Compartilhar via

Diretrizes de solução de problemas do Windows LAPS

  • Artigo

Este guia fornece os conceitos fundamentais a serem usados ao solucionar problemas de LAPS (Solução de Senha de Administrador Local do Windows).

A LAPS do Windows é um recurso do Windows que gerencia e faz backup automaticamente da senha de uma conta de administrador local em seus dispositivos ingressados no Microsoft Entra ou no Windows Server Active Directory. Você também pode usar a LAPS do Windows para gerenciar e fazer backup automático da senha da conta DSRM (Modo de Restauração dos Serviços de Diretório) em seus controladores de domínio do Windows Server Active Directory. Um administrador autorizado pode recuperar a senha DSRM e usá-la. Para obter mais informações, consulte O que é a LAPS do Windows?

Observação

  • Este artigo é para o Windows LAPS (o novo recurso), não para o LAPS herdado ou a versão mais antiga do LAPS.
  • Este artigo lista apenas algumas das principais causas possíveis da raiz. Outras causas também podem existir, mas permanecem desconhecidas.
  • A lista a seguir contém as IDs de evento mais comuns e pode não incluir todos os eventos LAPS do Windows.

Solucionando problemas de LAPS do Windows usando eventos do Windows

Para exibir eventos do LAPS do Windows, acesse Logs>de Aplicativos e Serviços Operacional do Microsoft>Windows>LAPS>no Visualizador de Eventos.

Observação

  • O processamento da LAPS do Windows começa com a ID do Evento 10003 e termina com a ID do Evento 10004.
  • Se o processamento do ciclo atual falhar por qualquer motivo, a ID do evento 10005 será registrada.

A LAPS do Windows tem dois cenários:

  • Windows LAPS Active Directory

    As máquinas cliente são configuradas para armazenar a senha no Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Os computadores cliente são configurados para armazenar a senha na ID do Microsoft Entra.

A tabela a seguir lista as IDs de evento registradas em diferentes cenários:

ID do evento Cenário
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory e Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory e Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory e Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory e Microsoft Entra ID
10049 Windows LAPS Active Directory e Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10,059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

ID do evento 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Por padrão, a LAPS do Windows criptografa a senha da conta gerenciada no computador cliente. Para dar suporte à criptografia, o nível funcional do domínio deve ser Windows Server 2016.

Solução

  1. Aumente o nível funcional do domínio, se necessário.
  2. Desabilite a Política de Grupo Habilitar criptografia de senha para computadores cliente.

    Observação

    Não recomendamos desabilitar a criptografia de senha armazenada no controlador de domínio.

ID do Evento: 10011

LAPS failed when querying Active Directory for the current computer state

A LAPS do Windows consulta periodicamente (a cada hora) o estado do computador no Active Directory e o computador cliente usa o serviço Netlogon para descobrir um controlador de domínio nele.

Solução

Se você estiver em um ambiente em que tem conectividade apenas com um controlador de domínio gravável, abra as portas de rede entre o computador cliente e o controlador de domínio.

Para obter mais informações, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

ID do Evento: 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Para introduzir o Windows LAPS, você precisa estender o esquema com atributos do Windows LAPS. Ou, se você estiver usando o Windows LAPS no modo de emulação LAPS herdado, precisará estender o esquema com os atributos LAPS herdados. Esse problema ocorre por um dos seguintes motivos:

  • Causa raiz 1

    O esquema não foi estendido com os novos atributos LAPS do Windows.

  • Causa raiz 2

    Existe uma replicação transitória do Active Directory entre o controlador de domínio local (DC) e o controlador de domínio primário (PDC).

  • Causa raiz 3

    Um problema de replicação do Active Directory no controlador de domínio local.

Resolução para a causa raiz 1

Execute o cmdlet do Update-LapsADSchema PowerShell para atualizar o esquema do Active Directory usando privilégios de administrador de esquema.

Se você estiver usando a emulação LAPS herdada, estenda o esquema com o cmdlet do Update-AdmPwdADSchema PowerShell (essa ação requer a instalação do produto LAPS herdado primeiro).

