Fout SSPR_0029 oplossen: uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet goed ingesteld
Dit artikel helpt u bij het oplossen van problemen met de selfservice voor wachtwoordherstel (SSPR) 'SSPR_0029: Uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet juist ingesteld' die optreedt nadat de gebruiker of beheerder een nieuw wachtwoord heeft ingevoerd en bevestigd op de SSPR-pagina.
Symptomen
Een gebruiker of beheerder voert de volgende stappen uit en ontvangt vervolgens een SSPR_0029
foutmelding:
Op een aanmeldingspagina van een Microsoft-account of microsoft Azure-aanmeldingspagina in het https://login.microsoftonline.com domein selecteert een gebruiker of beheerder Geen toegang tot uw account?, Bent u mijn wachtwoord vergeten of stelt u het nu opnieuw in.
De gebruiker of beheerder selecteert het accounttype Werk- of schoolaccount . Vervolgens worden ze omgeleid naar de pagina SSPR om https://passwordreset.microsoftonline.com de stroom Terug naar uw account te starten.
Op het scherm Wie bent u? voert de gebruiker of beheerder zijn/haar gebruikers-id in, voltooit u een hoofdlettergevoelige captcha-beveiligingsvraag en selecteert u vervolgens Volgende.
Op het scherm Waarom ondervindt u problemen bij het aanmelden? selecteert de gebruiker of beheerder dat ik mijn wachtwoord>ben vergeten Volgende.
Op het scherm Een nieuw wachtwoord kiezen, voert de gebruiker of beheerder een nieuwe wachtwoordtekenreeks in en bevestigt deze en selecteert u Voltooien. Vervolgens wordt het scherm 'Sorry ' weergegeven en wordt het volgende bericht weergegeven:
SSPR_0029: Uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet goed ingesteld.
Als u een beheerder bent, kunt u meer informatie vinden in het artikel Problemen met wachtwoord terugschrijven oplossen. Als u geen beheerder bent, kunt u deze informatie delen met uw beheerder.
Oorzaak 1: Kan wachtwoord terugschrijven niet gebruiken om het wachtwoord van een gesynchroniseerde Windows Active Directory-beheerder opnieuw in te stellen
U bent een gesynchroniseerde Windows Active Directory-beheerder die deel uitmaakt van een on-premises met Active Directory beveiligde groep en u kunt SSPR en wachtwoord terugschrijven niet gebruiken om uw on-premises wachtwoord opnieuw in te stellen.
Oplossing: Geen (gedrag is standaard)
Voor beveiliging kunnen beheerdersaccounts die bestaan in een lokale met Active Directory beveiligde groep, niet samen met wachtwoord terugschrijven worden gebruikt. Beheerders kunnen hun wachtwoord wijzigen in de cloud, maar kunnen een vergeten wachtwoord niet opnieuw instellen. Zie Hoe werkt selfservice voor het terugschrijven van wachtwoorden in Microsoft Entra ID voor meer informatie.
Oorzaak 2: AD DS Connector-account heeft niet de juiste Active Directory-machtigingen
De gesynchroniseerde gebruiker mist de juiste machtigingen in Active Directory.
Oplossing: Problemen met Active Directory-machtigingen oplossen
Zie toegangsrechten en machtigingen voor wachtwoord terugschrijven om problemen op te lossen die van invloed zijn op Active Directory-machtigingen.
Tijdelijke oplossing: Richt u op een andere Active Directory-domeincontroller
Notitie
Wachtwoord terugschrijven heeft een afhankelijkheid van de verouderde API NetUserGetInfo. De NetUserGetInfo
API vereist een complexe set toegestane machtigingen in Active Directory die moeilijk te identificeren zijn, met name wanneer een Microsoft Entra Connect-server wordt uitgevoerd op een domeincontroller. Zie Toepassingen met NetUserGetInfo en vergelijkbare API's zijn afhankelijk van leestoegang tot bepaalde Active Directory-objecten voor meer informatie.
