Anleitung zur Problembehandlung in Windows LAPS

Dieses Handbuch enthält die grundlegenden Konzepte für die Behandlung von Problemen mit der Windows Local Administrator Password Solution (Windows LAPS).

Windows LAPS ist ein Windows-Feature, das das Kennwort eines lokalen Administratorkontos auf Ihren in Microsoft Entra eingebundenen Geräten oder windows Server Active Directory automatisch verwaltet und gesichert. Windows LAPS kann auch genutzt werden, um das Kennwort des DSRM-Kontos (Directory Services Repair Mode, Reparaturmodus für Verzeichnisdienste) auf Ihren Windows Server Active Directory-Domänencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden. Weitere Informationen finden Sie unter Was ist Windows LAPS?

Notiz

• Dieser Artikel richtet sich an Windows LAPS (das neue Feature), nicht für das ältere LAPS oder die ältere Version von LAPS.
• In diesem Artikel werden nur einige der häufigsten Ursachen aufgeführt. Andere Ursachen können auch vorhanden sein, aber nicht wiederhergestellt bleiben.
• Die folgende Liste enthält die am häufigsten verwendeten Ereignis-IDs und enthält möglicherweise nicht alle Windows LAPS-Ereignisse.

Problembehandlung bei Windows LAPS mithilfe von Windows-Ereignissen

Um Windows LAPS-Ereignisse anzuzeigen, wechseln Sie zu "Anwendungen und Dienste protokolliert>Microsoft>Windows>LAPS>Operational" in Ereignisanzeige.

Notiz

• Die Windows LAPS-Verarbeitung beginnt mit der Ereignis-ID 10003 und endet mit der Ereignis-ID 10004.
• Wenn die Verarbeitung des aktuellen Zyklus aus irgendeinem Grund fehlschlägt, wird die Ereignis-ID 10005 protokolliert.

Windows LAPS hat zwei Szenarien:

• Windows LAPS Active Directory

  Clientcomputer sind so konfiguriert, dass das Kennwort in Active Directory gespeichert wird.

• Windows LAPS Azure Microsoft Entra ID

  Clientcomputer sind so konfiguriert, dass das Kennwort in der Microsoft Entra-ID gespeichert wird.

In der folgenden Tabelle sind die Ereignis-IDs aufgeführt, die in verschiedenen Szenarien protokolliert werden:

Ereignis-ID	Szenario
10006	Windows LAPS Active Directory
10011	Windows LAPS Active Directory
10012	Windows LAPS Active Directory
10013	Windows LAPS Active Directory und Microsoft Entra ID
10017	Windows LAPS Active Directory
10019	Windows LAPS Active Directory und Microsoft Entra ID
10025	Windows LAPS Microsoft Entra ID
10026	Windows LAPS Microsoft Entra ID
10027	Windows LAPS Active Directory und Microsoft Entra ID
10028	Windows LAPS Microsoft Entra ID
10032	Windows LAPS Microsoft Entra ID
10034	Windows LAPS Active Directory
10035	Windows LAPS Active Directory
10048	Windows LAPS Active Directory und Microsoft Entra ID
10049	Windows LAPS Active Directory und Microsoft Entra ID
10056	Windows LAPS Active Directory
10057	Windows LAPS Active Directory
10059	Windows LAPS Microsoft Entra ID
10065	Windows LAPS Active Directory

Ereignis-ID 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Standardmäßig verschlüsselt Windows LAPS das Kennwort des verwalteten Kontos auf dem Clientcomputer. Zur Unterstützung der Verschlüsselung sollte die Domänenfunktionsebene Windows Server 2016 sein.

Lösung

1. Erhöhen Sie bei Bedarf die Domänenfunktionsebene.
2. Deaktivieren Sie die Gruppenrichtlinie " Kennwortverschlüsselung aktivieren" für Clientcomputer.

   Notiz

   Es wird nicht empfohlen, die auf dem Domänencontroller gespeicherte Kennwortverschlüsselung zu deaktivieren.

Ereignis-ID 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS fragt in regelmäßigen Abständen (jede Stunde) Active Directory nach dem Computerstatus ab und der Client-Computer verwendet den Netlogon-Dienst, um einen Domänencontroller auf ihm zu finden.