Resolução para a causa raiz 2

Devido à latência de replicação, os atributos de esquema não foram replicados para o controlador de domínio local. Você pode usar o snap-in LDP ou ADSIEDIT para identificar se os atributos do esquema LAPS do Windows foram replicados. Force a replicação do Active Directory da partição de esquema com o mestre de esquema usando o seguinte comando:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Observação

  • Substitua DC2.contoso.com pelo nome do controlador de domínio identificado pela ID do evento 10055 nos logs de eventos da LAPS do Windows.
  • Substitua PDC.contoso.com pelo nome do PDC em seu ambiente. Você pode identificar o PDC usando o nltest /dsgetdc:contoso.com /pdc /force comando.

Resolução para a causa raiz 3

Há um problema de replicação do Active Directory entre o controlador de domínio local e outros controladores de domínio no domínio. Você pode exibir a ID do Evento 10055 nos logs de eventos da LAPS do Windows para verificar o nome do controlador de domínio e executar o repadmin /showreps comando para identificar quaisquer erros de replicação.

Para obter mais informações, consulte Solucionando problemas de replicação do Active Directory.

ID do Evento: 10013

LAPS failed to find the currently configured local administrator account

A LAPS do Windows lê o nome do administrador local da Política de Grupo ou a configuração do Intune Nome da conta de administrador a ser gerenciada. Se essa configuração não estiver definida, ela procurará a conta local com um SID (identificador de segurança) que termina com 500 (administrador). Se a LAPS do Windows não conseguir encontrar a conta, a ID do Evento 10013 será registrada.

Na versão atual do Windows LAPS, não há nenhum recurso para criar o usuário gerenciado.

Solução

Verifique e verifique se o usuário gerenciado está presente nos usuários locais usando um dos seguintes métodos:

  • Use lusrmgr.msc para abrir Usuários e Grupos Locais.
  • Execute o comando net user.

    Observação

    Certifique-se de que não haja espaços à direita no início e no final da conta.

ID do Evento: 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Este é um evento de status no final de um ciclo de processamento LAPS do Windows. Esse evento não tem causa raiz, portanto, você precisa examinar o processamento anterior dos eventos em que a LAPS do Windows encontrou um problema.

Solução

  1. Abra um prompt de comando do PowerShell com privilégios elevados e execute o Invoke-lapsPolicyProcessing cmdlet.
  2. Abra o Visualizador de Eventos e vá para Logs>de Aplicativos e Serviços Microsoft>Windows>LAPS>Operacional.
  3. Filtre o processamento mais recente de eventos a partir da ID do Evento 10003 até a ID do Evento 10005.
  4. Corrija quaisquer erros anteriores à ID do Evento 10017.

ID do Evento: 10019

LAPS failed to update the local admin account with the new password

A LAPS do Windows não pode atualizar a senha da conta de usuário gerenciada localmente no computador local. A LAPS do Windows encontrou o usuário gerenciado, mas teve problemas para alterar a senha.

Solução

  • Identifique se há um problema de recurso, como um vazamento de memória ou um problema de falta de memória. Reinicialize a máquina para verificar se você observa um erro semelhante.
  • Um aplicativo de terceiros ou driver de filtro que está gerenciando o mesmo usuário gerenciado não permite que a LAPS do Windows gerencie a senha.

ID do evento 10025

Azure discovery failed

O dispositivo (ingressado no Microsoft Entra ou ingressado no híbrido) configurado com a LAPS do Windows para armazenar senhas na ID do Microsoft Entra deve descobrir o Ponto de Extremidade de Registro Empresarial.

Solução

  1. Verifique se você pode se conectar com êxito ao ponto de extremidade de registro (https://enterpriseregistration.windows.net). Se você abrir o Microsoft Edge ou o Google Chrome e se conectar ao ponto de extremidade de registro (https://enterpriseregistration.windows.net), receberá uma mensagem "Ponto de extremidade não encontrado". Essa mensagem significa que você pode se conectar ao Ponto de Extremidade de Registro Corporativo.
  2. Se você estiver usando um servidor proxy, verifique se o proxy está configurado no contexto do sistema. Você pode abrir um prompt de comando com privilégios elevados e executar o netsh winhttp show proxy comando para exibir o proxy.

