Windows LAPS 故障排除指南

本指南提供了在排查 Windows 本地管理员密码解决方案 (Windows LAPS) 问题时使用的基本概念。

Windows LAPS 是一项 Windows 功能,可自动管理和备份已加入Microsoft Entra或已加入Windows Server Active Directory设备上的本地管理员帐户的密码。 还可以使用 Windows LAPS 在Windows Server Active Directory域控制器上自动管理和备份目录服务修复模式 (DSRM) 帐户密码。 授权管理员可以检索 DSRM 密码并使用它。 有关详细信息,请参阅 什么是 Windows LAPS?

注意

  • 本文适用于 windows LAPS (新功能) ,不适用于旧版 LAPS 或旧版 LAPS。
  • 本文仅列出了一些可能的首要根本原因。 其他原因也可能存在,但仍未发现。
  • 以下列表包含最常见的事件 ID,可能不包含所有 Windows LAPS 事件。

使用 Windows 事件排查 Windows LAPS 问题

若要查看 Windows LAPS 事件,请转到应用程序和服务日志>Microsoft>Windows>LAPS>操作事件查看器

注意

  • Windows LAPS 处理从事件 ID 10003 开始,以事件 ID 10004 结束。
  • 如果由于任何原因导致当前周期的处理失败,则会记录事件 ID 10005。

Windows LAPS 有两种方案:

  • Windows LAPS Active Directory

    客户端计算机配置为将密码存储在 Active Directory 中。

  • Windows LAPS Azure Microsoft Entra ID

    客户端计算机配置为将密码存储在 Microsoft Entra ID 中。

下表列出了在不同方案中记录的事件 ID:

事件 ID 应用场景
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory 和 Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory 和 Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory 和 Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory 和 Microsoft Entra ID
10049 Windows LAPS Active Directory 和 Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

事件 ID 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

默认情况下,Windows LAPS 对客户端计算机上托管帐户的密码进行加密。 若要支持加密,应Windows Server 2016域功能级别。

解决方案

  1. 如果需要,请提高域功能级别。
  2. 禁用为客户端计算机启用密码加密组策略。

    注意

    建议不要禁用域控制器上存储的密码加密。

事件 ID 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS 每隔一小时定期 () 查询 Active Directory 以获取计算机状态,客户端计算机使用 Netlogon 服务发现其上的域控制器。

解决方案

如果所处的环境仅连接到可写域控制器,请打开客户端计算机和域控制器之间的网络端口。

有关详细信息,请参阅 Windows 的服务概述和网络端口要求

事件 ID 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

若要引入 Windows LAPS,需要使用 Windows LAPS 属性扩展架构。 或者,如果在旧版 LAPS 仿真模式下使用 Windows LAPS,则需要使用旧版 LAPS 属性扩展架构。 此问题由以下原因之一导致:

  • 根本原因 1

    尚未使用新的 Windows LAPS 属性扩展架构。

  • 根本原因 2

    本地域控制器 (DC) 与主域控制器 (PDC) 之间存在暂时性 Active Directory 复制。

  • 根本原因 3

    本地域控制器上的 Active Directory 复制问题。

解决根本原因 1

Update-LapsADSchema运行 PowerShell cmdlet 以使用架构管理员权限更新 Active Directory 架构。

如果使用旧版 LAPS 仿真,请使用 PowerShell cmdlet 扩展架构 Update-AdmPwdADSchema , (此操作需要首先安装旧版 LAPS 产品) 。

根本原因 2 的解决方法

由于复制延迟,架构属性尚未复制到本地域控制器。 可以使用 LDP 或 ADSIEDIT 管理单元来确定是否已复制 Windows LAPS 架构属性。 使用以下命令使用架构主节点强制复制架构分区的 Active Directory:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

注意

  • 将 替换为 DC2.contoso.com Windows LAPS 事件日志中事件 ID 10055 标识的 DC 的名称。
  • 将 替换为 PDC.contoso.com 环境中 PDC 的名称。 可以使用 命令标识 PDC nltest /dsgetdc:contoso.com /pdc /force

解决根本原因 3

本地域控制器与域中的其他域控制器之间存在 Active Directory 复制问题。 可以在 Windows LAPS 事件日志中查看事件 ID 10055,以验证域控制器的名称,并运行 repadmin /showreps 命令来识别任何复制错误。

有关详细信息,请参阅 Active Directory 复制问题疑难解答

事件 ID 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS 从组策略或Intune设置要管理的管理员帐户的名称中读取本地管理员的名称。 如果未配置此设置,它将查找具有安全标识符 (SID) 以 500 (管理员) 结尾的本地帐户。 如果 Windows LAPS 找不到帐户,则会记录事件 ID 10013。

