Windows LAPS 疑難解答指引
本指南提供針對 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 問題進行疑難解答時使用的基本概念。
Windows LAPS 是一項 Windows 功能,可自動管理及備份您Microsoft已加入 Entra 或 Windows Server Active Directory 的裝置上本機系統管理員帳戶的密碼。 您也可以使用 Windows LAPS,在您的 Windows Server Active Directory 域控制器上自動管理及備份目錄服務修復模式 (DSRM) 帳戶密碼。 授權的系統管理員可擷取 DSRM 密碼並加以使用。 如需詳細資訊,請參閱 什麼是 Windows LAPS?
注意
- 本文適用於 Windows LAPS(新功能),不適用於舊版 LAPS 或舊版 LAPS。
- 本文僅列出一些最上層可能的根本原因。 其他原因也可能存在,但仍未探索。
- 下列清單包含最常見的事件標識碼,而且可能不會包含所有 Windows LAPS 事件。
使用 Windows 事件對 Windows LAPS 進行疑難解答
若要檢視 Windows LAPS 事件,請移至 [應用程式和服務記錄>]>Microsoft 事件檢視器 中的 Windows>LAPS>作業。
注意
- Windows LAPS 處理會從事件 ID 10003 開始,並在事件 ID 10004 結束。
- 如果目前周期處理因故失敗,則會記錄事件 ID 10005。
Windows LAPS 有兩種案例:
Windows LAPS Active Directory
用戶端電腦已設定為將密碼儲存在 Active Directory 中。
Windows LAPS Azure Microsoft Entra ID
用戶端電腦已設定為將密碼儲存在 entra ID Microsoft。
下表列出在不同案例中記錄的事件識別碼:
| 事件識別碼 | 案例 |
|---|---|
| 10006 | Windows LAPS Active Directory |
| 10011 | Windows LAPS Active Directory |
| 10012 | Windows LAPS Active Directory |
| 10013 | Windows LAPS Active Directory 和 Microsoft Entra ID |
| 10017 | Windows LAPS Active Directory |
| 10019 | Windows LAPS Active Directory 和 Microsoft Entra ID |
| 10025 | Windows LAPS Microsoft Entra ID |
| 10026 | Windows LAPS Microsoft Entra ID |
| 10027 | Windows LAPS Active Directory 和 Microsoft Entra ID |
| 10028 | Windows LAPS Microsoft Entra ID |
| 10032 | Windows LAPS Microsoft Entra ID |
| 10034 | Windows LAPS Active Directory |
| 10035 | Windows LAPS Active Directory |
| 10048 | Windows LAPS Active Directory 和 Microsoft Entra ID |
| 10049 | Windows LAPS Active Directory 和 Microsoft Entra ID |
| 10056 | Windows LAPS Active Directory |
| 10057 | Windows LAPS Active Directory |
| 10059 | Windows LAPS Microsoft Entra ID |
| 10065 | Windows LAPS Active Directory |
事件標識碼 10006
LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected
根據預設,Windows LAPS 會加密用戶端機器上受控帳戶的密碼。 若要支援加密,網域功能等級應該是 Windows Server 2016。
解決方法
- 視需要提高網域功能等級。
- 停用用戶端電腦的 啟用密碼加密 組策略。
注意
我們不建議停用儲存在域控制器上的密碼加密。
事件標識碼 10011
LAPS failed when querying Active Directory for the current computer state
Windows LAPS 會定期 (每小時) 查詢 Active Directory 以取得電腦狀態,而用戶端機器會使用 Netlogon 服務來探索其上的網域控制站。
解決方法
如果您在只有可寫入域控制器連線的環境中,請開啟用戶端電腦與域控制器之間的網路埠。