ID do Evento: 10026

LAPS was unable to authenticate to Azure using the device identity

Esse problema ocorrerá se houver um problema com o PRT (Token de Atualização Principal) do dispositivo.

Solução

  1. Verifique se você habilitou o recurso LAPS do Windows em seu locatário do Azure.
  2. Verifique se o computador não foi excluído ou desabilitado em seu locatário do Azure.
  3. Abra um prompt de comando, execute o dsregcmd /status comando e verifique se há erros nas seguintes seções:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e solucione o problema.
  5. Solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra usando Solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Códigos de erro de autenticação e autorização do Microsoft Entra para obter a descrição do erro e outras soluções de problemas.

ID do Evento: 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

A LAPS do Windows não pode atualizar a senha da conta de usuário gerenciada localmente no computador local. A LAPS do Windows encontrou o usuário gerenciado, mas teve problemas para alterar a senha.

Solução

  1. Verifique a política de senha no computador executando o net accounts comando em um prompt de comando. Valide qualquer uma das políticas de senha se elas não atenderem aos critérios da política de senha configurada do Windows LAPS, como a complexidade da senha, o comprimento da senha ou a idade da senha.

  2. Identifique se a configuração é aplicada por meio de um GPO (Objeto de Política de Grupo) local, um GPO de Domínio ou Configurações de Segurança Local executando o GPRESULT /h comando. Modifique o GPO ou as configurações de segurança para corresponder às configurações de senha do GPO LAPS do Windows. As configurações são definidas por meio da configuração Configurações de Senha no GPO ou no MDM (Intune).

    Observação

    Suas políticas de senha configuradas no Active Directory, GPO local ou configurações de segurança devem corresponder às configurações de senha do Windows LAPS ou devem conter configurações inferiores às da configuração Configurações de Senha do Windows LAPS.

  3. Verifique se você tem algum filtro de senha de terceiros que possa estar bloqueando a configuração da senha.

    1. Baixe o Process Explorer.

    2. Extraia e execute o Process Explorer como administrador.

    3. Selecione o processo LSASS.exe no painel esquerdo.

    4. Selecione Exibir>Mostrar painel inferior.

    5. Selecione Exibir>DLLs de exibição>do painel inferior.

      Captura de tela do Process Explorer com dlls ou módulos carregados.

  4. O painel inferior exibe as DLLs ou módulos carregados. Identifique se há módulos de terceiros usando o campo Nome da Empresa (quaisquer módulos que não sejam da Microsoft).

    Examine a lista de DLL para identificar se o nome da DLL de terceiros (módulo) tem algumas palavras-chave como "segurança", "senha" ou "políticas". Desinstale ou interrompa o aplicativo ou serviço que pode estar usando essa DLL.

Computador ingressado na ID do Microsoft Entra

A ID do Microsoft Entra ou dispositivos ingressados híbridos podem ser gerenciados usando o MDM (gerenciamento de dispositivo móvel) (Intune), GPOs locais ou qualquer software de terceiros semelhante.

  1. Verifique a política de senha no computador executando o net accounts comando em um prompt de comando. Valide qualquer uma das políticas de senha se elas não atenderem aos critérios da política de senha configurada do Windows LAPS, como a complexidade da senha, o comprimento da senha ou a idade da senha.
  2. Identifique se a política conflitante é aplicada por meio do Intune, do GPO local ou de um software de terceiros semelhante, como o Intune, para gerenciar as políticas de senha no computador.

ID do Evento: 10028

LAPS failed to update Azure Active Directory with the new password

O computador cliente LAPS do Windows atualiza periodicamente as senhas. Esse evento será exibido se o computador cliente configurado com a LAPS do Windows não puder atualizar a senha para a ID do Microsoft Entra.

Solução

  1. Verifique se você habilitou o recurso LAPS do Windows em seu locatário do Azure.
  2. Verifique se o computador não foi excluído ou desabilitado em seu locatário do Azure.
  3. Abra um prompt de comando e execute o dsregcmd /status comando para verificar se há erros nas seguintes seções:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e solucione o problema.
  5. Use Solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra para solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Códigos de erro de autenticação e autorização do Microsoft Entra para obter a descrição do erro e outras soluções de problemas.