Lösung

Wenn Sie sich in einer Umgebung befinden, in der Sie nur eine Verbindung mit einem beschreibbaren Domänencontroller haben, öffnen Sie die Netzwerkports zwischen dem Clientcomputer und dem Domänencontroller.

Weitere Informationen finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Ereignis-ID 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Um Windows LAPS einzuführen, müssen Sie das Schema mit Windows LAPS-Attributen erweitern. Oder wenn Sie Windows LAPS im älteren LAPS-Emulationsmodus verwenden, müssen Sie das Schema mit den älteren LAPS-Attributen erweitern. Dieses Problem tritt aus einem der folgenden Gründe auf:

• Ursache 1

  Das Schema wurde nicht mit den neuen Windows LAPS-Attributen erweitert.

• Ursache 2

  Zwischen dem lokalen Domänencontroller (DC) und dem primären Domänencontroller (PDC) ist eine vorübergehende Active Directory-Replikation vorhanden.

• Ursache 3

  Ein Active Directory-Replikationsproblem auf dem lokalen Domänencontroller.

Auflösung zur Ursache 1

Führen Sie das Update-LapsADSchema PowerShell-Cmdlet aus, um das Active Directory-Schema mithilfe von Schemaadministratorberechtigungen zu aktualisieren.

Wenn Sie die ältere LAPS-Emulation verwenden, erweitern Sie das Schema mit dem Update-AdmPwdADSchema PowerShell-Cmdlet (für diese Aktion muss zuerst das ältere LAPS-Produkt installiert werden).

Auflösung zur Ursache 2

Aufgrund der Replikationslatenz wurden die Schemaattribute nicht auf den lokalen Domänencontroller repliziert. Sie können das LDP- oder ADSIEDIT-Snap-In verwenden, um zu ermitteln, ob die Windows LAPS-Schemaattribute repliziert wurden. Erzwingen Sie die Active Directory-Replikation der Schemapartition mit dem Schemamaster mithilfe des folgenden Befehls:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Notiz

• Ersetzen Sie den DC2.contoso.com Namen des durch die Ereignis-ID 10055 identifizierten DC in den Windows LAPS-Ereignisprotokollen.
• Ersetzen Sie PDC.contoso.com den Namen der PDC in Ihrer Umgebung. Sie können die PDC mithilfe des nltest /dsgetdc:contoso.com /pdc /force Befehls identifizieren.

Auflösung zur Ursache 3

Es gibt ein Active Directory-Replikationsproblem zwischen dem lokalen Domänencontroller und anderen Domänencontrollern in der Domäne. Sie können ereignis-ID 10055 in Windows LAPS-Ereignisprotokollen anzeigen, um den Namen des Domänencontrollers zu überprüfen und den repadmin /showreps Befehl auszuführen, um Replikationsfehler zu identifizieren.

Weitere Informationen finden Sie unter Problembehandlung bei Active Directory-Replikationsproblemen.

Ereignis-ID 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS liest den Namen des lokalen Administrators aus der Gruppenrichtlinie oder den Intune-Einstellungsnamen des zu verwaltenden Administratorkontos vor. Wenn diese Einstellung nicht konfiguriert ist, wird nach dem lokalen Konto mit einer Sicherheits-ID (SID) gesucht, die mit 500 (Administrator) endet. Wenn Windows LAPS das Konto nicht finden kann, wird die Ereignis-ID 10013 protokolliert.

In der aktuellen Version von Windows LAPS gibt es kein Feature zum Erstellen des verwalteten Benutzers.

Lösung

Stellen Sie sicher, dass der verwaltete Benutzer in lokalen Benutzern vorhanden ist, indem Sie eine der folgenden Methoden verwenden:

• Verwenden Sie lusrmgr.msc, um lokale Benutzer und Gruppen zu öffnen.
• Führen Sie den Befehl net user aus.

  Notiz

  Stellen Sie sicher, dass am Anfang und am Ende des Kontos keine nachgestellten Leerzeichen vorhanden sind.

Ereignis-ID 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Dies ist ein Statusereignis am Ende eines Windows LAPS-Verarbeitungszyklus. Dieses Ereignis hat keine Ursache, daher müssen Sie die frühere Verarbeitung der Ereignisse überprüfen, bei denen Windows LAPS ein Problem aufgetreten ist.