Hebt u een scenario waarin een Microsoft Entra Connect-server wordt uitgevoerd op een domeincontroller en het niet mogelijk is om Active Directory-machtigingen op te lossen? In dit geval wordt u aangeraden Microsoft Entra Connect-server te implementeren op een lidserver in plaats van op een domeincontroller. U kunt ook uw Active Directory-connector zo configureren dat alleen voorkeursdomeincontrollers worden gebruikt met behulp van de volgende stappen:
Zoek en selecteer Synchronization Service Manager in het menu Start.
Selecteer in het venster Synchronization Service Manager het tabblad Connectors .
Klik met de rechtermuisknop op de Active Directory-connector in de lijst met connectors en selecteer Vervolgens Eigenschappen.
Selecteer Mappartities configureren in het deelvenster Connectorontwerper van het dialoogvenster Eigenschappen.
Selecteer in het deelvenster Mappartities configureren de optie Alleen voorkeursdomeincontrollers gebruiken en selecteer vervolgens Configureren.
Voeg in het dialoogvenster Voorkeurs-DC's configureren een of meer servernamen toe die verwijzen naar een andere domeincontroller (of domeincontrollers) dan de lokale host.
Als u uw wijzigingen wilt opslaan en wilt terugkeren naar het hoofdvenster, selecteert u OK drie keer, inclusief in het dialoogvenster Waarschuwing waarin een geavanceerde configuratie-disclaimer wordt weergegeven.
Oorzaak 3: Servers mogen externe aanroepen naar Security Accounts Manager (SAM) niet uitvoeren
In dit geval worden twee vergelijkbare toepassingsfoutgebeurtenissen vastgelegd: gebeurtenis-id 33004 en 6329. Gebeurtenis-id 6329 verschilt van 33004 omdat deze een ERROR_ACCESS_DENIED
foutcode in de stack-trace bevat wanneer de server probeert een externe aanroep naar SAM uit te voeren:
ERR_: MMS(###): admaexport.cpp(2944): Kan geen gebruikersgegevens verkrijgen: Contoso\MSOL_############. Foutcode: ERROR_ACCESS_DENIED
Deze situatie kan zich voordoen als de Microsoft Entra Connect-server of de domeincontroller een beveiligingsinstelling voor beveiliging heeft of heeft toegepast met een GPO (Domain Group Policy Object) of in het lokale beveiligingsbeleid van de server. Voer de volgende stappen uit om te controleren of dit het geval is:
Open een beheeropdrachtpromptvenster en voer de volgende opdrachten uit:
md C:\Temp gpresult /h C:\Temp\GPreport.htm start C:\Temp\GPreport.htm
Open het bestand C:\Temp\gpresult.htm in uw webbrowser en vouw Computergegevensinstellingenbeleid>>>>Voor beveiligingsinstellingen>lokale beleidsregels/Beveiligingsopties>netwerktoegang uit. Controleer vervolgens of u een instelling hebt met de naam Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren.
Als u de module Lokaal beveiligingsbeleid wilt openen, selecteert u Start, voert u secpol.msc in, drukt u op Enter en vouwt u lokaal beleid>beveiligingsopties uit.
Selecteer netwerktoegang in de lijst met beleidsregels: Clients beperken die externe aanroepen naar SAM mogen uitvoeren. In de kolom Beveiligingsinstelling wordt Niet gedefinieerd weergegeven als de instelling niet is ingeschakeld, of als de instelling is ingeschakeld, wordt er een
O:BAG:...
beveiligingsdescriptorwaarde weergegeven als de instelling is ingeschakeld. Als de instelling is ingeschakeld, kunt u ook het pictogram Eigenschappen selecteren om de toegangsbeheerlijst (ACL) te zien die momenteel wordt toegepast.Notitie
Deze beleidsinstelling is standaard uitgeschakeld. Wanneer deze instelling wordt toegepast op een apparaat via een groepsbeleidsobject of een instelling voor lokaal beleid, wordt een registerwaarde met de naam RestrictRemoteSam gemaakt in het registerpad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Deze registerinstelling kan echter moeilijk worden gewist nadat deze is gedefinieerd en toegepast op de server. Als u de groepsbeleidsinstelling uitschakelt of de optie Deze beleidsinstelling definiƫren uitschakelt in groepsbeleidsbeheerconsole (GPMC), wordt de registervermelding niet verwijderd. Daarom beperkt de server nog steeds welke clients externe aanroepen naar SAM mogen doen.