ID do Evento: 10032

LAPS was unable to authenticate to Azure using the device identity

Pode haver problemas relacionados à autenticação do Microsoft Entra ao usar o PRT do dispositivo.

Solução

  1. Verifique se você habilitou o recurso LAPS do Windows em seu locatário do Azure.
  2. Verifique se o computador não foi excluído ou desabilitado em seu locatário do Azure.
  3. Abra um prompt de comando e execute o dsregcmd /status comando para verificar se há erros nas seguintes seções:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e solucione o problema.
  5. Use Solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra para solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Códigos de erro de autenticação e autorização do Microsoft Entra para obter a descrição do erro e outras soluções de problemas.

ID do Evento: 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

A entidade de criptografia é configurada por meio da configuração Configurar decodificadores de senha autorizados usando GPO ou MDM (Intune). Parece que a configuração não está configurada corretamente.

Solução

Corrija a configuração do Intune ou do GPO. Essa configuração aceita dois valores:

  • SID de um grupo de domínio ou usuário
  • Nome do grupo em <Nome> de domínio\<Nome do> grupo, <Nome> de domínio\<Nome> de usuário ou <Nome> de usuário@<Nome de domínio>

Observação

Verifique se não há espaços à direita no início e no final da configuração.

ID do evento: 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

A entidade de criptografia é configurada por meio da configuração Configurar decodificadores de senha autorizados usando GPO ou MDM (Intune). A configuração aceita um SID ou um nome de grupo de domínio em <Nome de Domínio>\<Nome do Grupo>, <Nome> de Domínio\<Nome> de Usuário ou <Nome> de Usuário@Nome> de Domínio.< O erro ocorre quando o cliente LAPS do Windows não consegue resolver um SID para um nome ou um nome para um SID.

Solução

  1. Verifique se o grupo de domínio existe no Active Directory e não foi excluído.
  2. Se o grupo for recém-criado, aguarde até que a replicação do Active Directory convirja para o controlador de domínio local do computador cliente.
  3. Use a ferramenta Sysinternal PsGetSid para resolver manualmente o SID ou o nome.
    1. Baixar PsGetSid.
    2. Extraia o arquivo baixado e abra um prompt de comando elevado na máquina cliente em que você está enfrentando o problema.
    3. Execute o comando psgetsid -accepteula <SID> or <Name>. Use o SID ou o nome mencionado na ID do Evento 10035.
  4. Verifique se há algum erro de replicação do Active Directory na floresta e solucione-os. Para obter mais informações, consulte Solucionando problemas de replicação do Active Directory.

ID do evento: 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

A repetição pós-autenticação é o número de operações de repetição tentadas para redefinir a senha com o diretório apropriado (ID do Microsoft Entra ou Active Directory). Se esse número exceder o máximo de 100 em uma inicialização, esse evento será acionado.

Solução

  1. Identidade se houver um problema de conexão com o diretório apropriado, como Active Directory ou ID do Microsoft Entra.
  2. Solucione outros erros durante o processamento de eventos LAPS do Windows.

ID do Evento: 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

A LAPS do Windows pode ser configurada para uma ação de pós-autenticação usando a configuração Ações de pós-autenticação com GPO ou MDM (Intune). Nesse cenário, a configuração é definida para reinicializar o computador se detectar uma ação de pós-autenticação. Esse evento indica que o computador não pode ser reinicializado.

Solução

  1. Identifique se há algum aplicativo bloqueando o desligamento da máquina.
  2. Identifique se você tem os privilégios necessários para desligar a máquina.

ID do evento: 10056

LAPS failed to locate a writable domain controller

O cliente LAPS do Windows usa a operação de modificação LDAP (Lightweight Directory Access Protocol) para gravar senhas no Active Directory a partir do cliente LAPS do Windows. A LAPS do Windows precisa descobrir um controlador de domínio gravável no domínio para gravar a senha da conta gerenciada.

