Udostępnij za pośrednictwem

Rozwiązywanie problemów z błędem SSPR_0029: Twoja organizacja nie skonfigurowała poprawnie lokalnej konfiguracji resetowania hasła

  • Artykuł

Ten artykuł ułatwia rozwiązywanie problemów z błędem samoobsługowego resetowania hasła (SSPR) "SSPR_0029: Twoja organizacja nie prawidłowo skonfigurowała konfiguracji lokalnej na potrzeby resetowania hasła", który występuje po wprowadzeniu przez użytkownika lub administratora i potwierdzi nowe hasło na stronie samoobsługowego resetowania hasła.

Symptomy

Użytkownik lub administrator wykonuje następujące czynności, a następnie otrzymuje SSPR_0029 błąd:

  1. Na stronie logowania konta Microsoft lub na stronie logowania platformy Microsoft Azure w https://login.microsoftonline.com domenie użytkownik lub administrator wybierze pozycję Nie można uzyskać dostępu do konta?, Nie pamiętam hasła lub zresetuj je teraz.

  2. Użytkownik lub administrator wybiera typ konta służbowego . Następnie nastąpi przekierowanie do strony samoobsługowego resetowania hasła, https://passwordreset.microsoftonline.com aby uruchomić przepływ Pobierz z powrotem do twojego konta .

  3. Na ekranie Kim jesteś? użytkownik lub administrator wprowadza swój identyfikator użytkownika, kończy wyzwanie zabezpieczeń bez uwzględniania wielkości liter, a następnie wybiera pozycję Dalej.

  4. Na ekranie Dlaczego masz problem z logowaniem? użytkownik lub administrator wybierze pozycję Nie pamiętam hasła>Dalej.

  5. Na ekranie wybierania nowego hasła użytkownik lub administrator wprowadza i potwierdza nowy ciąg hasła, a następnie wybiera pozycję Zakończ. Następnie zostanie wyświetlony ekran Przepraszamy i zostanie wyświetlony następujący komunikat:

    SSPR_0029: Twoja organizacja nie skonfigurowała poprawnie lokalnej konfiguracji resetowania hasła.

    Jeśli jesteś administratorem, możesz uzyskać więcej informacji z artykułu Rozwiązywanie problemów z zapisywaniem zwrotnym haseł. Jeśli nie jesteś administratorem, możesz podać te informacje podczas kontaktowania się z administratorem.

Przyczyna 1: Nie można użyć zapisywania zwrotnego haseł w celu zresetowania hasła zsynchronizowanego administratora usługi Windows Active Directory

Jesteś zsynchronizowanym administratorem usługi Active Directory systemu Windows, który należy (lub jest używany do należenia) do grupy chronionej lokalna usługa Active Directory i nie możesz użyć funkcji samoobsługowego resetowania hasła i zapisywania zwrotnego haseł w celu zresetowania hasła lokalnego.

Rozwiązanie: Brak (zachowanie jest zgodnie z projektem)

W przypadku zabezpieczeń konta administratora, które istnieją w lokalnej grupie chronionej usługi Active Directory, nie mogą być używane razem z zapisywaniem zwrotnym haseł. Administratorzy mogą zmienić hasło w chmurze, ale nie mogą zresetować zapomnianego hasła. Aby uzyskać więcej informacji, zobacz How does self-service password reset writeback work in Microsoft Entra ID (Jak działa funkcja zapisywania zwrotnego samoobsługowego resetowania haseł w identyfikatorze Entra firmy Microsoft).

Przyczyna 2. Konto łącznika usług AD DS nie ma odpowiednich uprawnień usługi Active Directory

Synchronizowany użytkownik nie ma odpowiednich uprawnień w usłudze Active Directory.

Rozwiązanie: Rozwiązywanie problemów z uprawnieniami usługi Active Directory

Aby rozwiązać problemy wpływające na uprawnienia usługi Active Directory, zobacz Uprawnienia i uprawnienia dostępu do zapisywania zwrotnego haseł.

Obejście: Docelowy inny kontroler domeny usługi Active Directory

Uwaga 16.

Zapisywanie zwrotne haseł ma zależność od starszego interfejsu API NetUserGetInfo. Interfejs NetUserGetInfo API wymaga złożonego zestawu dozwolonych uprawnień w usłudze Active Directory, które mogą być trudne do zidentyfikowania, zwłaszcza gdy serwer Microsoft Entra Connect jest uruchomiony na kontrolerze domeny. Aby uzyskać więcej informacji, zobacz Aplikacje korzystające z netUserGetInfo i podobnych interfejsów API polegają na dostępie do odczytu do niektórych obiektów usługi Active Directory.

