Поделиться через

Устранение ошибки SSPR_0029: в вашей организации неправильно настроена локальная конфигурация для сброса пароля

  • Статья

В этой статье показано, как устранить ошибку самостоятельного сброса пароля (SSPR) "SSPR_0029: ваша организация не правильно настроила локальную конфигурацию для сброса пароля", которая возникает после ввода пользователем или администратором и подтверждения нового пароля на странице SSPR.

Симптомы

Пользователь или администратор выполняет следующие действия, а затем получает ошибку SSPR_0029 :

  1. На странице входа в учетную запись Майкрософт или на странице входа в Microsoft Azure в https://login.microsoftonline.com домене пользователь или администратор выбирает не удается получить доступ к вашей учетной записи?, забыл пароль или сбросить его.

  2. Пользователь или администратор выбирает тип учетной записи рабочей или учебной учетной записи . Затем они перенаправляются на страницу SSPR, https://passwordreset.microsoftonline.com чтобы начать возврат к потоку учетной записи .

  3. На экране " Кто вы?" пользователь или администратор вводит свой идентификатор пользователя, завершает задачу безопасности captcha без учета регистра, а затем нажмите кнопку "Далее".

  4. На экране "Почему у вас возникли проблемы с входом?", пользователь или администратор выбирает, что я забыл пароль>далее.

  5. На экране выбора нового пароля пользователь или администратор вводит и подтверждает новую строку пароля, а затем нажмите кнопку "Готово". Затем появится экран "К сожалению" и отображает следующее сообщение:

    SSPR_0029: в вашей организации неправильно настроена локальная конфигурация для сброса пароля.

    Если вы являетесь администратором, дополнительные сведения см. в статье "Устранение неполадок с компонентом обратной записи паролей". Если вы не являетесь администратором, можете сообщить эти сведения при обращении к администратору.

Причина 1. Невозможно использовать обратную запись паролей для сброса пароля синхронизированного администратора Windows Active Directory

Вы синхронизированный администратор Windows Active Directory, который принадлежит (или использовался для принадлежности) к защищенной группе локальная служба Active Directory, и вы не можете использовать SSPR и обратную запись паролей для сброса локального пароля.

Решение: нет (поведение выполняется по проектированию)

Для безопасности учетные записи администраторов, существующие в локальной защищенной группе Active Directory, нельзя использовать вместе с обратной записью паролей. Администраторы могут изменить пароль в облаке, но не могут сбросить забытый пароль. Дополнительные сведения см. в статье о том, как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra.

Причина 2. Учетная запись соединителя AD DS не имеет необходимых разрешений Active Directory

Синхронизированный пользователь отсутствует правильные разрешения в Active Directory.

Решение. Устранение проблем с разрешениями Active Directory

Сведения об устранении проблем, влияющих на разрешения Active Directory, см. в разделе "Права доступа и разрешения обратной записи паролей".

Обходное решение. Назначение другого контроллера домена Active Directory

Примечание.

Обратная запись паролей зависит от устаревшего API NetUserGetInfo. NetUserGetInfo API требует сложного набора разрешенных разрешений в Active Directory, которые могут быть трудно определить, особенно если сервер Microsoft Entra Connect работает на контроллере домена. Дополнительные сведения см. в разделе "Приложения с помощью NetUserGetInfo" и аналогичных API для чтения для определенных объектов Active Directory.

У вас есть сценарий, в котором сервер Microsoft Entra Connect работает на контроллере домена, и разрешение разрешений Active Directory невозможно? В этом случае рекомендуется развернуть сервер Microsoft Entra Connect на сервере-члене вместо контроллера домена. Или настройте соединитель Active Directory только для использования предпочтительных контроллеров домена, выполнив следующие действия.

  1. В меню "Пуск" найдите и выберите Диспетчер службы синхронизации.

  2. В окне Диспетчера синхронизации выберите вкладку "Соединители".

  3. Щелкните правой кнопкой мыши соединитель Active Directory из списка соединителей и выберите пункт "Свойства".

  4. В области конструктора соединителей диалогового окна "Свойства" выберите "Настройка секций каталогов".

  5. В области "Настройка секций каталогов" выберите параметр "Только предпочитаемые контроллеры домена" и нажмите кнопку "Настроить".

  6. В диалоговом окне "Настройка предпочтительных контроллеров домена" добавьте одно или несколько имен серверов, указывающих на другой контроллер домена (или контроллеры домена), чем локальный узел.

  7. Чтобы сохранить изменения и вернуться в главное окно, нажмите кнопку "ОК " три раза, в том числе в диалоговом окне "Предупреждение ", где показан дополнительный отказ от настройки.

Причина 3. Серверы не могут выполнять удаленные вызовы к диспетчеру учетных записей безопасности (SAM)

В этом случае регистрируются два аналогичных события ошибки приложения: идентификатор события 33004 и 6329. Идентификатор события 6329 отличается от 33004, так как он содержит ERROR_ACCESS_DENIED код ошибки в трассировке стека при попытке сервера выполнить удаленный вызов SAM:

ERR_: MMS(#####): admaexport.cpp(2944): Не удалось получить сведения о пользователе: Contoso\MSOL_############. Код ошибки: ERROR_ACCESS_DENIED

Эта ситуация может произойти, если сервер Microsoft Entra Connect или контроллер домена имеет или имеет параметр безопасности, применяемый с объектом групповой политики домена (GPO) или в локальной политике безопасности сервера. Чтобы проверить, является ли это дело, выполните следующие действия.

