hinzufügen des AD DS Connector-Kontos zur Liste der zulässigen Benutzer

Behalten Sie den Netzwerkzugriff bei: Beschränken Sie Clients, die Remoteaufrufe an die SAM-Richtlinieneinstellung aktiviert und auf den Microsoft Entra Connect-Server angewendet werden dürfen, fügen Sie jedoch das Active Directory-Domäne Services (AD DS)-Connectorkonto (MSOL_ Konto) zur Liste der zulässigen Benutzer hinzu. Anweisungen finden Sie in den folgenden Schritten:

  1. Wenn Sie den Namen Ihres AD DS Connector-Kontos nicht kennen, lesen Sie "Identifizieren des AD DS Connector-Kontos".

  2. Wechseln Sie im GPMC- oder lokalen Sicherheitsrichtlinien-Snap-In zurück zum Eigenschaftendialogfeld für diese Richtlinieneinstellung.

  3. Wählen Sie "Sicherheit bearbeiten" aus, um das Dialogfeld "Sicherheitseinstellungen für den Remotezugriff auf SAM " anzuzeigen.

  4. Wählen Sie in der Liste " Gruppe" oder "Benutzernamen " die Option "Hinzufügen " aus, um das Dialogfeld "Benutzer oder Gruppen auswählen" anzuzeigen. Geben Sie im Feld "Objektnamen eingeben" den Namen des AD DS Connector-Kontos (MSOL_ Konto) ein, und wählen Sie dann "OK " aus, um das Dialogfeld zu beenden.

  5. Wählen Sie das AD DS Connector-Konto in der Liste aus. Wählen Sie unter "Berechtigungen für <Den Kontonamen>" in der Zeile "Remotezugriff" die Option "Zulassen" aus.

  6. Wählen Sie zweimal OK aus, um die Änderungen an der Richtlinieneinstellung zu akzeptieren und zur Liste der Richtlinieneinstellungen zurückzukehren.

  7. Öffnen Sie ein Fenster mit administratortechnischer Eingabeaufforderung, und führen Sie den GpUpdate-Befehl aus, um eine Gruppenrichtlinienaktualisierung zu erzwingen:

    gpupdate /force

Lösung 2: Entfernen des Netzwerkzugriffs: Beschränken von Clients, die Remoteaufrufe an die SAM-Richtlinieneinstellung zulassen, und löschen Sie dann manuell den Registrierungseintrag "RestrictRemoteSam".

  1. Wenn die Sicherheitseinstellung aus der lokalen Sicherheitsrichtlinie angewendet wird, fahren Sie mit Schritt 4 fort.

  2. Öffnen Sie das GPMC-Snap-In über einen Domänencontroller, und bearbeiten Sie das entsprechende Domänenrichtlinienobjekt.

  3. Erweitern Sie die Sicherheitseinstellungen>für Computerkonfigurationsrichtlinien>>für Windows-Einstellungen>für die Computerkonfiguration>lokaler Richtlinien>– Sicherheitsoptionen.

  4. Wählen Sie in der Liste der Sicherheitsoptionen die Option "Netzwerkzugriff" aus : Clients einschränken, die Remoteanrufe an SAM tätigen dürfen, öffnen Sie "Eigenschaften", und deaktivieren Sie dann "Diese Richtlinieneinstellung definieren ".

  5. Öffnen Sie ein Fenster mit administratortechnischer Eingabeaufforderung, und führen Sie den GpUpdate-Befehl aus, um eine Gruppenrichtlinienaktualisierung zu erzwingen:

    gpupdate /force

  6. Um einen neuen Gruppenrichtlinienergebnisbericht (GPreport.htm) zu generieren, führen Sie den gpresult-Befehl aus, und öffnen Sie dann den neuen Bericht in einem Webbrowser:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. Überprüfen Sie den Bericht, um sicherzustellen, dass die Richtlinieneinstellung für den Netzwerkzugriff: Clients einschränken, die Remoteanrufe an SAM tätigen dürfen, sind nicht definiert.

  8. Öffnen Sie eine Administrative PowerShell-Konsole.

  9. Um den Registrierungseintrag RestrictRemoteSam zu entfernen, führen Sie das Cmdlet Remove-ItemProperty aus:

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Notiz

    Wenn Sie den Registrierungseintrag RestrictRemoteSam löschen, ohne die Einstellung des Domänenrichtlinienobjekts zu entfernen, wird dieser Registrierungseintrag im nächsten Aktualisierungszyklus für Gruppenrichtlinien neu erstellt, und der SSPR_0029 Fehler tritt erneut auf.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.