Руководство по устранению неполадок Windows LAPS

В этом руководстве приведены основные понятия, которые следует использовать при устранении неполадок с решением локального администратора Windows (WINDOWS LAPS).

Windows LAPS — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора на устройствах, присоединенных к Microsoft Entra или присоединенных к Windows Server Active Directory устройств. Вы также можете использовать Windows LAPS для автоматического управления паролем учетной записи службы каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его. Дополнительные сведения см. в статье о том, что такое Windows LAPS?

Примечание.

• Эта статья предназначена для Windows LAPS (новая функция), а не для устаревших LAPS или более старой версии LAPS.
• В этой статье перечислены только некоторые из наиболее возможных первопричин. Другие причины также могут существовать, но остаются неокрытыми.
• Следующий список содержит наиболее распространенные идентификаторы событий и может не включать все события Windows LAPS.

Устранение неполадок Windows LAPS с помощью событий Windows

Чтобы просмотреть события Windows LAPS, перейдите в журналы>Microsoft Windows>LAPS>в>Просмотр событий.

Примечание.

• Обработка Windows LAPS начинается с идентификатора события 10003 и заканчивается идентификатором события 10004.
• Если обработка текущего цикла по какой-либо причине завершается ошибкой, регистрируется идентификатор события 10005.

Windows LAPS имеет два сценария:

• Windows LAPS Active Directory

  Клиентские компьютеры настроены для хранения пароля в Active Directory.

• Идентификатор Microsoft Entra Для Windows LAPS Azure

  Клиентские компьютеры настроены для хранения пароля в идентификаторе Microsoft Entra.

В следующей таблице перечислены идентификаторы событий, которые регистрируются в различных сценариях:

ИД события	Сценарий
10006	Windows LAPS Active Directory
10011	Windows LAPS Active Directory
10012	Windows LAPS Active Directory
10013	Идентификатор Windows LAPS Active Directory и Microsoft Entra
10017	Windows LAPS Active Directory
10019	Идентификатор Windows LAPS Active Directory и Microsoft Entra
10025	Идентификатор Microsoft Entra Для Windows LAPS
10026	Идентификатор Microsoft Entra Для Windows LAPS
10027	Идентификатор Windows LAPS Active Directory и Microsoft Entra
10028	Идентификатор Microsoft Entra Для Windows LAPS
10032	Идентификатор Microsoft Entra Для Windows LAPS
10034	Windows LAPS Active Directory
10035	Windows LAPS Active Directory
10048	Идентификатор Windows LAPS Active Directory и Microsoft Entra
10049	Идентификатор Windows LAPS Active Directory и Microsoft Entra
10056	Windows LAPS Active Directory
10057	Windows LAPS Active Directory
10059	Идентификатор Microsoft Entra Для Windows LAPS
10065	Windows LAPS Active Directory

Идентификатор события 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

По умолчанию Windows LAPS шифрует пароль управляемой учетной записи на клиентском компьютере. Для поддержки шифрования функциональный уровень домена должен быть Windows Server 2016.

Решение

1. При необходимости создайте уровень функциональности домена.
2. Отключите групповую политику шифрования паролей для клиентских компьютеров.

   Примечание.

   Мы не рекомендуем отключить шифрование паролей, хранящееся на контроллере домена.

Идентификатор события 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS периодически (ежечасно) запрашивает Active Directory о состоянии компьютера, а клиентский компьютер использует службу Netlogon для обнаружения на нем контроллера домена.

Решение

Если у вас есть подключение только к контроллеру домена, доступному для записи, откройте сетевые порты между клиентским компьютером и контроллером домена.

Дополнительные сведения см. в разделе "Общие сведения о службе" и требования к сетевому порту для Windows.

Идентификатор события 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Чтобы ввести windows LAPS, необходимо расширить схему с помощью атрибутов Windows LAPS. Или, если вы используете Windows LAPS в устаревшем режиме эмуляции LAPS, необходимо расширить схему с устаревшими атрибутами LAPS. Такая проблема возникает по одной из следующих причин.

• Первопричина 1

  Схема не была расширена с новыми атрибутами Windows LAPS.