Czy masz scenariusz, w którym serwer Microsoft Entra Connect jest uruchomiony na kontrolerze domeny i nie można rozpoznać uprawnień usługi Active Directory? W takim przypadku zalecamy wdrożenie serwera Microsoft Entra Connect na serwerze członkowskim zamiast kontrolera domeny. Możesz też skonfigurować łącznik usługi Active Directory tak, aby używał tylko preferowanych kontrolerów domeny, wykonując następujące kroki:

  1. W menu Start wyszukaj i wybierz pozycję Menedżer usług synchronizacji.

  2. W oknie Menedżer usług synchronizacji wybierz kartę Łączniki.

  3. Kliknij prawym przyciskiem myszy łącznik usługi Active Directory z listy łączników, a następnie wybierz pozycję Właściwości.

  4. W okienku Projektant łącznika okna dialogowego Właściwości wybierz pozycję Konfiguruj partycje katalogu.

  5. W okienku Konfigurowanie partycji katalogu wybierz opcję Tylko użyj preferowanych kontrolerów domeny, a następnie wybierz pozycję Konfiguruj.

  6. W oknie dialogowym Konfigurowanie preferowanych kontrolerów domeny dodaj co najmniej jedną nazwę serwera wskazującą inny kontroler domeny (lub kontrolery domeny) niż hosta lokalnego.

  7. Aby zapisać zmiany i wrócić do okna głównego, wybierz przycisk OK trzy razy, w tym w oknie dialogowym Ostrzeżenie , które pokazuje zaawansowane zastrzeżenie konfiguracji.

Przyczyna 3: Serwery nie mogą wykonywać zdalnych wywołań do Menedżera kont zabezpieczeń (SAM)

W takim przypadku rejestrowane są dwa podobne zdarzenia błędów aplikacji: Zdarzenie o identyfikatorze 33004 i 6329. Identyfikator zdarzenia 6329 różni się od 33004, ponieważ zawiera ERROR_ACCESS_DENIED kod błędu w śladzie stosu, gdy serwer próbuje wykonać zdalne wywołanie do protokołu SAM:

ERR_: MMS(####): admaexport.cpp(2944): Nie można uzyskać informacji o użytkowniku: Contoso\MSOL_############. Kod błędu: ERROR_ACCESS_DENIED

Taka sytuacja może wystąpić, jeśli serwer Microsoft Entra Connect lub kontroler domeny ma lub ma ustawienie zabezpieczeń wzmacniania zabezpieczeń zastosowane do obiektu zasad grupy domeny (GPO) lub w lokalnych zasadach zabezpieczeń serwera. Aby sprawdzić, czy tak jest, wykonaj następujące kroki:

  1. Otwórz okno wiersza polecenia administracyjnego i uruchom następujące polecenia:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Otwórz plik C:\Temp\gpresult.htm w przeglądarce internetowej, a następnie rozwiń węzeł Ustawienia szczegółów>komputera Zasady>Ustawień systemu Windows>Ustawienia>zabezpieczeń Lokalne>zasady/Opcje zabezpieczeń Dostęp> sieciowy. Następnie sprawdź, czy masz ustawienie o nazwie Dostęp sieciowy: ogranicz klientom możliwość nawiązywania zdalnych wywołań do protokołu SAM.

  3. Aby otworzyć przystawkę Zasady zabezpieczeń lokalnych, wybierz przycisk Start, wprowadź ciąg secpol.msc, naciśnij Enter, a następnie rozwiń węzeł Zasady>lokalne Rozwiń opcje zabezpieczeń.

  4. Na liście zasad wybierz pozycję Dostęp sieciowy: Ogranicz klientom możliwość nawiązywania zdalnych wywołań do protokołu SAM. W kolumnie Ustawienie zabezpieczeń zostanie wyświetlona wartość Nie zdefiniowano , jeśli ustawienie nie jest włączone, lub wyświetla O:BAG:... wartość deskryptora zabezpieczeń, jeśli ustawienie jest włączone. Jeśli ustawienie jest włączone, możesz również wybrać ikonę Właściwości , aby wyświetlić listę kontroli dostępu (ACL), która jest obecnie stosowana.

    Uwaga 16.

    Domyślnie to ustawienie zasad jest wyłączone. Po zastosowaniu tego ustawienia na urządzeniu za pomocą obiektu zasad grupy lub ustawienia zasad lokalnych wartość rejestru o nazwie RestrictRemoteSam jest tworzona w ścieżce rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Jednak to ustawienie rejestru może być trudne do wyczyszczenia po zdefiniowaniu i zastosowaniu go do serwera. Wyłączenie ustawienia zasad grupy lub wyczyszczenie opcji Zdefiniuj to ustawienie zasad w konsoli zarządzania zasadami grupy (GPMC) nie powoduje usunięcia wpisu rejestru. W związku z tym serwer nadal ogranicza, którzy klienci mogą wykonywać zdalne wywołania do protokołu SAM.