如需詳細資訊,請參閱 Windows 的服務概觀和網路埠需求。
事件標識碼 10012
The Active Directory schema has not been updated with the necessary LAPS attributes
若要介紹 Windows LAPS,您需要使用 Windows LAPS 屬性來擴充架構。 或者,如果您在舊版 LAPS 模擬模式中使用 Windows LAPS,則需要使用舊版 LAPS 屬性來擴充架構。 下列其中一個原因將會造成這個問題:
根本原因 1
架構尚未使用新的 Windows LAPS 屬性來擴充。
根本原因 2
本機域控制器 (DC) 與主要域控制器 (PDC) 之間存在暫時性的 Active Directory 複寫。
根本原因 3
本機域控制器上的Active Directory 複寫問題。
解決根本原因 1
Update-LapsADSchema執行 PowerShell Cmdlet,以使用架構管理員許可權來更新 Active Directory 架構。
如果您使用舊版 LAPS 模擬,請使用 PowerShell Cmdlet 擴充架構 Update-AdmPwdADSchema (此動作需要先安裝舊版 LAPS 產品)。
解決根本原因 2
由於複寫延遲,架構屬性尚未復寫到本機域控制器。 您可以使用 LDP 或 ADSIEDIT 嵌入式管理單元來識別是否已復寫 Windows LAPS 架構屬性。 使用下列命令強制使用架構主機來復寫架構分割區的 Active Directory:
repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force
注意
- 將 取代
DC2.contoso.com為 Windows LAPS 事件記錄檔中事件識別碼 10055 所識別的 DC 名稱。 - 將取代
PDC.contoso.com為您環境中的 PDC 名稱。 您可以使用 命令來識別 PDCnltest /dsgetdc:contoso.com /pdc /force。
解決根本原因 3
本機域控制器與網域中的其他域控制器之間有 Active Directory 複寫問題。 您可以在 Windows LAPS 事件記錄檔中檢視事件識別碼 10055,以確認域控制器的名稱,並執行 repadmin /showreps 命令來識別任何復寫錯誤。
如需詳細資訊,請參閱 針對 Active Directory 複寫問題進行疑難解答。
事件標識碼 10013
LAPS failed to find the currently configured local administrator account
Windows LAPS 會從組策略或 Intune 設定 要管理的系統管理員帳戶名稱讀取本機系統管理員的名稱。 如果未設定此設定,則會尋找以 500 (系統管理員) 結尾的安全性識別碼 (SID) 的本機帳戶。 如果 Windows LAPS 找不到帳戶,則會記錄事件標識碼 10013。
在目前的 Windows LAPS 版本中,沒有建立受控使用者的功能。
解決方法
使用下列其中一種方法,確認受控使用者存在於本機使用者中:
- 使用 lusrmgr.msc 開啟 本機使用者和群組。
- 執行
net user命令。注意
請確定帳戶開頭和結尾沒有尾端空格。
事件標識碼 10017
LAPS failed to update Active Directory with the new password. The current password has not been modified
這是 Windows LAPS 處理週期結尾的狀態事件。 此事件沒有根本原因,因此您必須檢閱先前處理 Windows LAPS 發生問題的事件。
解決方法
- 開啟提升許可權的 PowerShell 命令提示字元,然後執行
Invoke-lapsPolicyProcessingCmdlet。 - 開啟 事件檢視器,然後移至 Windows LAPS>作業Microsoft>>應用程式和服務記錄。>
- 篩選從事件標識碼 10003 到事件標識碼 10005 開始的最新事件處理。
- 修正事件標識碼 10017 之前的任何錯誤。
事件標識碼 10019
LAPS failed to update the local admin account with the new password
Windows LAPS 無法在本機電腦上更新本機受控用戶帳戶的密碼。 Windows LAPS 發現受管理的使用者,但無法變更密碼。
解決方法
- 識別是否有資源問題,例如記憶體流失或記憶體不足問題。 將電腦重新啟動,以確認您是否觀察到類似的錯誤。
- 管理相同受控使用者的第三方應用程式或篩選驅動程式不允許 Windows LAPS 管理密碼。
事件標識碼 10025
Azure discovery failed
已設定 Windows LAPS 將密碼儲存在 Microsoft Entra 標識碼的裝置(Microsoft Entra joined 或混合式聯結)應該會探索企業註冊端點。