Hoe controleert u nauwkeurig of de Microsoft Entra Connect-server of de domeincontroller nog steeds externe aanroepen naar SAM beperkt? U controleert of de registervermelding aanwezig blijft door de cmdlet Get-ItemProperty uit te voeren in PowerShell:
Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
Geeft de PowerShell-uitvoer aan dat er nog steeds een Registervermelding RestrictRemoteSam aanwezig is? Zo ja, dan hebt u twee mogelijke oplossingen.
Oplossing 1: Het AD DS Connector-account toevoegen aan de lijst met toegestane gebruikers
Houd de netwerktoegang: Beperk clients die externe aanroepen mogen uitvoeren naar de SAM-beleidsinstelling die is ingeschakeld en toegepast op de Microsoft Entra Connect-server, maar voeg het Active Directory-domein Services-connectoraccount (AD DS) (MSOL_ account) toe aan de lijst met toegestane gebruikers. Zie de volgende stappen voor instructies:
Als u de naam van uw AD DS Connector-account niet weet, raadpleegt u Het AD DS Connector-account identificeren.
Ga in de module GMC of Lokaal beveiligingsbeleid terug naar het eigenschappendialoogvenster voor die beleidsinstelling.
Selecteer Beveiliging bewerken om het dialoogvenster Beveiligingsinstellingen voor externe toegang tot SAM weer te geven.
Selecteer Toevoegen in de lijst met groeps- of gebruikersnamen om het dialoogvenster Gebruikers of groepen selecteren weer te geven. Typ in het vak De objectnamen invoeren die u wilt selecteren de naam van het AD DS Connector-account (MSOL_ account) en selecteer vervolgens OK om dat dialoogvenster af te sluiten.
Selecteer het AD DS Connector-account in de lijst. Selecteer Toestaan in de rij Externe toegang onder Machtigingen voor <accountnaam>.
Selecteer OK twee keer om de beleidsinstelling te accepteren en terug te keren naar de lijst met beleidsinstellingen.
Open een beheeropdrachtpromptvenster en voer de gpupdate-opdracht uit om een update van groepsbeleid af te dwingen:
gpupdate /force
Oplossing 2: Verwijder de netwerktoegang: Clients beperken die externe aanroepen naar de SAM-beleidsinstelling mogen uitvoeren en de registervermelding RestrictRemoteSam handmatig verwijderen
Als de beveiligingsinstelling wordt toegepast op basis van het lokale beveiligingsbeleid, gaat u naar stap 4.
Open de GPMC-module vanaf een domeincontroller en bewerk het respectieve groepsbeleidsobject voor domeinen.
Vouw Computerconfiguratiebeleid>>windows-instellingen beveiligingsinstellingen>>computer configuratie>lokaal beleid>beveiligingsopties.
Selecteer netwerktoegang in de lijst met beveiligingsopties: Clients beperken die externe aanroepen naar SAM mogen uitvoeren, Eigenschappen openen en deze beleidsinstelling definiƫren uitschakelen.
Open een beheeropdrachtpromptvenster en voer de gpupdate-opdracht uit om een update van groepsbeleid af te dwingen:
gpupdate /force
Als u een nieuw rapport groepsbeleidsresultaten (GPreport.htm) wilt genereren, voert u de opdracht gpresult uit en opent u vervolgens het nieuwe rapport in een webbrowser:
md C:\Temp gpresult /h C:\Temp\GPreport.htm start C:\Temp\GPreport.htm
Controleer het rapport om ervoor te zorgen dat de beleidsinstelling voor netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren, is niet gedefinieerd.
Open een PowerShell-console met beheerdersrechten.
Als u de registervermelding RestrictRemoteSam wilt verwijderen, voert u de cmdlet Remove-ItemProperty uit:
Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
Notitie
Als u de registervermelding RestrictRemoteSam verwijdert zonder de instelling domeingroepsbeleidsobject te verwijderen, wordt deze registervermelding opnieuw gemaakt tijdens de volgende cyclus voor groepsbeleidsvernieuwing en wordt de
SSPR_0029
fout opnieuw uitgevoerd.
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.