在当前版本的 Windows LAPS 中,没有创建托管用户的功能。

解决方案

使用以下方法之一验证并确保本地用户中存在托管用户:

  • 使用 lusrmgr.msc 打开 本地用户和组
  • 运行 net user 命令。

    注意

    请确保帐户的开头和末尾没有尾随空格。

事件 ID 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

这是 Windows LAPS 处理周期结束时的状态事件。 此事件没有根本原因,因此你需要查看 Windows LAPS 遇到问题的事件的早期处理。

解决方案

  1. 打开提升的 PowerShell 命令提示符并运行 Invoke-lapsPolicyProcessing cmdlet。
  2. 打开事件查看器,转到“应用程序和服务日志>”“Microsoft>Windows>LAPS>操作”。
  3. 筛选从事件 ID 10003 到事件 ID 10005 的最新事件处理情况。
  4. 修复事件 ID 10017 之前的任何错误。

事件 ID 10019

LAPS failed to update the local admin account with the new password

Windows LAPS 无法更新本地计算机上的本地托管用户帐户的密码。 Windows LAPS 找到了托管用户,但更改密码时遇到问题。

解决方案

  • 确定是否存在资源问题,例如内存泄漏或内存不足问题。 重新启动计算机以验证是否观察到类似的错误。
  • 管理同一托管用户的第三方应用程序或筛选器驱动程序不允许 Windows LAPS 管理密码。

事件 ID 10025

Azure discovery failed

设备 (Microsoft Entra 加入或混合加入) 配置了 Windows LAPS 以在Microsoft Entra ID中存储密码,应发现企业注册终结点。

解决方案

  1. 验证是否可以成功连接到注册终结点 (https://enterpriseregistration.windows.net) 。 如果打开 Microsoft Edge 或 Google Chrome 并连接到注册终结点 (https://enterpriseregistration.windows.net) ,则会收到一条消息“找不到终结点”。 此消息表示可以连接到企业注册终结点。
  2. 如果使用代理服务器,请验证代理是否已在系统上下文中配置。 可以打开提升的命令提示符并运行 netsh winhttp show proxy 命令以显示代理。

事件 ID 10026

LAPS was unable to authenticate to Azure using the device identity

如果设备的主刷新令牌 (PRT) 出现问题,则会出现此问题。

解决方案

  1. 验证是否已在 Azure 租户中启用 Windows LAPS 功能。
  2. 验证计算机未在 Azure 租户中删除或禁用。
  3. 打开命令提示符,运行 命令并dsregcmd /status检查以下部分,了解任何错误:
    • Device status
    • SSO data
    • Diagnostic data
  4. 使用 dsregcmd 命令 验证错误消息并排查问题。
  5. 使用混合联接设备故障排除Microsoft Entra混合联接设备Microsoft Entra故障排除
  6. 使用 设备注册疑难解答工具 识别并修复任何设备注册问题。
  7. 如果收到错误消息,请参阅Microsoft Entra身份验证和授权错误代码,了解错误说明和进一步进行故障排除。

事件 ID 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS 无法更新本地计算机上的本地托管用户帐户的密码。 Windows LAPS 找到了托管用户,但更改密码时遇到问题。

解决方案

  1. 通过在命令提示符中运行 命令来 net accounts 检查计算机上的密码策略。 如果任何密码策略不符合 Windows LAPS 配置的密码策略的条件(例如密码复杂性、密码长度或密码期限),请验证这些策略。

  2. 通过运行 GPRESULT /h 命令确定设置是通过本地组策略对象 (GPO) 、域 GPO 还是本地安全设置应用。 修改 GPO 或安全设置以匹配 Windows LAPS GPO 密码设置。 这些设置通过 GPO 中的“密码设置”设置进行配置,Intune (MDM) 。

    注意

    在 Active Directory、本地 GPO 或安全设置中配置的密码策略应与 Windows LAPS 密码设置匹配,或者应包含低于 Windows LAPS 密码设置 配置中的设置。