解決方法
- 確認您可以成功連線到註冊端點 (
https://enterpriseregistration.windows.net)。 如果您開啟 Microsoft Edge 或 Google Chrome 並連線到註冊端點 (https://enterpriseregistration.windows.net),您會收到「找不到端點」訊息。 此訊息表示您可以連線到企業註冊端點。 - 如果您使用 Proxy 伺服器,請確認您的 Proxy 已在系統內容下設定。 您可以開啟提升許可權的命令提示字元,並執行
netsh winhttp show proxy命令來顯示 Proxy。
事件標識碼 10026
LAPS was unable to authenticate to Azure using the device identity
如果裝置的主要重新整理令牌 (PRT) 發生問題,就會發生此問題。
解決方法
- 確認您已在 Azure 租用戶中啟用 Windows LAPS 功能。
- 確認您的電腦未在您的 Azure 租用戶中刪除或停用。
- 開啟命令提示字元,執行
dsregcmd /status命令,並檢查下列各節是否有任何錯誤:Device statusSSO dataDiagnostic data
- 使用 dsregcmd命令 驗證錯誤訊息,並針對問題進行疑難解答。
- 使用 疑難解答Microsoft Entra 混合式聯結裝置,針對Microsoft已加入混合式裝置進行疑難解答。
- 使用裝置註冊疑難解答員工具來識別並修正任何裝置註冊問題。
- 如果您收到錯誤訊息,請參閱 Microsoft Entra 驗證和授權錯誤碼 ,以取得錯誤的描述和進一步的疑難解答。
事件標識碼 10027
LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings
Windows LAPS 無法在本機電腦上更新本機受控用戶帳戶的密碼。 Windows LAPS 發現受管理的使用者,但無法變更密碼。
解決方法
在命令提示字元中執行 命令,
net accounts以檢查計算機上的密碼原則。 如果密碼原則不符合 Windows LAPS 設定的密碼原則準則,例如密碼複雜度、密碼長度或密碼存留期,請驗證任何密碼原則。藉由執行
GPRESULT /h命令,識別設定是否透過本地組原則物件、網域 GPO 或本機安全性設定套用。 修改 GPO 或安全性設定,以符合 Windows LAPS GPO 密碼設定。 這些設定是透過 GPO 或 Intune 中的 [ 密碼設定 ] 設定來設定。注意
在 Active Directory、本機 GPO 或安全性設定中設定的密碼原則應該符合 Windows LAPS 密碼設定,或應該包含低於 Windows LAPS 密碼 設定組態中的設定。
檢查您是否有任何第三方密碼篩選器可能會封鎖設定密碼。
下載 進程總管。
以系統管理員身分擷取並執行進程總管。
選取左窗格上的LSASS.exe程式。
選取 [檢視>顯示下方窗格]。
選取 [檢視>下方窗格檢視>DLL]。
![[行程總管] 的螢幕快照,其中包含已載入的 dll 或模組。](media/windows-laps-troubleshooting-guidance/process-explorer-dlls-thumbnail.png)
下方窗格會顯示載入的 DLL 或模組。 使用 [ 公司名稱 ] 字段來識別是否有任何第三方模組(Microsoft以外的任何模組)。
檢閱 DLL 清單,以識別第三方 DLL (module) 的名稱是否有某些關鍵詞,例如「安全性」、「密碼」或「原則」。卸載或停止可能使用此 DLL 的應用程式或服務。
![[行程總管] 的螢幕快照,其中包含已載入的 dll 或模組。](media/windows-laps-troubleshooting-guidance/process-explorer-dlls.png#lightbox)
已加入 Microsoft Entra 識別碼的電腦
Microsoft Entra ID 或混合式聯結裝置可以使用行動裝置管理(MDM)(MDM)、本機 GPO 或任何類似的第三方軟體來管理。
- 在命令提示字元中執行 命令,
net accounts以檢查計算機上的密碼原則。 如果密碼原則不符合 Windows LAPS 設定的密碼原則準則,例如密碼複雜度、密碼長度或密碼存留期,請驗證任何密碼原則。 - 識別是否透過 Intune、本機 GPO 或類似的第三方軟體套用衝突原則,例如 Intune 來管理電腦上的密碼原則。
事件標識碼 10028
LAPS failed to update Azure Active Directory with the new password
Windows LAPS 用戶端計算機會定期更新密碼。 如果使用 Windows LAPS 設定的用戶端電腦無法將密碼更新為 Microsoft Entra ID,就會顯示此事件。
解決方法
- 確認您已在 Azure 租用戶中啟用 Windows LAPS 功能。
