Compartir a través de

Guía de solución de problemas de Windows LAPS

  • Artículo

En esta guía se proporcionan los conceptos fundamentales que se deben usar para solucionar problemas de la solución de contraseñas de administrador local de Windows (WINDOWS LAPS).

Windows LAPS es una característica de Windows que administra y realiza copias de seguridad automáticamente de la contraseña de una cuenta de administrador local en los dispositivos unidos a Microsoft Entra o unidos a Windows Server Active Directory. También puede usar Windows LAPS para administrar y realizar copias de seguridad automáticamente de la contraseña de la cuenta del Modo de reparación de servicios de directorio (DSRM) en los controladores de dominio de Windows Server Active Directory. Un administrador autorizado puede recuperar la contraseña de DSRM y usarla. Para obtener más información, consulte ¿Qué es Windows LAPS?

Nota:

  • Este artículo es para Windows LAPS (la nueva característica), no para el LAPS heredado o la versión anterior de LAPS.
  • En este artículo se enumeran solo algunas de las principales causas principales posibles. También pueden existir otras causas, pero no se detectan.
  • La lista siguiente contiene los identificadores de evento más comunes y es posible que no incluya todos los eventos LAPS de Windows.

Solución de problemas de Windows LAPS mediante eventos de Windows

Para ver los eventos de Windows LAPS, vaya a Registros de aplicaciones y servicios>De Microsoft>Windows>LAPS>Operativo en Visor de eventos.

Nota:

  • El procesamiento de LAPS de Windows comienza con el identificador de evento 10003 y termina con el identificador de evento 10004.
  • Si se produce un error en el procesamiento del ciclo actual por cualquier motivo, se registra el identificador de evento 10005.

Windows LAPS tiene dos escenarios:

  • Windows LAPS Active Directory

    Las máquinas cliente están configuradas para almacenar la contraseña en Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Las máquinas cliente están configuradas para almacenar la contraseña en Microsoft Entra ID.

En la tabla siguiente se enumeran los identificadores de evento que se registran en escenarios diferentes:

Id. de evento Escenario
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory y Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory y Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory y Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory y Microsoft Entra ID
10049 Windows LAPS Active Directory y Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

Id. de evento 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

De forma predeterminada, Windows LAPS cifra la contraseña de la cuenta administrada en el equipo cliente. Para admitir el cifrado, se debe Windows Server 2016 el nivel funcional del dominio.

Solución

  1. Aumente el nivel funcional del dominio si es necesario.
  2. Deshabilite la directiva de grupo Habilitar el cifrado de contraseñas para máquinas cliente.

    Nota:

    No se recomienda deshabilitar el cifrado de contraseña almacenado en el controlador de dominio.

Identificador de evento 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS periódicamente (cada hora) consulta a Active Directory por el estado del equipo y el equipo cliente usa el servicio Netlogon para detectar un controlador de dominio en él.

Solución

Si se encuentra en un entorno en el que solo tiene conectividad con un controlador de dominio grabable, abra los puertos de red entre el equipo cliente y el controlador de dominio.

Para obtener más información, consulte Información general del servicio y requisitos de puertos de red para Windows.

Identificador de evento 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Para presentar Windows LAPS, debe ampliar el esquema con atributos LAPS de Windows. O bien, si usa Windows LAPS en el modo de emulación LAPS heredado, debe ampliar el esquema con los atributos LAPS heredados. Este problema se produce debido a uno de los siguientes motivos:

  • Causa principal 1

    El esquema no se ha ampliado con los nuevos atributos LAPS de Windows.

  • Causa principal 2

    Existe una replicación transitoria de Active Directory entre el controlador de dominio local (DC) y el controlador de dominio principal (PDC).

  • Causa principal 3

    Problema de replicación de Active Directory en el controlador de dominio local.

Resolución de la causa principal 1

Ejecute el Update-LapsADSchema cmdlet de PowerShell para actualizar el esquema de Active Directory mediante los privilegios Administración esquema.

Si usa la emulación LAPS heredada, amplíe el esquema con el Update-AdmPwdADSchema cmdlet de PowerShell (esta acción requiere instalar primero el producto LAPS heredado).

Resolución de la causa principal 2

Debido a la latencia de replicación, los atributos de esquema no se han replicado en el controlador de dominio local. Puede usar el complemento LDP o ADSIEDIT para identificar si se han replicado los atributos de esquema DE LAPS de Windows. Forzar la replicación de Active Directory de la partición de esquema con el patrón de esquema mediante el siguiente comando:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Nota:

  • Reemplace por DC2.contoso.com el nombre del controlador de dominio identificado por el identificador de evento 10055 en los registros de eventos de Windows LAPS.
  • Reemplace por PDC.contoso.com el nombre del PDC en el entorno. Puede identificar el PDC mediante el nltest /dsgetdc:contoso.com /pdc /force comando .