Solução

  1. Abra um prompt de comando na máquina cliente e execute o comando:

    nltest /dsgetdc:<Domain Name> /force /writable

    Se você receber o erro 1355 (o controlador de domínio do domínio não pode ser encontrado), isso significa que você precisa solucionar o problema de descoberta de DC gravável.

  2. Se você estiver em um ambiente em que tem conectividade apenas com um controlador de domínio gravável, abra as portas de rede entre o computador cliente e o controlador de domínio. Para obter mais informações, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

ID do evento: 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Durante um processamento agendado em segundo plano, a LAPS do Windows precisa se conectar a um controlador de domínio. Esse processamento é feito usando o contexto da máquina. Esse erro aparecerá se houver algum problema de autenticação do Active Directory entre o computador cliente e o controlador de domínio.

Solução

  1. Verifique se a conta do computador não foi excluída no Active Directory.

  2. Valide quaisquer problemas de canal seguro entre o cliente e o controlador de domínio executando um comando com privilégios elevados:

    nltest /sc_query:<Domain Name>

  3. Volte a associar a máquina ao domínio.

    Observação

    Certifique-se de saber a senha do administrador local.

ID do Evento: 10059

Azure returned a failure code

O evento também contém um erro HTTP. O erro ocorre ao conectar, autenticar ou atualizar a senha para a ID do Microsoft Entra.

Solução

  1. Verifique se você pode se conectar com êxito ao ponto de extremidade de registro do Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Verifique se você habilitou o recurso LAPS do Windows em seu locatário do Azure.
  3. Verifique se o computador não foi excluído ou desabilitado em seu locatário do Azure.
  4. Abra um prompt de comando e execute o dsregcmd /status comando para verificar se há erros nas seguintes seções:
    • Device status
    • SSO data
    • Diagnostic data
  5. Verifique a mensagem de erro usando o comando dsregcmd e solucione o problema.
  6. Use Solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra para solucionar problemas de dispositivos ingressados híbridos do Microsoft Entra.
  7. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  8. Se você receber uma mensagem de erro, consulte Códigos de erro de autenticação e autorização do Microsoft Entra para obter a descrição do erro e outras soluções de problemas.

ID do evento: 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Esse erro ocorre porque o computador cliente LAPS do Windows precisa gravar senhas do usuário gerenciado.

Esse problema também pode ocorrer se você mover a máquina para uma unidade organizacional (UO) diferente e a UO de destino não tiver a autopermissão para o computador.

Solução

  1. Se você não tiver executado o cmdlet do PowerShell da LAPS do Windows para atribuir a autopermissão à conta do computador, execute o seguinte cmdlet:

    Set-LapsADComputerSelfPermission -identity <OU Name>

    Por exemplo:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com

    Observação

    Você pode usar um nome distinto (DN) se tiver o mesmo nome para a UO, mas em hierarquias diferentes.

  2. Verifique se a conta do computador tem a Permissão Própria na UO em que a conta do computador existe.

Fazer logon em um controlador de domínio com um privilégio de administrador de domínio

  1. Abra LDP.exe.

  2. Selecione Conexão>Conectar e configure o servidor e a porta da seguinte maneira:

    Captura de tela da ferramenta LDP com a janela Conectar aberta.

  3. Selecione Associação de Conexão>, defina as configurações a seguir e selecione OK.

    Captura de tela da ferramenta LDP com a janela Bind aberta.

  4. Selecione Exibir>árvore. Em seguida, na lista suspensa do BaseDN, selecione o domínio em que sua máquina cliente está localizada.

    Captura de tela da ferramenta LDP com a janela Tree View aberta.

  5. Navegue pela árvore de domínio para identificar a UO em que você tem as máquinas cliente localizadas. Clique com o botão direito do mouse na UO e selecione Editar descritor>de segurança.

    Captura de tela da ferramenta LDP com a árvore de domínio no painel esquerdo.

  6. Classifique a coluna Trustee e localize os seguintes direitos de usuário para NT AUTHORITY\SELF permissões para o msLAPS-Password atributo. Captura de tela da ferramenta LDP com a janela do descritor de segurança aberta e classificada pela coluna Trustee.