- 確認您的電腦未在您的 Azure 租用戶中刪除或停用。
- 開啟命令提示字元並執行
dsregcmd /status命令,以檢查下列各節是否有任何錯誤:Device statusSSO dataDiagnostic data
- 使用 dsregcmd命令 驗證錯誤訊息,並針對問題進行疑難解答。
- 使用 疑難解答Microsoft Entra 混合式已加入裝置,針對已加入混合式裝置 Microsoft進行疑難解答。
- 使用裝置註冊疑難解答員工具來識別並修正任何裝置註冊問題。
- 如果您收到錯誤訊息,請參閱 Microsoft Entra 驗證和授權錯誤碼 ,以取得錯誤的描述和進一步的疑難解答。
事件標識碼 10032
LAPS was unable to authenticate to Azure using the device identity
使用裝置 PRT 時,Microsoft Entra 驗證可能有問題。
解決方法
- 確認您已在 Azure 租用戶中啟用 Windows LAPS 功能。
- 確認您的電腦未在您的 Azure 租用戶中刪除或停用。
- 開啟命令提示字元並執行
dsregcmd /status命令,以檢查下列各節是否有任何錯誤:Device statusSSO dataDiagnostic data
- 使用 dsregcmd命令 驗證錯誤訊息,並針對問題進行疑難解答。
- 使用 疑難解答Microsoft Entra 混合式已加入裝置,針對已加入混合式裝置 Microsoft進行疑難解答。
- 使用裝置註冊疑難解答員工具來識別並修正任何裝置註冊問題。
- 如果您收到錯誤訊息,請參閱 Microsoft Entra 驗證和授權錯誤碼 ,以取得錯誤的描述和進一步的疑難解答。
事件標識碼 10034
The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.
加密主體是透過 使用 GPO 或 MDM 設定授權的密碼解密程式 設定來設定。 設定似乎未正確設定。
解決方法
更正 Intune 或 GPO 設定。 此設定接受兩個值:
- 網域群組或使用者的 SID
- 功能變數名稱>\組名>、<<功能變數名稱>或><<使用者名稱>@<功能變數名稱中的<群組名>
注意
確認設定的開頭和結尾沒有尾端空格。
事件標識碼 10035
The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.
加密主體是透過 使用 GPO 或 MDM 設定授權的密碼解密程式 設定來設定。 此設定接受功能變數名稱\組名>、功能變數名稱>\<使用者名稱>或使用者名稱>@<功能變數名稱中的 <SID 或<功能變數名稱>。<>< 當 Windows LAPS 用戶端無法將 SID 解析為名稱或名稱為 SID 時,就會發生此錯誤。
解決方法
- 確認網域群組存在於 Active Directory 中,且尚未刪除。
- 如果群組是新建立的,請等候 Active Directory 複寫在用戶端電腦的本機域控制器上交集。
- 使用 Sysinternal 工具 PsGetSid 手動解析 SID 或名稱。
- 下載 PsGetSid。
- 解壓縮下載的檔案,並在遇到問題的用戶端計算機上開啟提升許可權的命令提示字元。
- 執行
psgetsid -accepteula <SID> or <Name>命令。 使用事件標識碼 10035 中所提及的 SID 或名稱。
- 檢查樹系中是否有任何 Active Directory 複寫錯誤,並對其進行疑難解答。 如需詳細資訊,請參閱 針對 Active Directory 複寫問題進行疑難解答。
事件標識碼 10048
The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled
驗證后重試是嘗試使用適當目錄重設密碼的重試作業數目(Microsoft Entra ID 或 Active Directory)。 如果此數目超過開機時上限 100,就會觸發此事件。
解決方法
- 如果連線到適當目錄時發生問題,例如 Active Directory 或 Microsoft Entra ID,則身分識別。
- 針對處理 Windows LAPS 事件期間的任何其他錯誤進行疑難解答。
事件標識碼 10049
LAPS attempted to reboot the machine as a post-authentication action but the operation failed
Windows LAPS 可以透過搭配 GPO 或 MDM (Intune) 使用 驗證後動作設定來設定驗證後動作 。 在此案例中,設定會設定為在偵測到驗證後動作時重新啟動計算機。 此事件表示電腦無法重新啟動。
解決方法
- 識別是否有任何應用程式封鎖機器關機。
- 識別您是否具有關閉電腦的必要許可權。
事件標識碼 10056
LAPS failed to locate a writable domain controller