Resolución de la causa principal 3

Hay un problema de replicación de Active Directory entre el controlador de dominio local y otros controladores de dominio del dominio. Puede ver el identificador de evento 10055 en los registros de eventos de Windows LAPS para comprobar el nombre del controlador de dominio y ejecutar el repadmin /showreps comando para identificar los errores de replicación.

Para obtener más información, consulte Solución de problemas de replicación de Active Directory.

Identificador de evento 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS lee el nombre del administrador local de directiva de grupo o la configuración de Intune Nombre de la cuenta de administrador que se va a administrar. Si esta configuración no está configurada, buscará la cuenta local con un identificador de seguridad (SID) que termine con 500 (administrador). Si Windows LAPS no encuentra la cuenta, se registra el identificador de evento 10013.

En la versión actual de Windows LAPS, no hay ninguna característica para crear el usuario administrado.

Solución

Compruebe y asegúrese de que el usuario administrado está presente en los usuarios locales mediante uno de los métodos siguientes:

  • Use lusrmgr.msc para abrir Usuarios y grupos locales.
  • Ejecute el comando net user.

    Nota:

    Asegúrese de que no haya espacios finales al principio y al final de la cuenta.

Identificador de evento 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Se trata de un evento de estado al final de un ciclo de procesamiento de LAPS de Windows. Este evento no tiene ninguna causa principal, por lo que debe revisar el procesamiento anterior de los eventos en los que Windows LAPS ha encontrado un problema.

Solución

  1. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el Invoke-lapsPolicyProcessing cmdlet .
  2. Abra Visor de eventos y vaya a Registros > de aplicaciones y serviciosMicrosoft>Windows>LAPS>Operational.
  3. Filtre por el procesamiento más reciente de eventos desde el identificador de evento 10003 hasta el identificador de evento 10005.
  4. Corrija los errores anteriores al identificador de evento 10017.

Identificador de evento 10019

LAPS failed to update the local admin account with the new password

Windows LAPS no puede actualizar la contraseña de la cuenta de usuario administrada localmente en el equipo local. Windows LAPS encontró al usuario administrado, pero tuvo problemas para cambiar la contraseña.

Solución

  • Identifique si hay un problema de recursos, como una pérdida de memoria o un problema de memoria insuficiente. Reinicie la máquina para comprobar si observa un error similar.
  • Una aplicación de terceros o un controlador de filtro que administra el mismo usuario administrado no permite que Windows LAPS administre la contraseña.

Identificador de evento 10025

Azure discovery failed

El dispositivo (unido Microsoft Entra o híbrido) configurado con Windows LAPS para almacenar contraseñas en Microsoft Entra ID debe detectar el punto de conexión de registro empresarial.

Solución

  1. Compruebe que puede conectarse correctamente al punto de conexión de registro (https://enterpriseregistration.windows.net). Si abre Microsoft Edge o Google Chrome y se conecta al punto de conexión de registro (https://enterpriseregistration.windows.net), recibirá un mensaje "Punto de conexión no encontrado". Este mensaje significa que puede conectarse al punto de conexión de registro de empresa.
  2. Si usa un servidor proxy, compruebe que el proxy está configurado en el contexto del sistema. Puede abrir un símbolo del sistema con privilegios elevados y ejecutar el netsh winhttp show proxy comando para mostrar el proxy.

Id. de evento 10026

LAPS was unable to authenticate to Azure using the device identity

Este problema se produce si hay un problema con el token de actualización principal (PRT) del dispositivo.

Solución

  1. Compruebe que ha habilitado la característica LAPS de Windows en el inquilino de Azure.
  2. Compruebe que la máquina no se ha eliminado ni deshabilitado en el inquilino de Azure.
  3. Abra un símbolo del sistema, ejecute el dsregcmd /status comando y compruebe las secciones siguientes para ver si hay errores:
    • Device status
    • SSO data
    • Diagnostic data
  4. Compruebe el mensaje de error mediante el comando dsregcmd y solucione el problema.
  5. Solución de problemas de Microsoft Entra dispositivos unidos a híbridos mediante Solución de problemas Microsoft Entra dispositivos unidos a híbridos.
  6. Use la herramienta solucionador de problemas de registro de dispositivos para identificar y corregir los problemas de registro de dispositivos.
  7. Si recibe un mensaje de error, consulte Microsoft Entra códigos de error de autenticación y autorización para obtener la descripción del error y la solución de problemas adicionales.