• Первопричина 2

  Временная репликация Active Directory существует между локальным контроллером домена (DC) и основным контроллером домена (PDC).

• Первопричина 3

  Проблема репликации Active Directory на локальном контроллере домена.

Разрешение на первопричину 1

Update-LapsADSchema Запустите командлет PowerShell, чтобы обновить схему Active Directory с помощью привилегий администратора схемы.

Если вы используете устаревшую эмуляцию LAPS, расширьте схему с Update-AdmPwdADSchema помощью командлета PowerShell (для этого действия сначала требуется установка устаревшего продукта LAPS).

Разрешение на первопричину 2

Из-за задержки репликации атрибуты схемы не реплицировались на локальный контроллер домена. С помощью оснастки LDP или ADSIEDIT можно определить, реплицируются ли атрибуты схемы Windows LAPS. Принудительное репликация active Directory секции схемы с главной схемой с помощью следующей команды:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Примечание.

• Замените DC2.contoso.com именем контроллера домена, определяемого идентификатором события 100555 в журналах событий Windows LAPS.
• Замените PDC.contoso.com именем PDC в вашей среде. Вы можете определить PDC с помощью nltest /dsgetdc:contoso.com /pdc /force команды.

Разрешение на первопричину 3

Существует проблема репликации Active Directory между локальным контроллером домена и другими контроллерами домена в домене. Вы можете просмотреть идентификатор события 10055 в журналах событий Windows LAPS, чтобы проверить имя контроллера домена и выполнить repadmin /showreps команду для выявления ошибок репликации.

Дополнительные сведения см. в разделе "Устранение неполадок репликации Active Directory".

Идентификатор события 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS считывает имя локального администратора из групповой политики или параметра Intune имя учетной записи администратора для управления. Если этот параметр не настроен, он будет искать локальную учетную запись с идентификатором безопасности (SID), заканчивая 500 (администратор). Если windows LAPS не удается найти учетную запись, регистрируется идентификатор события 10013.

В текущей версии Windows LAPS нет функции для создания управляемого пользователя.

Решение

Проверьте и убедитесь, что управляемый пользователь присутствует в локальных пользователях с помощью одного из следующих методов:

• Используйте lusrmgr.msc для открытия локальных пользователей и групп.
• Выполните команду net user.

  Примечание.

  Убедитесь, что в начале и конце учетной записи нет конечных пространств.

Идентификатор события 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Это событие состояния в конце цикла обработки Windows LAPS. Это событие не имеет первопричины, поэтому необходимо просмотреть более раннюю обработку событий, в которых windows LAPS столкнулась с проблемой.

Решение

1. Откройте командную строку PowerShell с повышенными привилегиями и запустите Invoke-lapsPolicyProcessing командлет.
2. Откройте Просмотр событий и перейдите к журналам>приложений и служб Microsoft>Windows>LAPS.>
3. Отфильтруйте последнюю обработку событий, начиная с идентификатора события 10003 до идентификатора события 10005.
4. Исправьте все ошибки до идентификатора события 10017.

Идентификатор события 10019

LAPS failed to update the local admin account with the new password

Windows LAPS не может обновить пароль локально управляемой учетной записи пользователя на локальном компьютере. Windows LAPS обнаружил управляемого пользователя, но у него возникли проблемы с изменением пароля.

Решение

• Определите, возникла ли проблема с ресурсом, например утечка памяти или проблема с памятью. Перезагрузите компьютер, чтобы проверить, наблюдается ли аналогичная ошибка.
• Стороннее приложение или драйвер фильтра, управляющий тем же управляемым пользователем, не позволяет Windows LAPS управлять паролем.

Идентификатор события 10025

Azure discovery failed

Устройство (присоединенное к Microsoft Entra или гибридное присоединение), настроенное с помощью Windows LAPS для хранения паролей в идентификаторе Microsoft Entra ID, должно обнаружить конечную точку корпоративной регистрации.

