Leitfaden zur Problembehandlung für Windows LAPS

Dieser Leitfaden enthält die grundlegenden Konzepte, die bei der Behandlung von Problemen mit der Windows-Lösung für lokale Administratorkennwörter (Windows LAPS) verwendet werden können.

Windows LAPS ist ein Windows-Feature, das automatisch das Kennwort eines lokalen Administratorkontos auf Ihren Microsoft Entra oder Windows Server Active Directory eingebundenen Geräten verwaltet und sichert. Sie können windows LAPS auch verwenden, um das Kontokennwort für den Verzeichnisdienstreparaturmodus (DSRM) auf Ihren Windows Server Active Directory Domänencontrollern automatisch zu verwalten und zu sichern. Ein autorisierter Administrator kann das DSRM-Kennwort abrufen und verwenden. Weitere Informationen finden Sie unter Was ist Windows LAPS?

Hinweis

• Dieser Artikel gilt für Windows LAPS (das neue Feature), nicht für die ältere LAPS-Version oder die ältere Version von LAPS.
• In diesem Artikel werden nur einige der häufigsten möglichen Ursachen aufgeführt. Es können auch andere Ursachen vorhanden sein, die aber unentdeckt bleiben.
• Die folgende Liste enthält die häufigsten Ereignis-IDs und enthält möglicherweise nicht alle Windows LAPS-Ereignisse.

Problembehandlung bei Windows LAPS mithilfe von Windows-Ereignissen

Um Windows LAPS-Ereignisse anzuzeigen, wechseln Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>LAPS>Operational in Ereignisanzeige.

Hinweis

• Die Windows LAPS-Verarbeitung beginnt mit der Ereignis-ID 10003 und endet mit der Ereignis-ID 10004.
• Wenn die Verarbeitung des aktuellen Zyklus aus irgendeinem Grund fehlschlägt, wird die Ereignis-ID 10005 protokolliert.

Windows LAPS verfügt über zwei Szenarien:

• Windows LAPS Active Directory

  Clientcomputer sind so konfiguriert, dass sie das Kennwort in Active Directory speichern.

• Windows LAPS Azure Microsoft Entra ID

  Clientcomputer sind so konfiguriert, dass das Kennwort in Microsoft Entra ID gespeichert wird.

In der folgenden Tabelle sind die Ereignis-IDs aufgeführt, die in verschiedenen Szenarien protokolliert werden:

Ereignis-ID	Szenario
10006	Windows LAPS Active Directory
10011	Windows LAPS Active Directory
10012	Windows LAPS Active Directory
10013	Windows LAPS Active Directory und Microsoft Entra ID
10017	Windows LAPS Active Directory
10019	Windows LAPS Active Directory und Microsoft Entra ID
10025	Windows LAPS Microsoft Entra ID
10026	Windows LAPS Microsoft Entra ID
10027	Windows LAPS Active Directory und Microsoft Entra ID
10028	Windows LAPS Microsoft Entra ID
10032	Windows LAPS Microsoft Entra ID
10034	Windows LAPS Active Directory
10035	Windows LAPS Active Directory
10048	Windows LAPS Active Directory und Microsoft Entra ID
10049	Windows LAPS Active Directory und Microsoft Entra ID
10056	Windows LAPS Active Directory
10057	Windows LAPS Active Directory
10059	Windows LAPS Microsoft Entra ID
10065	Windows LAPS Active Directory

Ereignis-ID 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Standardmäßig verschlüsselt Windows LAPS das Kennwort des verwalteten Kontos auf dem Clientcomputer. Um die Verschlüsselung zu unterstützen, sollte die Domänenfunktionsebene Windows Server 2016 sein.

Lösung

1. Erhöhen Sie bei Bedarf die Domänenfunktionsebene.
2. Deaktivieren Sie die Gruppenrichtlinie Kennwortverschlüsselung für Clientcomputer aktivieren.

   Hinweis

   Es wird nicht empfohlen, die auf dem Domänencontroller gespeicherte Kennwortverschlüsselung zu deaktivieren.

Ereignis-ID 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS fragt Active Directory in regelmäßigen Abständen (stündlich) nach dem Computerstatus ab, und der Clientcomputer verwendet den Netlogon-Dienst, um einen Domänencontroller darauf zu ermitteln.

Lösung

Wenn Sie sich in einer Umgebung befinden, in der nur eine Verbindung mit einem beschreibbaren Domänencontroller besteht, öffnen Sie die Netzwerkports zwischen dem Clientcomputer und dem Domänencontroller.