Lösung

1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie das Invoke-lapsPolicyProcessing Cmdlet aus.
2. Öffnen Sie Ereignisanzeige, und wechseln Sie zu "Anwendungen und Dienste protokolliert>Microsoft>Windows>LAPS>Operational".
3. Filtern Sie nach der neuesten Verarbeitung von Ereignissen ab Ereignis-ID 10003 bis Ereignis-ID 10005.
4. Beheben Sie alle Fehler vor der Ereignis-ID 10017.

Ereignis-ID 10019

LAPS failed to update the local admin account with the new password

Windows LAPS kann das Kennwort des lokal verwalteten Benutzerkontos auf dem lokalen Computer nicht aktualisieren. Windows LAPS hat den verwalteten Benutzer gefunden, hatte jedoch Probleme beim Ändern des Kennworts.

Lösung

• Ermitteln Sie, ob ein Ressourcenproblem wie ein Speicherverlust oder ein Speicherausfall aufgetreten ist. Starten Sie den Computer neu, um zu überprüfen, ob ein ähnlicher Fehler auftritt.
• Eine Drittanbieteranwendung oder ein Filtertreiber, der denselben verwalteten Benutzer verwaltet, lässt Windows LAPS nicht zu, das Kennwort zu verwalten.

Ereignis-ID 10025

Azure discovery failed

Das Gerät (in Microsoft Entra eingebunden oder hybrid eingebunden), das mit Windows LAPS zum Speichern von Kennwörtern in Microsoft Entra ID konfiguriert ist, sollte den Unternehmensregistrierungsendpunkt ermitteln.

Lösung

1. Stellen Sie sicher, dass Sie erfolgreich eine Verbindung mit dem Registrierungsendpunkt (https://enterpriseregistration.windows.net) herstellen können. Wenn Sie Microsoft Edge oder Google Chrome öffnen und eine Verbindung mit dem Registrierungsendpunkt herstellen (https://enterpriseregistration.windows.net), erhalten Sie eine Meldung "Endpunkt nicht gefunden". Diese Meldung bedeutet, dass Sie eine Verbindung mit dem Unternehmensregistrierungsendpunkt herstellen können.
2. Wenn Sie einen Proxyserver verwenden, überprüfen Sie, ob Ihr Proxy im Systemkontext konfiguriert ist. Sie können eine Eingabeaufforderung mit erhöhten Rechten öffnen und den netsh winhttp show proxy Befehl ausführen, um den Proxy anzuzeigen.

Ereignis-ID 10026

LAPS was unable to authenticate to Azure using the device identity

Dieses Problem tritt auf, wenn ein Problem mit dem primären Aktualisierungstoken (PRT) des Geräts auftritt.

Lösung

1. Stellen Sie sicher, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, führen Sie den dsregcmd /status Befehl aus, und überprüfen Sie die folgenden Abschnitte auf Fehler:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls "dsregcmd ", und beheben Sie das Problem.
5. Problembehandlung für hybrid verbundene Microsoft Entra-Geräte mithilfe der Problembehandlung bei verbundenen Microsoft Entra-Hybridgeräten.
6. Verwenden Sie das Tool zur Geräteregistrierungsproblembehandlung, um Probleme mit der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes für die Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS kann das Kennwort des lokal verwalteten Benutzerkontos auf dem lokalen Computer nicht aktualisieren. Windows LAPS hat den verwalteten Benutzer gefunden, hatte jedoch Probleme beim Ändern des Kennworts.

Lösung

1. Überprüfen Sie die Kennwortrichtlinie auf dem Computer, indem Sie den net accounts Befehl in einer Eingabeaufforderung ausführen. Überprüfen Sie eine der Kennwortrichtlinien, wenn sie nicht den Kriterien der von Windows LAPS konfigurierten Kennwortrichtlinie entsprechen, z. B. die Kennwortkomplexität, die Kennwortlänge oder das Kennwortalter.

2. Ermitteln Sie, ob die Einstellung über ein lokales Gruppenrichtlinienobjekt (Group Policy Object, GPO), ein Domänenrichtlinienobjekt oder lokale Sicherheitseinstellungen angewendet wird, indem Sie den GPRESULT /h Befehl ausführen. Ändern Sie die GPO- oder Sicherheitseinstellungen so, dass sie den Windows LAPS-GPO-Kennworteinstellungen entsprechen. Die Einstellungen werden über die Einstellung " Kennworteinstellungen " in GPO oder Intune (MDM) konfiguriert.