Id. de evento 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS no puede actualizar la contraseña de la cuenta de usuario administrada localmente en el equipo local. Windows LAPS encontró al usuario administrado, pero tuvo problemas para cambiar la contraseña.

Solución

  1. Compruebe la directiva de contraseñas en el equipo ejecutando el comando en un símbolo del net accounts sistema. Valide cualquiera de las directivas de contraseña si no cumplen los criterios de la directiva de contraseña configurada por Windows LAPS, como la complejidad de la contraseña, la longitud de la contraseña o la antigüedad de la contraseña.

  2. Ejecute el comando para identificar si la configuración se aplica a través de un objeto (GPO) de directiva de grupo local, un GPO de dominio o una configuración de GPRESULT /h seguridad local. Modifique la configuración de GPO o seguridad para que coincida con la configuración de contraseña de GPO de Windows LAPS. La configuración se configura a través de la configuración configuración de contraseña en GPO o Intune (MDM).

    Nota:

    Las directivas de contraseña configuradas en Active Directory, GPO local o configuración de seguridad deben coincidir con la configuración de contraseña de Windows LAPS o deben contener valores inferiores a los de la configuración configuración de contraseña de Windows LAPS.

  3. Compruebe si tiene filtros de contraseña de terceros que podrían estar bloqueando la configuración de la contraseña.

    1. Descargue el Explorador de procesos.

    2. Extraiga y ejecute el Explorador de procesos como administrador.

    3. Seleccione el proceso deLSASS.exe en el panel izquierdo.

    4. Seleccione Ver>Mostrar panel inferior.

    5. Seleccione Ver>archivos DLLde vista de> panel inferior.

      Captura de pantalla del Explorador de procesos con archivos DLL o módulos cargados.

  4. En el panel inferior se muestran los archivos DLL o módulos cargados. Identifique si hay módulos de terceros mediante el campo Nombre de la empresa (cualquier módulo que no sea Microsoft).

    Revise la lista dll para identificar si el nombre del archivo DLL de terceros (módulo) tiene algunas palabras clave como "seguridad", "contraseña" o "directivas". Desinstale o detenga la aplicación o el servicio que podría estar usando este archivo DLL.

Máquina unida a Microsoft Entra ID

Microsoft Entra ID o dispositivos unidos híbridos se pueden administrar mediante la administración de dispositivos móviles (MDM) (Intune), GPO locales o cualquier software de terceros similar.

  1. Compruebe la directiva de contraseñas en el equipo ejecutando el comando en un símbolo del net accounts sistema. Valide cualquiera de las directivas de contraseña si no cumplen los criterios de la directiva de contraseña configurada por Windows LAPS, como la complejidad de la contraseña, la longitud de la contraseña o la antigüedad de la contraseña.
  2. Identifique si la directiva en conflicto se aplica a través de Intune, GPO local o un software de terceros similar, como Intune para administrar las directivas de contraseña en el equipo.

Id. de evento 10028

LAPS failed to update Azure Active Directory with the new password

La máquina cliente de Windows LAPS actualiza periódicamente las contraseñas. Este evento aparece si la máquina cliente configurada con Windows LAPS no puede actualizar la contraseña para Microsoft Entra ID.

Solución

  1. Compruebe que ha habilitado la característica LAPS de Windows en el inquilino de Azure.
  2. Compruebe que la máquina no se ha eliminado ni deshabilitado en el inquilino de Azure.
  3. Abra un símbolo del sistema y ejecute el dsregcmd /status comando para comprobar si hay errores en las secciones siguientes:
    • Device status
    • SSO data
    • Diagnostic data
  4. Compruebe el mensaje de error mediante el comando dsregcmd y solucione el problema.
  5. Use Solución de problemas Microsoft Entra dispositivos unidos a híbridos para solucionar problemas de Microsoft Entra dispositivos unidos a híbridos.
  6. Use la herramienta solucionador de problemas de registro de dispositivos para identificar y corregir los problemas de registro de dispositivos.
  7. Si recibe un mensaje de error, consulte Microsoft Entra códigos de error de autenticación y autorización para obtener la descripción del error y la solución de problemas adicionales.

Identificador de evento 10032

LAPS was unable to authenticate to Azure using the device identity

Puede haber problemas relacionados con la autenticación Microsoft Entra al usar prt de dispositivo.