Windows LAPS 用戶端會使用輕量型目錄存取通訊協定 (LDAP) 修改作業,從 Windows LAPS 用戶端將密碼寫入 Active Directory。 Windows LAPS 必須在網域中探索可寫入的域控制器,才能寫入受控帳戶的密碼。
解決方法
在用戶端電腦上開啟命令提示字元,然後執行命令:
nltest /dsgetdc:<Domain Name> /force /writable如果您收到錯誤 1355(找不到網域的域控制器),這表示您必須針對可寫入的 DC 探索問題進行疑難解答。
如果您在只有可寫入域控制器連線的環境中,請開啟用戶端電腦與域控制器之間的網路埠。 如需詳細資訊,請參閱 Windows 的服務概觀和網路埠需求。
事件標識碼 10057
LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:
在排程的背景處理期間,Windows LAPS 必須連線到域控制器。 此處理是使用計算機內容來完成。 如果用戶端計算機與域控制器之間有任何 Active Directory 驗證問題,就會出現此錯誤。
解決方法
確認 Active Directory 中未刪除電腦帳戶。
執行提升許可權的命令,驗證用戶端與域控制器之間的任何安全通道問題:
nltest /sc_query:<Domain Name>將電腦重新加入網域。
注意
請確定您知道本機系統管理員的密碼。
事件標識碼 10059
Azure returned a failure code
事件也包含 HTTP 錯誤。 連線、驗證或更新密碼至 Microsoft Entra 識別符時,就會發生錯誤。
解決方法
- 確認您可以成功連線到 Microsoft Entra 註冊端點 (
https://enterpriseregistration.windows.net)。 - 確認您已在 Azure 租用戶中啟用 Windows LAPS 功能。
- 確認您的電腦未在您的 Azure 租用戶中刪除或停用。
- 開啟命令提示字元並執行
dsregcmd /status命令,以檢查下列各節是否有任何錯誤:Device statusSSO dataDiagnostic data
- 使用 dsregcmd命令 驗證錯誤訊息,並針對問題進行疑難解答。
- 使用 疑難解答Microsoft Entra 混合式已加入裝置,針對已加入混合式裝置 Microsoft進行疑難解答。
- 使用裝置註冊疑難解答員工具來識別並修正任何裝置註冊問題。
- 如果您收到錯誤訊息,請參閱 Microsoft Entra 驗證和授權錯誤碼 ,以取得錯誤的描述和進一步的疑難解答。
事件標識碼 10065
LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:
之所以發生此錯誤,是因為 Windows LAPS 用戶端電腦需要寫入受管理用戶的密碼。
如果您將計算機移至不同的組織單位(OU),而且目的地 OU 沒有計算機的「自我許可權」,也可能會發生此問題。
解決方法
如果您尚未執行 Windows LAPS PowerShell Cmdlet 以將自我許可權指派給計算機帳戶,請執行下列 Cmdlet:
Set-LapsADComputerSelfPermission -identity <OU Name>例如:
Set-LapsADComputerSelfPermission -Identity LAPSOU Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com注意
如果您有 OU 的相同名稱,但在不同的階層中,您可以使用辨別名稱 (DN)。
確認電腦帳戶具有計算機帳戶所在 OU 的「自我許可權」。
使用網域系統管理員許可權登入域控制器
開啟 LDP.exe。
選取 [連線>連線],然後設定伺服器和埠,如下所示:
![已開啟 [連線] 視窗的LDP工具螢幕快照。](media/windows-laps-troubleshooting-guidance/ldp-connection-connect.png)
選取 [連線>系結]、設定下列設定,然後選取 [確定]。
![已開啟 [系結] 視窗的LDP工具螢幕快照。](media/windows-laps-troubleshooting-guidance/ldp-connection-bind.png)
選取 [檢視>樹狀目錄]。 然後,從BaseDN的下拉式清單中,選取客戶端電腦所在的網域。
![已開啟 [樹視圖] 視窗的LDP工具螢幕快照。](media/windows-laps-troubleshooting-guidance/ldp-view-tree.png)
瀏覽網域樹狀目錄,以識別您擁有用戶端電腦所在的 OU。 以滑鼠右鍵按兩下 OU,然後選取 [安全性描述項>編輯]。
排序 [信任項] 數據行,並尋找下列許可權的用戶權力
msLAPS-PasswordNT AUTHORITY\SELF。![LDP 工具的螢幕快照,其中已開啟 [安全性描述元] 視窗,並依 [信任者] 數據行排序。](media/windows-laps-troubleshooting-guidance/ldp-trustee.png)