Решение

1. Убедитесь, что вы можете успешно подключиться к конечной точке регистрации (https://enterpriseregistration.windows.net). Если вы открываете Microsoft Edge или Google Chrome и подключаетесь к конечной точке регистрации (https://enterpriseregistration.windows.net), вы получите сообщение "Конечная точка не найдена". Это сообщение означает, что вы можете подключиться к конечной точке корпоративной регистрации.
2. Если вы используете прокси-сервер, убедитесь, что прокси-сервер настроен в контексте системы. Можно открыть командную строку с повышенными привилегиями и запустить netsh winhttp show proxy команду для отображения прокси-сервера.

Идентификатор события 10026

LAPS was unable to authenticate to Azure using the device identity

Эта проблема возникает, если возникла проблема с основным маркером обновления устройства (PRT).

Решение

1. Убедитесь, что в клиенте Azure включена функция Windows LAPS.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку, выполните dsregcmd /status команду и проверьте следующие разделы для любых ошибок:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Устранение неполадок гибридных устройств, присоединенных к Microsoft Entra, с помощью устранения неполадок гибридных устройств, присоединенных к Microsoft Entra.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если появится сообщение об ошибке, ознакомьтесь с кодами ошибок проверки подлинности и авторизации Microsoft Entra для описания ошибки и дальнейшего устранения неполадок.

Идентификатор события 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS не может обновить пароль локально управляемой учетной записи пользователя на локальном компьютере. Windows LAPS обнаружил управляемого пользователя, но у него возникли проблемы с изменением пароля.

Решение

1. Проверьте политику паролей на компьютере, выполнив net accounts команду в командной строке. Проверьте любую из политик паролей, если они не соответствуют критериям настроенной политики паролей Windows LAPS, например сложности пароля, длине пароля или возрасту пароля.

2. Определите, применяется ли параметр через локальный объект групповой политики (GPO), объект групповой политики домена или локальные параметры безопасности, выполнив GPRESULT /h команду. Измените параметры групповой политики или безопасности, чтобы они соответствовали параметрам пароля групповой политики Windows LAPS. Параметры настраиваются с помощью параметра "Параметры пароля" в объекте групповой политики или Intune (MDM).

   Примечание.

   Политики паролей, настроенные в Active Directory, локальном объекте групповой политики или параметрах безопасности, должны соответствовать параметрам пароля Windows LAPS или содержать параметры ниже, чем в конфигурации параметров пароля Windows LAPS.

3. Проверьте наличие сторонних фильтров паролей, которые могут блокировать настройку пароля.

   1. Скачайте обозреватель процессов.

   2. Извлечение и запуск обозревателя процессов от имени администратора.

   3. Выберите процесс LSASS.exe на левой панели.

   4. Выберите "Вид",>чтобы отобразить более низкую область.

   5. Выберите библиотеки DLL представления нижней панели.>>

      

4. На нижней панели отображаются загруженные библиотеки DLL или модули. Определите, существуют ли сторонние модули с помощью поля "Имя компании" (любые модули, отличные от Майкрософт).

   Просмотрите список БИБЛИОТЕК DLL, чтобы определить, имеет ли имя сторонней библиотеки DLL (модуля) некоторые ключевые слова, такие как "безопасность", "пароль" или "политики". Удалите или остановите приложение или службу, которые могут использовать эту библиотеку DLL.

Компьютер, присоединенный к идентификатору Microsoft Entra

Идентификатор Microsoft Entra или гибридные присоединенные устройства можно управлять с помощью управления мобильными устройствами (MDM) (Intune), локальных объектов групповой политики или любого аналогичного стороннего программного обеспечения.

1. Проверьте политику паролей на компьютере, выполнив net accounts команду в командной строке. Проверьте любую из политик паролей, если они не соответствуют критериям настроенной политики паролей Windows LAPS, например сложности пароля, длине пароля или возрасту пароля.
2. Определите, применяется ли конфликтующая политика с помощью Intune, локального объекта групповой политики или аналогичного стороннего программного обеспечения, например Intune для управления политиками паролей на компьютере.

Идентификатор события 10028

LAPS failed to update Azure Active Directory with the new password

Клиентский компьютер Windows LAPS периодически обновляет пароли. Это событие появляется, если клиентский компьютер, настроенный с помощью Windows LAPS, не может обновить пароль до идентификатора Microsoft Entra.