  3. 检查是否有可能阻止设置密码的任何第三方密码筛选器。

    1. 下载 进程资源管理器

    2. 以管理员身份提取并运行进程资源管理器。

    3. 在左窗格中选择 LSASS.exe 进程。

    4. 选择“ 视图>”“显示下窗格”。

    5. 选择“ 查看>下窗格视图>DLL”。

      包含已加载 dll 或模块的进程资源管理器的屏幕截图。

  4. 下窗格显示加载的 DLL 或模块。 使用“ 公司名称” 字段 (除 Microsoft) 以外的任何模块,确定是否存在任何第三方模块。

    查看 DLL 列表,确定第三方 DLL (模块的名称) 是否具有某些关键字,如“安全性”、“密码”或“策略”。卸载或停止可能使用此 DLL 的应用程序或服务。

已联接到 Microsoft Entra ID 的计算机

可以使用移动设备管理 (MDM) (Intune) 、本地 GPO 或任何类似的第三方软件来管理Microsoft Entra ID或混合加入的设备。

  1. 通过在命令提示符中运行 命令来 net accounts 检查计算机上的密码策略。 如果任何密码策略不符合 Windows LAPS 配置的密码策略的条件(例如密码复杂性、密码长度或密码期限),请验证这些策略。
  2. 确定冲突策略是通过Intune、本地 GPO 或类似的第三方软件(如 Intune)应用,以管理计算机上的密码策略。

事件 ID 10028

LAPS failed to update Azure Active Directory with the new password

Windows LAPS 客户端计算机定期更新密码。 如果配置了 Windows LAPS 的客户端计算机无法将密码更新为Microsoft Entra ID,则会出现此事件。

解决方案

  1. 验证是否已在 Azure 租户中启用 Windows LAPS 功能。
  2. 验证计算机未在 Azure 租户中删除或禁用。
  3. 打开命令提示符并运行 命令以dsregcmd /status检查以下部分是否存在任何错误:
    • Device status
    • SSO data
    • Diagnostic data
  4. 使用 dsregcmd 命令 验证错误消息并排查问题。
  5. 使用混合联接设备故障排除Microsoft Entra混合联接设备Microsoft Entra故障排除。
  6. 使用 设备注册疑难解答工具 识别并修复任何设备注册问题。
  7. 如果收到错误消息,请参阅Microsoft Entra身份验证和授权错误代码,了解错误说明和进一步进行故障排除。

事件 ID 10032

LAPS was unable to authenticate to Azure using the device identity

使用设备 PRT 时,可能存在与Microsoft Entra身份验证相关的问题。

解决方案

  1. 验证是否已在 Azure 租户中启用 Windows LAPS 功能。
  2. 验证计算机未在 Azure 租户中删除或禁用。
  3. 打开命令提示符并运行 命令以dsregcmd /status检查以下部分是否存在任何错误:
    • Device status
    • SSO data
    • Diagnostic data
  4. 使用 dsregcmd 命令 验证错误消息并排查问题。
  5. 使用混合联接设备故障排除Microsoft Entra混合联接设备Microsoft Entra故障排除。
  6. 使用 设备注册疑难解答工具 识别并修复任何设备注册问题。
  7. 如果收到错误消息,请参阅Microsoft Entra身份验证和授权错误代码,了解错误说明和进一步进行故障排除。

事件 ID 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

通过使用 GPO 或 MDM (Intune) 配置授权密码解密器设置来配置加密主体。 该设置似乎未正确配置。

解决方案

更正Intune或 GPO 配置。 此设置接受两个值:

  • 域组或用户的 SID
  • 域名\<组>名称>、<域名>\<用户名>或<用户名@<域名中的<组名称>>

注意

验证设置的开头和末尾是否没有尾随空格。

事件 ID 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

通过使用 GPO 或 MDM (Intune) 配置授权密码解密器设置来配置加密主体。 设置接受域名\组名称、<域名\><<用户名>或用户名@域名中的>< SID 或<><域名组名称。>> 当 Windows LAPS 客户端无法将 SID 解析为名称或将名称解析为 SID 时,将发生此错误。

解决方案

  1. 验证 Active Directory 中是否存在域组并且尚未删除。
  2. 如果组是新创建的,请等待 Active Directory 复制聚合到客户端计算机的本地域控制器上。
  3. 使用 Sysinternal 工具 PsGetSid 手动解析 SID 或名称。
    1. 下载 PsGetSid
    2. 提取下载的文件,并在遇到问题的客户端计算机上打开提升的命令提示符。
    3. 运行 psgetsid -accepteula <SID> or <Name> 命令。 使用事件 ID 10035 中提到的 SID 或名称。
  4. 检查林中是否存在任何 Active Directory 复制错误并对其进行故障排除。 有关详细信息,请参阅 Active Directory 复制问题疑难解答

事件 ID 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

身份验证后重试是尝试使用相应的目录 (Microsoft Entra ID 或 Active Directory) 重置密码的重试操作次数。 如果启动时此数字超过最大值 100,则会触发此事件。