   Notiz

   Ihre in Active Directory, lokalen Gruppenrichtlinien oder Sicherheitseinstellungen konfigurierten Kennwortrichtlinien sollten mit den Windows LAPS-Kennworteinstellungen übereinstimmen oder einstellungen enthalten, die unter denen in der Konfiguration der Windows LAPS-Kennworteinstellungen liegen.

3. Überprüfen Sie, ob Sie Über Kennwortfilter von Drittanbietern verfügen, die das Festlegen des Kennworts möglicherweise blockieren.

   1. Downloadprozess-Explorer.

   2. Extrahieren und Ausführen des Prozess-Explorers als Administrator.

   3. Wählen Sie im linken Bereich den LSASS.exe Prozess aus.

   4. Wählen Sie "Ansicht>anzeigen" aus.

   5. Wählen Sie "DlLs der>Unteren Ansichtsansicht" aus.>

      

4. Im unteren Bereich werden die geladenen DLLs oder Module angezeigt. Ermitteln Sie, ob Drittanbietermodule mithilfe des Felds "Firmenname " (andere Module als Microsoft) vorhanden sind.

   Überprüfen Sie die DLL-Liste, um zu ermitteln, ob der Name der DLL (Modul) eines Drittanbieters einige Schlüsselwörter wie "Sicherheit", "Kennwort" oder "Richtlinien" enthält. Deinstallieren oder beenden Sie die Anwendung oder den Dienst, die möglicherweise diese DLL verwenden.

Computer, der mit der Microsoft Entra-ID verknüpft ist

Microsoft Entra-ID oder hybrid verbundene Geräte können mithilfe der Mobilen Geräteverwaltung (Mobile Device Management, MDM) (Intune), lokalen GPOs oder einer ähnlichen Drittanbietersoftware verwaltet werden.

1. Überprüfen Sie die Kennwortrichtlinie auf dem Computer, indem Sie den net accounts Befehl in einer Eingabeaufforderung ausführen. Überprüfen Sie eine der Kennwortrichtlinien, wenn sie nicht den Kriterien der von Windows LAPS konfigurierten Kennwortrichtlinie entsprechen, z. B. die Kennwortkomplexität, die Kennwortlänge oder das Kennwortalter.
2. Ermitteln Sie, ob die Konfliktrichtlinie über Intune, lokales Gruppenrichtlinienobjekt oder eine ähnliche Drittanbietersoftware wie Intune angewendet wird, um die Kennwortrichtlinien auf dem Computer zu verwalten.

Ereignis-ID 10028

LAPS failed to update Azure Active Directory with the new password

Der Windows LAPS-Clientcomputer aktualisiert regelmäßig Kennwörter. Dieses Ereignis wird angezeigt, wenn der mit Windows LAPS konfigurierte Clientcomputer das Kennwort nicht auf die Microsoft Entra-ID aktualisieren kann.

Lösung

1. Stellen Sie sicher, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls "dsregcmd ", und beheben Sie das Problem.
5. Verwenden Sie die Problembehandlung bei verbundenen Microsoft Entra-Hybridgeräten , um Probleme mit microsoft Entra hybrid verbundenen Geräten zu beheben.
6. Verwenden Sie das Tool zur Geräteregistrierungsproblembehandlung, um Probleme mit der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes für die Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10032

LAPS was unable to authenticate to Azure using the device identity

Möglicherweise gibt es Probleme im Zusammenhang mit der Microsoft Entra-Authentifizierung bei verwendung von Geräte-PRT.

Lösung

1. Stellen Sie sicher, dass Sie die Windows LAPS-Funktion in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls "dsregcmd ", und beheben Sie das Problem.
5. Verwenden Sie die Problembehandlung bei verbundenen Microsoft Entra-Hybridgeräten , um Probleme mit microsoft Entra hybrid verbundenen Geräten zu beheben.
6. Verwenden Sie das Tool zur Geräteregistrierungsproblembehandlung, um Probleme mit der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes für die Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Der Verschlüsselungsprinzipal wird über die Einstellung "Autorisierte Kennwortentschlüsselung konfigurieren " mithilfe von GPO oder MDM (Intune) konfiguriert. Es scheint, dass die Einstellung nicht ordnungsgemäß konfiguriert ist.