  1. Откройте окно командной строки администратора и выполните следующие команды:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Откройте файл C:\Temp\gpresult.htm в веб-браузере и разверните>> раздел "Параметры>>сведений о компьютере" политики>параметров безопасности параметров безопасности параметров локальной политики или сетевой доступ параметров>безопасности. Затем проверьте, есть ли у вас параметр, который называется сетевым доступом: ограничить клиенты, которым разрешено выполнять удаленные вызовы к SAM.

  3. Чтобы открыть оснастку "Локальная политика безопасности", выберите "Пуск", введите secpol.msc, нажмите клавишу ВВОД, а затем разверните локальные политики для расширения параметров> безопасности.

  4. В списке политик выберите сетевой доступ: ограничить клиенты, которым разрешено выполнять удаленные вызовы к SAM. Столбец "Параметр безопасности" отображается "Не определено" , если параметр не включен, или отображается O:BAG:... значение дескриптора безопасности, если параметр включен. Если параметр включен, вы также можете выбрать значок свойств, чтобы просмотреть список контроль доступа (ACL), который в настоящее время применяется.

    Примечание.

    По умолчанию этот параметр политики отключен. Если этот параметр применяется на устройстве с помощью объекта групповой политики или параметра локальной политики, значение реестра с именем RestrictRemoteSam создается в пути реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Однако этот параметр реестра может быть трудно очистить после определения и применения к серверу. Отключение параметра групповой политики или очистка параметра "Определить этот параметр политики" в консоли управления групповыми политиками (GPMC) не удаляет запись реестра. Поэтому сервер по-прежнему ограничивает, какие клиенты могут выполнять удаленные вызовы к SAM.

    Как точно проверить, что сервер Microsoft Entra Connect или контроллер домена по-прежнему ограничивает удаленные вызовы SAM? Проверьте наличие записи реестра, выполнив командлет Get-ItemProperty в PowerShell:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

Показывает ли выходные данные PowerShell, что запись реестра RestrictRemoteSam по-прежнему присутствует? В этом случае у вас есть два возможных решения.

Решение 1. Добавление учетной записи соединителя AD DS в список разрешенных пользователей

Сохраните сетевой доступ. Ограничьте клиентам разрешение на удаленные вызовы к параметру политики SAM включено и применено на сервере Microsoft Entra Connect, но добавьте учетную запись соединителя служб домен Active Directory (AD DS) (MSOL_ учетную запись) в список разрешенных пользователей. Инструкции см. в следующих шагах.

  1. Если вы не знаете имя учетной записи соединителя AD DS, см . статью "Идентификация учетной записи соединителя AD DS".

  2. В оснастке GPMC или локальной политики безопасности вернитесь в диалоговое окно свойства для этого параметра политики.

  3. Выберите "Изменить безопасность", чтобы отобразить диалоговое окно "Параметры безопасности для удаленного доступа к SAM".

  4. В списке имен групп или пользователей выберите "Добавить ", чтобы отобразить диалоговое окно "Выбор пользователей или групп ". В поле "Введите имена объектов", чтобы выбрать, введите имя учетной записи соединителя AD DS (MSOL_ учетной записи), а затем нажмите кнопку "ОК", чтобы выйти из этого диалогового окна.

  5. Выберите учетную запись соединителя AD DS в списке. В разделе "Разрешения для <имени> учетной записи" в строке удаленного доступа выберите "Разрешить".

  6. Нажмите кнопку "ОК ", чтобы принять изменения параметров политики и вернуться к списку параметров политики.

  7. Откройте окно командной строки администратора и выполните команду gpupdate , чтобы принудительно обновить групповую политику:

    gpupdate /force

Решение 2. Удаление сетевого доступа: ограничение доступа к клиентам, которым разрешено выполнять удаленные вызовы к параметру политики SAM , а затем вручную удалите запись реестра RestrictRemoteSam

  1. Если параметр безопасности применяется из локальной политики безопасности, перейдите к шагу 4.

  2. Откройте оснастку GPMC из контроллера домена и измените соответствующий объект групповой политики домена.

  3. Разверните параметры>>безопасности параметров безопасности параметров> конфигурации>>>компьютера.

  4. В списке параметров безопасности выберите "Сетевой доступ": запретить клиентам выполнять удаленные вызовы к SAM, открывать свойства и отключать этот параметр политики.

  5. Откройте окно командной строки администратора и выполните команду gpupdate , чтобы принудительно обновить групповую политику:

    gpupdate /force

  6. Чтобы создать новый отчет о результатах групповой политики (GPreport.htm), выполните команду gpresult, а затем откройте новый отчет в веб-браузере:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. Проверьте отчет, чтобы убедиться, что параметр политики для доступа к сети: ограничить клиенты, которым разрешено выполнять удаленные вызовы к SAM , не определены.

  8. Откройте консоль PowerShell с правами администратора.

  9. Чтобы удалить запись реестра RestrictRemoteSam , выполните командлет Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Примечание.

    Если удалить запись реестра RestrictRemoteSam без удаления параметра групповой политики домена, эта запись реестра будет повторно создана в следующем цикле обновления групповой политики, и SSPR_0029 ошибка будет повторна.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.