解决方案

  1. 连接到相应目录(例如 Active Directory 或 Microsoft Entra ID)时出现问题时标识。
  2. 排查处理 Windows LAPS 事件期间出现的任何其他错误。

事件 ID 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS 可以通过将身份验证后操作设置与 GPO 或 MDM (Intune) 结合使用来配置身份验证后操作。 在此方案中,设置配置为在检测到身份验证后操作时重启计算机。 此事件表示计算机无法重新启动。

解决方案

  1. 确定是否有任何应用程序阻止计算机关闭。
  2. 确定你是否具有关闭计算机所需的权限。

事件 ID 10056

LAPS failed to locate a writable domain controller

Windows LAPS 客户端使用轻型目录访问协议 (LDAP) 修改操作,从 Windows LAPS 客户端将密码写入 Active Directory。 Windows LAPS 需要在域中发现可写域控制器,以写入托管帐户的密码。

解决方案

  1. 在客户端计算机上打开命令提示符并运行命令:

    nltest /dsgetdc:<Domain Name> /force /writable
    

    如果收到错误 1355 () 找不到域的域控制器,则表示需要排查可写 DC 发现问题。

  2. 如果所处的环境仅连接到可写域控制器,请打开客户端计算机和域控制器之间的网络端口。 有关详细信息,请参阅 Windows 的服务概述和网络端口要求

事件 ID 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

在计划的后台处理过程中,Windows LAPS 需要连接到域控制器。 此处理是使用计算机上下文完成的。 如果客户端计算机和域控制器之间有任何 Active Directory 身份验证问题,则会出现此错误。

解决方案

  1. 验证未在 Active Directory 中删除计算机帐户。

  2. 通过运行提升的命令来验证客户端和域控制器之间的任何安全通道问题:

    nltest /sc_query:<Domain Name>
    
  3. 将计算机重新加入域。

    注意

    确保知道本地管理员的密码。

事件 ID 10059

Azure returned a failure code

该事件还包含 HTTP 错误。 连接、验证或更新密码以Microsoft Entra ID时发生错误。

解决方案

  1. 验证是否可以成功连接到) Microsoft Entra注册终结点 (https://enterpriseregistration.windows.net
  2. 验证是否已在 Azure 租户中启用 Windows LAPS 功能。
  3. 验证计算机未在 Azure 租户中删除或禁用。
  4. 打开命令提示符并运行 命令以dsregcmd /status检查以下部分是否存在任何错误:
    • Device status
    • SSO data
    • Diagnostic data
  5. 使用 dsregcmd 命令 验证错误消息并排查问题。
  6. 使用混合联接设备故障排除Microsoft Entra混合联接设备Microsoft Entra故障排除。
  7. 使用 设备注册疑难解答工具 识别并修复任何设备注册问题。
  8. 如果收到错误消息,请参阅Microsoft Entra身份验证和授权错误代码,了解错误说明和进一步进行故障排除。

事件 ID 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

发生此错误的原因是 Windows LAPS 客户端计算机需要写入托管用户的密码。

如果将计算机移动到其他组织单位, (OU) ,并且目标 OU 对计算机没有自权限,则也会发生此问题。

解决方案

  1. 如果尚未运行 Windows LAPS PowerShell cmdlet 来向计算机帐户分配自我权限,请运行以下 cmdlet:

    Set-LapsADComputerSelfPermission -identity <OU Name>
    

    例如:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
    Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
    

    注意

    如果 OU 的名称相同但层次结构不同,则可以使用 dn) (可分辨名称。

  2. 验证计算机帐户是否对计算机帐户所在的 OU 具有自权限。

使用域管理员权限登录到域控制器

  1. 打开 LDP.exe

  2. 选择“ 连接>连接 ”,并配置服务器和端口,如下所示:

    LDP 工具的屏幕截图,其中打开了“连接”窗口。

  3. 选择“ 连接>绑定”,配置以下设置,然后选择“ 确定”。

    LDP 工具的屏幕截图,其中打开了“绑定”窗口。

  4. 选择“ 视图>”。 然后,从 BaseDN 的下拉列表中选择客户端计算机所在的域。

    LDP 工具的屏幕截图,其中打开了“树视图”窗口。

  5. 浏览域树以标识客户端计算机所在的 OU。 右键单击 OU,然后选择“ 安全描述符>编辑”。

    LDP 工具的屏幕截图,左侧窗格中有域树。

  6. “受托人” 列进行排序,并找到以下用户权限 NT AUTHORITY\SELF 以获取属性 msLAPS-Password 的权限。 LDP 工具的屏幕截图,其中打开了“安全描述符”窗口,并按“受信者”列排序。