Lösung

Korrigieren Sie die Intune- oder GPO-Konfiguration. Diese Einstellung akzeptiert zwei Werte:

• SID einer Domänengruppe oder eines Benutzers
• Gruppenname unter <"Domänenname>\<Gruppenname>", <"Domänenname>\<Benutzername>" oder <"Benutzername@<Domänenname>">

Notiz

Stellen Sie sicher, dass am Anfang und ende der Einstellung keine nachgestellten Leerzeichen vorhanden sind.

Ereignis-ID 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Der Verschlüsselungsprinzipal wird über die Einstellung "Autorisierte Kennwortentschlüsselung konfigurieren " mithilfe von GPO oder MDM (Intune) konfiguriert. Die Einstellung akzeptiert eine SID oder einen Domänengruppennamen in "<Domänenname\<Gruppenname>>", <"Domänenname>\<Benutzername>" oder <"Benutzername>@<Domänenname>". Der Fehler tritt auf, wenn der Windows LAPS-Client eine SID nicht in einen Namen oder einen Namen in eine SID auflösen kann.

Lösung

1. Stellen Sie sicher, dass die Domänengruppe in Active Directory vorhanden ist und nicht gelöscht wurde.
2. Wenn die Gruppe neu erstellt wird, warten Sie, bis die Active Directory-Replikation auf dem lokalen Domänencontroller des Clientcomputers zusammengeführt wird.
3. Verwenden Sie das Sysinternal-Tool PsGetSid, um die SID oder den Namen manuell aufzulösen.
   1. Laden Sie PsGetSid herunter.
   2. Extrahieren Sie die heruntergeladene Datei, und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Clientcomputer, auf dem das Problem auftritt.
   3. Führen Sie den Befehl psgetsid -accepteula <SID> or <Name> aus. Verwenden Sie die in der Ereignis-ID 10035 erwähnte SID oder den in der Ereignis-ID 10035 erwähnten Namen.
4. Überprüfen Sie, ob active Directory-Replikationsfehler in der Gesamtstruktur vorhanden sind, und beheben Sie diese. Weitere Informationen finden Sie unter Problembehandlung bei Active Directory-Replikationsproblemen.

Ereignis-ID 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Die Wiederholung nach der Authentifizierung ist die Anzahl der Wiederholungsvorgänge, die versucht haben, das Kennwort mit dem entsprechenden Verzeichnis (Microsoft Entra ID oder Active Directory) zurückzusetzen. Wenn diese Zahl das Maximum von 100 bei einem Start überschreitet, wird dieses Ereignis ausgelöst.

Lösung

1. Identität, wenn beim Herstellen einer Verbindung mit dem entsprechenden Verzeichnis ein Problem auftritt, z. B. Active Directory oder Microsoft Entra ID.
2. Beheben anderer Fehler während der Verarbeitung von Windows LAPS-Ereignissen.

Ereignis-ID 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS kann für eine Aktion nach der Authentifizierung mithilfe der Einstellung nach der Authentifizierung mit GPO oder MDM (Intune) konfiguriert werden. In diesem Szenario wird die Einstellung so konfiguriert, dass der Computer neu gestartet wird, wenn eine Nachauthentifizierungsaktion erkannt wird. Dieses Ereignis zeigt an, dass der Computer nicht neu gestartet werden kann.

Lösung

1. Ermitteln Sie, ob eine Anwendung das Herunterfahren des Computers blockiert.
2. Ermitteln Sie, ob Sie über erforderliche Berechtigungen zum Herunterfahren des Computers verfügen.

Ereignis-ID 10056

LAPS failed to locate a writable domain controller

Der Windows LAPS-Client verwendet den LDAP-Änderungsvorgang (Lightweight Directory Access Protocol), um Kennwörter aus dem Windows LAPS-Client in Active Directory zu schreiben. Windows LAPS muss einen schreibbaren Domänencontroller in der Domäne ermitteln, um das Kennwort des verwalteten Kontos zu schreiben.

Lösung

1. Öffnen Sie eine Eingabeaufforderung auf dem Clientcomputer, und führen Sie den Befehl aus:

   nltest /dsgetdc:<Domain Name> /force /writable
   

   Wenn Sie Fehler 1355 erhalten (Domänencontroller für die Domäne kann nicht gefunden werden), bedeutet dies, dass Sie das problem mit der beschreibbaren DC-Ermittlung beheben müssen.