Weitere Informationen finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Ereignis-ID 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Um Windows LAPS einzuführen, müssen Sie das Schema mit Windows LAPS-Attributen erweitern. Wenn Sie Windows LAPS im älteren LAPS-Emulationsmodus verwenden, müssen Sie das Schema mit den älteren LAPS-Attributen erweitern. Dieses Problem kann aus einem der folgenden Gründe auftreten:

• Grundursache 1

  Das Schema wurde nicht um die neuen Windows LAPS-Attribute erweitert.

• Grundursache 2

  Zwischen dem lokalen Domänencontroller (DC) und dem primären Domänencontroller (PDC) besteht eine vorübergehende Active Directory-Replikation.

• Grundursache 3

  Ein Active Directory-Replikationsproblem auf dem lokalen Domänencontroller.

Lösung zur Grundursache 1

Führen Sie das Update-LapsADSchema PowerShell-Cmdlet aus, um das Active Directory-Schema mithilfe von Schema-Admin-Berechtigungen zu aktualisieren.

Wenn Sie die Legacy-LAPS-Emulation verwenden, erweitern Sie das Schema mit dem Update-AdmPwdADSchema PowerShell-Cmdlet (für diese Aktion muss zuerst das ältere LAPS-Produkt installiert werden).

Lösung zur Grundursache 2

Aufgrund der Replikationslatenz wurden die Schemaattribute nicht auf den lokalen Domänencontroller repliziert. Sie können das LDP- oder ADSIEDIT-Snap-In verwenden, um zu ermitteln, ob die Windows LAPS-Schemaattribute repliziert wurden. Erzwingen Sie die Active Directory-Replikation der Schemapartition mit dem schema master, indem Sie den folgenden Befehl verwenden:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Hinweis

• Ersetzen Sie durch DC2.contoso.com den Namen des Domänencontrollers, der durch die Ereignis-ID 10055 in den Windows LAPS-Ereignisprotokollen identifiziert wird.
• Ersetzen Sie durch PDC.contoso.com den Namen des PDC in Ihrer Umgebung. Sie können die PDC mithilfe des nltest /dsgetdc:contoso.com /pdc /force Befehls identifizieren.

Lösung zur Grundursache 3

Es gibt ein Problem mit der Active Directory-Replikation zwischen dem lokalen Domänencontroller und anderen Domänencontrollern in der Domäne. Sie können ereignis-ID 10055 in Windows LAPS-Ereignisprotokollen anzeigen, um den Namen des Domänencontrollers zu überprüfen und den repadmin /showreps Befehl auszuführen, um Replikationsfehler zu identifizieren.

Weitere Informationen finden Sie unter Problembehandlung bei der Active Directory-Replikation.

Ereignis-ID 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS liest den Namen des lokalen Administrators aus Gruppenrichtlinie oder die Intune Einstellung Name des zu verwaltenden Administratorkontos. Wenn diese Einstellung nicht konfiguriert ist, wird nach dem lokalen Konto mit einer Sicherheits-ID (SID) gesucht, die auf 500 (Administrator) endet. Wenn Windows LAPS das Konto nicht finden kann, wird die Ereignis-ID 10013 protokolliert.

In der aktuellen Version von Windows LAPS gibt es kein Feature zum Erstellen des verwalteten Benutzers.

Lösung

Stellen Sie mithilfe einer der folgenden Methoden sicher, dass der verwaltete Benutzer in lokalen Benutzern vorhanden ist:

• Verwenden Sie lusrmgr.msc , um lokale Benutzer und Gruppen zu öffnen.
• Führen Sie den Befehl net user aus.

  Hinweis

  Stellen Sie sicher, dass am Anfang und Ende des Kontos keine nachfolgenden Leerzeichen vorhanden sind.

Ereignis-ID 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Dies ist ein status-Ereignis am Ende eines Windows LAPS-Verarbeitungszyklus. Dieses Ereignis hat keine Grundursache, sodass Sie die frühere Verarbeitung der Ereignisse überprüfen müssen, bei denen Windows LAPS ein Problem aufgetreten ist.

Lösung

1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie das Invoke-lapsPolicyProcessing Cmdlet aus.
2. Öffnen Sie Ereignisanzeige, und wechseln Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>LAPS>Operational.
3. Filtern Sie nach der neuesten Verarbeitung von Ereignissen, die von Ereignis-ID 10003 bis Ereignis-ID 10005 beginnen.
4. Beheben Sie alle Fehler vor ereignis-ID 10017.