Решение

1. Убедитесь, что в клиенте Azure включена функция Windows LAPS.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверить наличие ошибок в следующих разделах:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Используйте устранение неполадок гибридных устройств , присоединенных к Microsoft Entra, чтобы устранить неполадки с гибридными устройствами, присоединенными к Microsoft Entra.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если появится сообщение об ошибке, ознакомьтесь с кодами ошибок проверки подлинности и авторизации Microsoft Entra для описания ошибки и дальнейшего устранения неполадок.

Идентификатор события 10032

LAPS was unable to authenticate to Azure using the device identity

При использовании PRT устройства могут возникнуть проблемы, связанные с проверкой подлинности Microsoft Entra.

Решение

1. Убедитесь, что в клиенте Azure включена функция Windows LAPS.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверить наличие ошибок в следующих разделах:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Используйте устранение неполадок гибридных устройств , присоединенных к Microsoft Entra, чтобы устранить неполадки с гибридными устройствами, присоединенными к Microsoft Entra.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если появится сообщение об ошибке, ознакомьтесь с кодами ошибок проверки подлинности и авторизации Microsoft Entra для описания ошибки и дальнейшего устранения неполадок.

Идентификатор события 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Субъект шифрования настраивается с помощью параметра настройки авторизованных расшифровщиков паролей с помощью групповой политики или MDM (Intune). Появляется, что параметр настроен неправильно.

Решение

Исправьте конфигурацию Intune или GPO. Этот параметр принимает два значения:

• Идентификатор безопасности группы домена или пользователя
• Имя группы в <доменном> имени\<имя группы>, <доменное имя>\<имя пользователя> или <имя пользователя@<доменное имя>>

Примечание.

Убедитесь, что в начале и конце параметра нет конечных пространств.

Идентификатор события 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Субъект шифрования настраивается с помощью параметра настройки авторизованных расшифровщиков паролей с помощью групповой политики или MDM (Intune). Параметр принимает идентификатор безопасности или имя группы домена в <доменном имени\имя группы, <доменное> имя>\<<имя пользователя> или <имя пользователя@<доменное имя>>.> Ошибка возникает, когда клиент Windows LAPS не может разрешить идентификатор безопасности имени или имени идентификатора безопасности.

Решение

1. Убедитесь, что группа домена существует в Active Directory и не была удалена.
2. Если группа создана, подождите, пока репликация Active Directory будет конвергентна на локальном контроллере домена клиентского компьютера.
3. Используйте средство Sysinternal PsGetSid, чтобы вручную разрешить идентификатор безопасности или имя.
   1. Скачайте PsGetSid.
   2. Извлеките скачанный файл и откройте командную строку с повышенными привилегиями на клиентском компьютере, где возникает проблема.
   3. Выполните команду psgetsid -accepteula <SID> or <Name>. Используйте идентификатор безопасности или имя, указанное в идентификаторе события 10035.
4. Проверьте наличие ошибок репликации Active Directory в лесу и их устранение. Дополнительные сведения см. в разделе "Устранение неполадок репликации Active Directory".

Идентификатор события 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Повторная попытка после проверки подлинности — это количество операций повторных попыток сброса пароля с соответствующим каталогом (идентификатор Microsoft Entra или Active Directory). Если это число превышает максимум 100 при загрузке, это событие активируется.

Решение

1. Удостоверение, если возникла проблема с подключением к соответствующему каталогу, например Active Directory или идентификатору Microsoft Entra.
2. Устранение других ошибок во время обработки событий Windows LAPS.

Идентификатор события 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS можно настроить для действия после проверки подлинности с помощью параметра действий после проверки подлинности с помощью групповой политики или MDM (Intune). В этом сценарии параметр настраивается для перезагрузки компьютера, если он обнаруживает действие после проверки подлинности. Это событие означает, что компьютер не может перезагрузиться.

Решение

1. Определите, блокирует ли приложение завершение работы компьютера.
2. Определите, есть ли необходимые привилегии для завершения работы компьютера.