2. Wenn Sie sich in einer Umgebung befinden, in der Sie nur eine Verbindung mit einem beschreibbaren Domänencontroller haben, öffnen Sie die Netzwerkports zwischen dem Clientcomputer und dem Domänencontroller. Weitere Informationen finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Ereignis-ID 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Bei einer geplanten Hintergrundverarbeitung muss Windows LAPS eine Verbindung mit einem Domänencontroller herstellen. Diese Verarbeitung erfolgt mithilfe des Computerkontexts. Dieser Fehler wird angezeigt, wenn ein Active Directory-Authentifizierungsproblem zwischen dem Clientcomputer und dem Domänencontroller auftritt.

Lösung

1. Stellen Sie sicher, dass das Computerkonto nicht in Active Directory gelöscht wird.

2. Überprüfen Sie alle Probleme mit sicherem Kanal zwischen dem Client und dem Domänencontroller, indem Sie einen Befehl mit erhöhten Rechten ausführen:

   nltest /sc_query:<Domain Name>
   

3. Erneut an dem Computer an der Domäne teilnehmen.

   Notiz

   Stellen Sie sicher, dass Sie das Kennwort des lokalen Administrators kennen.

Ereignis-ID 10059

Azure returned a failure code

Das Ereignis enthält auch einen HTTP-Fehler. Der Fehler tritt beim Herstellen einer Verbindung, Authentifizierung oder Aktualisierung des Kennworts auf die Microsoft Entra-ID auf.

Lösung

1. Stellen Sie sicher, dass Sie erfolgreich eine Verbindung mit dem Microsoft Entra-Registrierungsendpunkt (https://enterpriseregistration.windows.net) herstellen können.
2. Stellen Sie sicher, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
3. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
4. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
5. Überprüfen Sie die Fehlermeldung mithilfe des Befehls "dsregcmd ", und beheben Sie das Problem.
6. Verwenden Sie die Problembehandlung bei verbundenen Microsoft Entra-Hybridgeräten , um Probleme mit microsoft Entra hybrid verbundenen Geräten zu beheben.
7. Verwenden Sie das Tool zur Geräteregistrierungsproblembehandlung, um Probleme mit der Geräteregistrierung zu identifizieren und zu beheben.
8. Wenn Sie eine Fehlermeldung erhalten, lesen Sie die Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes für die Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Dieser Fehler tritt auf, da der Windows LAPS-Clientcomputer Kennwörter des verwalteten Benutzers schreiben muss.

Dieses Problem kann auch auftreten, wenn Sie den Computer in eine andere Organisationseinheit (OU) verschieben und die Ziel-OU nicht über die Selbstberechtigung für den Computer verfügt.

Lösung

1. Wenn Sie das Windows LAPS PowerShell-Cmdlet nicht ausgeführt haben, um dem Computerkonto die Selbstberechtigung zuzuweisen, führen Sie das folgende Cmdlet aus:

   Set-LapsADComputerSelfPermission -identity <OU Name>
   

   Beispiel:

   Set-LapsADComputerSelfPermission -Identity LAPSOU
   Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
   

   Notiz

   Sie können einen distinguished name (DN) verwenden, wenn Sie denselben Namen für die OU, aber in unterschiedlichen Hierarchien haben.

2. Stellen Sie sicher, dass das Computerkonto über die Selbstberechtigung für die OU verfügt, in der das Computerkonto vorhanden ist.

Anmelden bei einem Domänencontroller mit einem Domänenadministratorrecht

1. Öffnen Sie LDP.exe.

2. Wählen Sie "Connection Connect"> aus, und konfigurieren Sie den Server und den Port wie folgt:

   

3. Wählen Sie "Verbindungsbindung"> aus, konfigurieren Sie die folgenden Einstellungen, und wählen Sie dann "OK" aus.

   

4. Wählen Sie "Struktur anzeigen"> aus. Wählen Sie dann in der Dropdownliste von BaseDN die Domäne aus, in der sich Ihr Clientcomputer befindet.

   

5. Durchsuchen Sie die Domänenstruktur, um die OU zu identifizieren, auf der sich die Clientcomputer befinden. Klicken Sie mit der rechten Maustaste auf die OU, und wählen Sie "Sicherheitsdeskriptor bearbeiten" aus>.

   

6. Sortieren Sie die Trustee-Spalte , und suchen Sie die folgenden Benutzerrechte für NT AUTHORITY\SELF Berechtigungen für das msLAPS-Password Attribut.