Ereignis-ID 10019

LAPS failed to update the local admin account with the new password

Windows LAPS kann das Kennwort des lokal verwalteten Benutzerkontos auf dem lokalen Computer nicht aktualisieren. Windows LAPS hat den verwalteten Benutzer gefunden, hatte jedoch Probleme beim Ändern des Kennworts.

Lösung

• Ermitteln Sie, ob ein Ressourcenproblem wie ein Speicherverlust oder ein Problem mit nicht genügend Arbeitsspeicher vorliegt. Starten Sie den Computer neu, um zu überprüfen, ob ein ähnlicher Fehler auftritt.
• Eine Drittanbieteranwendung oder ein Filtertreiber, der denselben verwalteten Benutzer verwaltet, lässt windows LAPS nicht zu, das Kennwort zu verwalten.

Ereignis-ID 10025

Azure discovery failed

Das Gerät (Microsoft Entra oder hybrid eingebunden), das mit Windows LAPS zum Speichern von Kennwörtern in Microsoft Entra ID konfiguriert ist, sollte den Unternehmensregistrierungsendpunkt ermitteln.

Lösung

1. Stellen Sie sicher, dass Sie erfolgreich eine Verbindung mit dem Registrierungsendpunkt (https://enterpriseregistration.windows.net) herstellen können. Wenn Sie Microsoft Edge oder Google Chrome öffnen und eine Verbindung mit dem Registrierungsendpunkt (https://enterpriseregistration.windows.net) herstellen, wird die Meldung "Endpunkt nicht gefunden" angezeigt. Diese Meldung bedeutet, dass Sie eine Verbindung mit dem Unternehmensregistrierungsendpunkt herstellen können.
2. Wenn Sie einen Proxyserver verwenden, überprüfen Sie, ob Ihr Proxy im Systemkontext konfiguriert ist. Sie können eine Eingabeaufforderung mit erhöhten Rechten öffnen und den netsh winhttp show proxy Befehl ausführen, um den Proxy anzuzeigen.

Ereignis-ID 10026

LAPS was unable to authenticate to Azure using the device identity

Dieses Problem tritt auf, wenn ein Problem mit dem primären Aktualisierungstoken (PRT) des Geräts vorliegt.

Lösung

1. Vergewissern Sie sich, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, führen Sie den dsregcmd /status Befehl aus, und überprüfen Sie die folgenden Abschnitte auf Fehler:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls dsregcmd , und beheben Sie das Problem.
5. Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten mithilfe von Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten.
6. Verwenden Sie das Problembehandlungstool für die Geräteregistrierung , um Probleme bei der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, finden Sie unter Microsoft Entra Authentifizierungs- und Autorisierungsfehlercodes eine Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS kann das Kennwort des lokal verwalteten Benutzerkontos auf dem lokalen Computer nicht aktualisieren. Windows LAPS hat den verwalteten Benutzer gefunden, hatte jedoch Probleme beim Ändern des Kennworts.

Lösung

1. Überprüfen Sie die Kennwortrichtlinie auf dem Computer, indem Sie den net accounts Befehl an einer Eingabeaufforderung ausführen. Überprüfen Sie eine der Kennwortrichtlinien, wenn sie die Kriterien der windows LAPS-konfigurierten Kennwortrichtlinie nicht erfüllen, z. B. Kennwortkomplexität, Kennwortlänge oder Kennwortalter.

2. Ermitteln Sie, ob die Einstellung über ein lokales Gruppenrichtlinie Object (GPO), ein Domänen-GPO oder lokale Sicherheitseinstellungen angewendet wird, indem Sie den GPRESULT /h Befehl ausführen. Ändern Sie das Gruppenrichtlinienobjekt oder die Sicherheitseinstellungen so, dass sie den Kennworteinstellungen des Windows LAPS-Gruppenrichtlinienobjekts entsprechen. Die Einstellungen werden über die Einstellung Kennworteinstellungen in GPO oder Intune (MDM) konfiguriert.

   Hinweis

   Ihre in Active Directory, dem lokalen Gruppenrichtlinienobjekt oder den Sicherheitseinstellungen konfigurierten Kennwortrichtlinien sollten mit den Windows LAPS-Kennworteinstellungen übereinstimmen oder niedrigere Einstellungen als in der Konfiguration der Windows LAPS-Kennworteinstellungen enthalten.

3. Überprüfen Sie, ob Sie über Kennwortfilter von Drittanbietern verfügen, die möglicherweise das Festlegen des Kennworts blockieren.