    Jak dokładnie sprawdzić, czy serwer Microsoft Entra Connect lub kontroler domeny nadal ogranicza zdalne wywołania do protokołu SAM? Sprawdź, czy wpis rejestru pozostaje obecny, uruchamiając polecenie cmdlet Get-ItemProperty w programie PowerShell:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

Czy dane wyjściowe programu PowerShell pokazują, że wpis rejestru RestrictRemoteSam jest nadal obecny? Jeśli tak, masz dwa możliwe rozwiązania.

Rozwiązanie 1. Dodawanie konta łącznika usług AD DS do listy dozwolonych użytkowników

Zachowaj dostęp do sieci: ogranicz klientom możliwość nawiązywania połączeń zdalnych z włączonym ustawieniem zasad SAM i zastosowanym na serwerze Microsoft Entra Connect, ale dodaj konto łącznika usług domena usługi Active Directory (AD DS) (MSOL_ konta) do listy dozwolonych użytkowników. Aby uzyskać instrukcje, zobacz następujące kroki:

  1. Jeśli nie znasz nazwy konta łącznika usług AD DS, zobacz Identyfikowanie konta łącznika usług AD DS.

  2. W przystawce Zasad zarządzania zasadami grupy lub zasad zabezpieczeń lokalnych wróć do okna dialogowego właściwości dla tego ustawienia zasad.

  3. Wybierz pozycję Edytuj zabezpieczenia, aby wyświetlić okno dialogowe Ustawienia zabezpieczeń dostępu zdalnego do protokołu SAM.

  4. Na liście Nazwy grup lub użytkowników wybierz pozycję Dodaj, aby wyświetlić okno dialogowe Wybieranie użytkowników lub grup. W polu Wprowadź nazwy obiektów do wybrania wprowadź nazwę konta łącznika usług AD DS (MSOL_ konta), a następnie wybierz przycisk OK, aby zamknąć to okno dialogowe.

  5. Wybierz konto łącznika usług AD DS na liście. W obszarze Uprawnienia dla <nazwy> konta w wierszu Dostęp zdalny wybierz pozycję Zezwalaj.

  6. Wybierz przycisk OK dwa razy, aby zaakceptować zmiany ustawień zasad i powrócić do listy ustawień zasad.

  7. Otwórz okno wiersza polecenia administracyjnego i uruchom polecenie gpupdate , aby wymusić aktualizację zasad grupy:

    gpupdate /force

Rozwiązanie 2: Usuwanie dostępu sieciowego: ogranicz klientów, którzy mogą wykonywać zdalne wywołania do ustawienia zasad SAM , a następnie ręcznie usuń wpis rejestru RestrictRemoteSam

  1. Jeśli ustawienie zabezpieczeń jest stosowane z zasad zabezpieczeń lokalnych, przejdź do kroku 4.

  2. Otwórz przystawkę konsoli zarządzania zasadami grupy z kontrolera domeny i zmodyfikuj odpowiedni obiekt zasad grupy domeny.

  3. Rozwiń węzeł Zasady>konfiguracji>komputera Ustawienia zabezpieczeń Ustawienia>systemu Windows Konfiguracja>komputera>Opcje zabezpieczeń Zasady>lokalne.

  4. Na liście opcji zabezpieczeń wybierz pozycję Dostęp sieciowy: Ogranicz klientom możliwość nawiązywania zdalnych wywołań do protokołu SAM, otwórz pozycję Właściwości, a następnie wyłącz pozycję Zdefiniuj to ustawienie zasad.

  5. Otwórz okno wiersza polecenia administracyjnego i uruchom polecenie gpupdate , aby wymusić aktualizację zasad grupy:

    gpupdate /force

  6. Aby wygenerować nowy raport wyników zasad grupy (GPreport.htm), uruchom polecenie gpresult , a następnie otwórz nowy raport w przeglądarce internetowej:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. Sprawdź raport, aby upewnić się, że ustawienie zasad dostępu do sieci: Ogranicz klientów, którzy mogą wykonywać połączenia zdalne do protokołu SAM , nie jest zdefiniowana.

  8. Otwórz administracyjną konsolę programu PowerShell.

  9. Aby usunąć wpis rejestru RestrictRemoteSam , uruchom polecenie cmdlet Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Uwaga 16.

    Jeśli usuniesz wpis rejestru RestrictRemoteSam bez usunięcia ustawienia obiektu zasad grupy domeny, ten wpis rejestru zostanie ponownie utworzony w następnym cyklu odświeżania zasad grupy, a SSPR_0029 błąd będzie powtarzany.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.