Идентификатор события 10056

LAPS failed to locate a writable domain controller

Клиент Windows LAPS использует операцию изменения протокола LDAP для записи паролей в Active Directory из клиента Windows LAPS. Windows LAPS должен обнаружить контроллер домена, доступный для записи в домене, чтобы написать пароль управляемой учетной записи.

Решение

1. Откройте командную строку на клиентском компьютере и выполните команду:

   nltest /dsgetdc:<Domain Name> /force /writable
   

   Если возникает ошибка 1355 (контроллер домена для домена не найден), это означает, что вам нужно устранить проблему обнаружения контроллера домена с возможностью записи.

2. Если у вас есть подключение только к контроллеру домена, доступному для записи, откройте сетевые порты между клиентским компьютером и контроллером домена. Дополнительные сведения см. в разделе "Общие сведения о службе" и требования к сетевому порту для Windows.

Идентификатор события 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Во время запланированной фоновой обработки windows LAPS необходимо подключиться к контроллеру домена. Эта обработка выполняется с помощью контекста компьютера. Эта ошибка возникает, если между клиентским компьютером и контроллером домена возникает какая-либо ошибка проверки подлинности Active Directory.

Решение

1. Убедитесь, что учетная запись компьютера не удалена в Active Directory.

2. Проверьте все проблемы с защищенным каналом между клиентом и контроллером домена, выполнив команду с повышенными привилегиями:

   nltest /sc_query:<Domain Name>
   

3. Повторно присоедините компьютер к домену.

   Примечание.

   Убедитесь, что вы знаете пароль локального администратора.

Идентификатор события 10059

Azure returned a failure code

Событие также содержит ошибку HTTP. Ошибка возникает при подключении, проверке подлинности или обновлении пароля до идентификатора Microsoft Entra.

Решение

1. Убедитесь, что вы можете успешно подключиться к конечной точке регистрации Microsoft Entra (https://enterpriseregistration.windows.net).
2. Убедитесь, что в клиенте Azure включена функция Windows LAPS.
3. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
4. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверить наличие ошибок в следующих разделах:
   • Device status
   • SSO data
   • Diagnostic data
5. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
6. Используйте устранение неполадок гибридных устройств , присоединенных к Microsoft Entra, чтобы устранить неполадки с гибридными устройствами, присоединенными к Microsoft Entra.
7. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
8. Если появится сообщение об ошибке, ознакомьтесь с кодами ошибок проверки подлинности и авторизации Microsoft Entra для описания ошибки и дальнейшего устранения неполадок.

Идентификатор события 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Эта ошибка возникает из-за того, что клиентский компьютер Windows LAPS должен записывать пароли управляемого пользователя.

Эта проблема также может возникнуть, если вы переместите компьютер в другую подразделение организации, а целевой подразделение не имеет самостоятельного разрешения на компьютер.

Решение

1. Если вы не запустите командлет Windows LAPS PowerShell для назначения самостоятельного разрешения учетной записи компьютера, выполните следующий командлет:

   Set-LapsADComputerSelfPermission -identity <OU Name>
   

   Рассмотрим пример.

   Set-LapsADComputerSelfPermission -Identity LAPSOU
   Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
   

   Примечание.

   Вы можете использовать различающееся имя (DN), если у вас есть одно и то же имя для подразделения, но в разных иерархиях.

2. Убедитесь, что учетная запись компьютера имеет самостоятельное разрешение в подразделении, где существует учетная запись компьютера.

Вход в контроллер домена с правами администратора домена

1. Откройте LDP.exe.

2. Выберите "Подключение"> и настройте сервер и порт следующим образом:

   

3. Выберите "Привязка подключения">, настройте следующие параметры и нажмите кнопку "ОК".

   

4. Выберите дерево представления>. Затем в раскрывающемся списке BaseDN выберите домен, в котором находится ваш клиентский компьютер.

   

5. Просмотрите дерево домена, чтобы определить подразделение, на котором расположены клиентские компьютеры. Щелкните правой кнопкой мыши подразделение и выберите команду "Изменить дескриптор>безопасности".

   

6. Сортируйте столбец доверенного лица и найдите следующие права пользователя для NT AUTHORITY\SELF разрешений для атрибута msLAPS-Password .