   1. Prozess-Explorer herunterladen.

   2. Extrahieren und Ausführen von Process Explorer als Administrator.

   3. Wählen Sie im linken Bereich den LSASS.exe Prozess aus.

   4. Wählen Sie Ansicht>Unterer Bereich anzeigen aus.

   5. Wählen Sie View>Lower Pane View>DLLs aus.

      

4. Im unteren Bereich werden die geladenen DLLs oder Module angezeigt. Ermitteln Sie mithilfe des Felds Firmenname (alle module außer Microsoft), ob Module von Drittanbietern vorhanden sind.

   Überprüfen Sie die DLL-Liste, um zu ermitteln, ob der Name der Drittanbieter-DLL (Modul) Schlüsselwörter wie "Sicherheit", "Kennwort" oder "Richtlinien" enthält. Deinstallieren oder beenden Sie die Anwendung oder den Dienst, die diese DLL möglicherweise verwendet.

Computer, der mit Microsoft Entra ID verknüpft ist

Microsoft Entra ID oder hybrid eingebundene Geräte können mithilfe der Verwaltung mobiler Geräte (Mobile Device Management, MDM) (Intune), lokalen Gruppenrichtlinienobjekten oder einer ähnlichen Drittanbietersoftware verwaltet werden.

1. Überprüfen Sie die Kennwortrichtlinie auf dem Computer, indem Sie den net accounts Befehl an einer Eingabeaufforderung ausführen. Überprüfen Sie eine der Kennwortrichtlinien, wenn sie die Kriterien der windows LAPS-konfigurierten Kennwortrichtlinie nicht erfüllen, z. B. Kennwortkomplexität, Kennwortlänge oder Kennwortalter.
2. Ermitteln Sie, ob die in Konflikt stehende Richtlinie über Intune, lokales Gruppenrichtlinienobjekt oder eine ähnliche Drittanbietersoftware wie Intune angewendet wird, um die Kennwortrichtlinien auf dem Computer zu verwalten.

Ereignis-ID 10028

LAPS failed to update Azure Active Directory with the new password

Der Windows LAPS-Clientcomputer aktualisiert Kennwörter in regelmäßigen Abständen. Dieses Ereignis wird angezeigt, wenn der mit Windows LAPS konfigurierte Clientcomputer das Kennwort nicht auf Microsoft Entra ID aktualisieren kann.

Lösung

1. Vergewissern Sie sich, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls dsregcmd , und beheben Sie das Problem.
5. Verwenden Sie Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten, um Probleme mit Microsoft Entra hybrid eingebundenen Geräten zu beheben.
6. Verwenden Sie das Problembehandlungstool für die Geräteregistrierung , um Probleme bei der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, finden Sie unter Microsoft Entra Authentifizierungs- und Autorisierungsfehlercodes eine Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10032

LAPS was unable to authenticate to Azure using the device identity

Möglicherweise gibt es Probleme im Zusammenhang mit der Microsoft Entra-Authentifizierung bei Verwendung von Geräte-PRT.

Lösung

1. Vergewissern Sie sich, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
2. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
3. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
4. Überprüfen Sie die Fehlermeldung mithilfe des Befehls dsregcmd , und beheben Sie das Problem.
5. Verwenden Sie Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten, um Probleme mit Microsoft Entra hybrid eingebundenen Geräten zu beheben.
6. Verwenden Sie das Problembehandlungstool für die Geräteregistrierung , um Probleme bei der Geräteregistrierung zu identifizieren und zu beheben.
7. Wenn Sie eine Fehlermeldung erhalten, finden Sie unter Microsoft Entra Authentifizierungs- und Autorisierungsfehlercodes eine Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Der Verschlüsselungsprinzipal wird über die Einstellung Konfigurieren autorisierter Kennwortentschlüsselungsoren mithilfe von GPO oder MDM (Intune) konfiguriert. Es scheint, dass die Einstellung nicht ordnungsgemäß konfiguriert ist.

Lösung

Korrigieren Sie die Intune- oder GPO-Konfiguration. Diese Einstellung akzeptiert zwei Werte:

• SID einer Domänengruppe oder eines Benutzers
• Gruppenname in <Domänenname>\<Gruppenname>, <Domänenname>\<Benutzername> oder <Benutzername>@<Domänenname>

Hinweis

Stellen Sie sicher, dass am Anfang und Am Ende der Einstellung keine nachgestellten Leerzeichen vorhanden sind.

Ereignis-ID 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Der Verschlüsselungsprinzipal wird über die Einstellung Konfigurieren autorisierter Kennwortentschlüsselungsoren mithilfe von GPO oder MDM (Intune) konfiguriert. Die Einstellung akzeptiert eine SID oder einen Domänengruppennamen in Domänenname<>\<Gruppenname>, <Domänenname>\<Benutzername> oder <Benutzername>@<Domänenname>. Der Fehler tritt auf, wenn der Windows LAPS-Client eine SID nicht in einen Namen oder einen Namen in eine SID auflösen kann.

Lösung

1. Vergewissern Sie sich, dass die Domänengruppe in Active Directory vorhanden und nicht gelöscht wurde.
2. Wenn die Gruppe neu erstellt wird, warten Sie, bis die Active Directory-Replikation auf dem lokalen Domänencontroller des Clientcomputers zusammengeführt ist.
3. Verwenden Sie das Sysinternal-Tool PsGetSid, um die SID oder den Namen manuell aufzulösen.
   1. Laden Sie PsGetSid herunter.
   2. Extrahieren Sie die heruntergeladene Datei, und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Clientcomputer, auf dem das Problem auftritt.
   3. Führen Sie den Befehl psgetsid -accepteula <SID> or <Name> aus. Verwenden Sie die SID oder den Namen, die in Ereignis-ID 10035 erwähnt werden.
4. Überprüfen Sie, ob Active Directory-Replikationsfehler in der Gesamtstruktur vorhanden sind, und beheben Sie diese. Weitere Informationen finden Sie unter Problembehandlung bei der Active Directory-Replikation.

Ereignis-ID 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Der Wiederholungsversuch nach der Authentifizierung ist die Anzahl der Wiederholungsvorgänge, die versucht haben, das Kennwort mit dem entsprechenden Verzeichnis (Microsoft Entra ID oder Active Directory) zurückzusetzen. Wenn diese Anzahl bei einem Start den Höchstwert von 100 überschreitet, wird dieses Ereignis ausgelöst.

Lösung

1. Identität, wenn ein Problem beim Herstellen einer Verbindung mit dem entsprechenden Verzeichnis besteht, z. B. Active Directory oder Microsoft Entra ID.
2. Behandeln sie alle anderen Fehler während der Verarbeitung von Windows LAPS-Ereignissen.

Ereignis-ID 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS kann für eine Aktion nach der Authentifizierung mithilfe der Einstellung Aktionen nach der Authentifizierung mit GPO oder MDM (Intune) konfiguriert werden. In diesem Szenario wird die Einstellung so konfiguriert, dass der Computer neu gestartet wird, wenn eine Aktion nach der Authentifizierung erkannt wird. Dieses Ereignis gibt an, dass der Computer nicht neu gestartet werden kann.

Lösung

1. Ermitteln Sie, ob eine Anwendung das Herunterfahren des Computers blockiert.
2. Ermitteln Sie, ob Sie über die erforderlichen Berechtigungen zum Herunterfahren des Computers verfügen.

Ereignis-ID 10056

LAPS failed to locate a writable domain controller

Der Windows LAPS-Client verwendet LDAP-Änderungsvorgänge (Lightweight Directory Access Protocol), um Kennwörter vom Windows LAPS-Client in Active Directory zu schreiben. Windows LAPS muss einen beschreibbaren Domänencontroller in der Domäne ermitteln, um das Kennwort des verwalteten Kontos schreiben zu können.

Lösung

1. Öffnen Sie eine Eingabeaufforderung auf dem Clientcomputer, und führen Sie den Folgenden Befehl aus:

   nltest /dsgetdc:<Domain Name> /force /writable
   

   Wenn Sie den Fehler 1355 (Domänencontroller für die Domäne wurde nicht gefunden) erhalten, bedeutet dies, dass Sie das Problem mit der beschreibbaren DC-Ermittlung beheben müssen.

2. Wenn Sie sich in einer Umgebung befinden, in der nur eine Verbindung mit einem beschreibbaren Domänencontroller besteht, öffnen Sie die Netzwerkports zwischen dem Clientcomputer und dem Domänencontroller. Weitere Informationen finden Sie unter Dienstübersicht und Netzwerkportanforderungen für Windows.

Ereignis-ID 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Während einer geplanten Hintergrundverarbeitung muss Windows LAPS eine Verbindung mit einem Domänencontroller herstellen. Diese Verarbeitung erfolgt mithilfe des Computerkontexts. Dieser Fehler wird angezeigt, wenn ein Problem mit der Active Directory-Authentifizierung zwischen dem Clientcomputer und dem Domänencontroller vorliegt.

Lösung

1. Stellen Sie sicher, dass das Computerkonto nicht in Active Directory gelöscht wurde.

2. Überprüfen Sie alle Probleme mit dem sicheren Kanal zwischen dem Client und dem Domänencontroller, indem Sie einen Befehl mit erhöhten Rechten ausführen:

   nltest /sc_query:<Domain Name>
   

3. Der Computer wird erneut mit der Domäne hinzugefügt.

   Hinweis

   Stellen Sie sicher, dass Sie das Kennwort des lokalen Administrators kennen.

Ereignis-ID 10059

Azure returned a failure code

Das Ereignis enthält auch einen HTTP-Fehler. Der Fehler tritt beim Herstellen einer Verbindung, Authentifizierung oder Aktualisierung des Kennworts auf Microsoft Entra ID auf.

Lösung

1. Stellen Sie sicher, dass Sie erfolgreich eine Verbindung mit dem Microsoft Entra Registrierungsendpunkt (https://enterpriseregistration.windows.net) herstellen können.
2. Vergewissern Sie sich, dass Sie das Windows LAPS-Feature in Ihrem Azure-Mandanten aktiviert haben.
3. Stellen Sie sicher, dass der Computer in Ihrem Azure-Mandanten nicht gelöscht oder deaktiviert ist.
4. Öffnen Sie eine Eingabeaufforderung, und führen Sie den dsregcmd /status Befehl aus, um die folgenden Abschnitte auf Fehler zu überprüfen:
   • Device status
   • SSO data
   • Diagnostic data
5. Überprüfen Sie die Fehlermeldung mithilfe des Befehls dsregcmd , und beheben Sie das Problem.
6. Verwenden Sie Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten, um Probleme mit Microsoft Entra hybrid eingebundenen Geräten zu beheben.
7. Verwenden Sie das Problembehandlungstool für die Geräteregistrierung , um Probleme bei der Geräteregistrierung zu identifizieren und zu beheben.
8. Wenn Sie eine Fehlermeldung erhalten, finden Sie unter Microsoft Entra Authentifizierungs- und Autorisierungsfehlercodes eine Beschreibung des Fehlers und weitere Problembehandlung.

Ereignis-ID 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Dieser Fehler tritt auf, weil der Windows LAPS-Clientcomputer Kennwörter des verwalteten Benutzers schreiben muss.

Dieses Problem kann auch auftreten, wenn Sie den Computer in eine andere Organisationseinheit (OE) verschieben und die Ziel-ORGANISATIONSeinheit nicht über die Selbstberechtigung für den Computer verfügt.

Lösung

1. Wenn Sie das Windows LAPS PowerShell-Cmdlet nicht ausgeführt haben, um dem Computerkonto die Selbstberechtigung zuzuweisen, führen Sie das folgende Cmdlet aus:

   Set-LapsADComputerSelfPermission -identity <OU Name>
   

   Beispiel:

   Set-LapsADComputerSelfPermission -Identity LAPSOU
   Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
   

   Hinweis

   Sie können einen Distinguished Name (DN) verwenden, wenn Sie denselben Namen für die Organisationseinheit, aber in verschiedenen Hierarchien haben.

2. Vergewissern Sie sich, dass das Computerkonto über die Selbstberechtigung für die Organisationseinheit verfügt, in der das Computerkonto vorhanden ist.

Anmelden bei einem Domänencontroller mit einer Domänenadministratorberechtigung

1. Öffnen Sie LDP.exe.

2. Wählen Sie Verbindung>verbinden aus, und konfigurieren Sie den Server und Port wie folgt:

   

3. Wählen Sie Verbindungsbindung> aus, konfigurieren Sie die folgenden Einstellungen, und klicken Sie dann auf OK.

   

4. Wählen Sie Struktur anzeigen> aus. Wählen Sie dann in der Dropdownliste baseDN die Domäne aus, in der sich Ihr Clientcomputer befindet.

   

5. Durchsuchen Sie die Domänenstruktur, um die Organisationseinheit zu identifizieren, in der sich die Clientcomputer befinden. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie Sicherheitsdeskriptor>bearbeiten aus.

   

6. Sortieren Sie die Spalte Trustee, und suchen Sie die folgenden Benutzerrechte für NT AUTHORITY\SELF Berechtigungen für das msLAPS-Password Attribut.