Solución

  1. Compruebe que ha habilitado la característica LAPS de Windows en el inquilino de Azure.
  2. Compruebe que la máquina no se ha eliminado ni deshabilitado en el inquilino de Azure.
  3. Abra un símbolo del sistema y ejecute el dsregcmd /status comando para comprobar si hay errores en las secciones siguientes:
    • Device status
    • SSO data
    • Diagnostic data
  4. Compruebe el mensaje de error mediante el comando dsregcmd y solucione el problema.
  5. Use Solución de problemas Microsoft Entra dispositivos unidos a híbridos para solucionar problemas de Microsoft Entra dispositivos unidos a híbridos.
  6. Use la herramienta solucionador de problemas de registro de dispositivos para identificar y corregir los problemas de registro de dispositivos.
  7. Si recibe un mensaje de error, consulte Microsoft Entra códigos de error de autenticación y autorización para obtener la descripción del error y la solución de problemas adicionales.

Identificador de evento 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

La entidad de seguridad de cifrado se configura mediante la configuración Configurar descifradores de contraseñas autorizados mediante GPO o MDM (Intune). Parece que la configuración no está configurada correctamente.

Solución

Corrija la configuración de Intune o GPO. Esta configuración acepta dos valores:

  • SID de un usuario o grupo de dominios
  • Nombre de grupo en <Nombre> de dominio\<Nombre de> grupo, <Nombre> de dominio\<Nombre de> usuario o <Nombre> de usuario@<Nombre de dominio>

Nota:

Compruebe que no haya espacios finales al principio y al final de la configuración.

Identificador de evento 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

La entidad de seguridad de cifrado se configura mediante la configuración Configurar descifradores de contraseñas autorizados mediante GPO o MDM (Intune). La configuración acepta un SID o un nombre de grupo de dominio en <Nombre> de dominio\<Nombre de> grupo, <Nombre> de dominio\<Nombre de> usuario o <Nombre> de usuario@<Nombre> de dominio. El error se produce cuando el cliente LAPS de Windows no puede resolver un SID en un nombre o un nombre en un SID.

Solución

  1. Compruebe que el grupo de dominio existe en Active Directory y no se ha eliminado.
  2. Si el grupo se acaba de crear, espere a que la replicación de Active Directory converja en el controlador de dominio local del equipo cliente.
  3. Use la herramienta Sysinternal PsGetSid para resolver manualmente el SID o el nombre.
    1. Descargue PsGetSid.
    2. Extraiga el archivo descargado y abra un símbolo del sistema con privilegios elevados en el equipo cliente donde está experimentando el problema.
    3. Ejecute el comando psgetsid -accepteula <SID> or <Name>. Use el SID o el nombre mencionado en Id. de evento 10035.
  4. Compruebe si hay errores de replicación de Active Directory en el bosque y solucione los problemas. Para obtener más información, consulte Solución de problemas de replicación de Active Directory.

Identificador de evento 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

El reintento posterior a la autenticación es el número de operaciones de reintento que han intentado restablecer la contraseña con el directorio adecuado (Microsoft Entra ID o Active Directory). Si este número supera el máximo de 100 en un arranque, se desencadena este evento.

Solución

  1. Identidad si hay un problema al conectarse al directorio adecuado, como Active Directory o Microsoft Entra ID.
  2. Solucione cualquier otro error durante el procesamiento de eventos LAPS de Windows.

Identificador de evento 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS se puede configurar para una acción posterior a la autenticación mediante la configuración Acciones posteriores a la autenticación con GPO o MDM (Intune). En este escenario, la configuración se configura para reiniciar la máquina si detecta una acción posterior a la autenticación. Este evento indica que la máquina no se puede reiniciar.

Solución

  1. Identifique si hay alguna aplicación que bloquee el apagado de la máquina.
  2. Identifique si tiene los privilegios necesarios para apagar la máquina.

Identificador de evento 10056

LAPS failed to locate a writable domain controller

El cliente de Windows LAPS usa la operación de modificación del Protocolo ligero de acceso a directorios (LDAP) para escribir contraseñas en Active Directory desde el cliente LAPS de Windows. Windows LAPS debe detectar un controlador de dominio grabable en el dominio para escribir la contraseña de la cuenta administrada.

Solución

  1. Abra un símbolo del sistema en el equipo cliente y ejecute el comando:

    nltest /dsgetdc:<Domain Name> /force /writable

    Si recibe el error 1355 (no se encuentra el controlador de dominio del dominio), significa que debe solucionar el problema de detección de controlador de dominio grabable.

  2. Si se encuentra en un entorno en el que solo tiene conectividad con un controlador de dominio grabable, abra los puertos de red entre el equipo cliente y el controlador de dominio. Para obtener más información, consulte Información general del servicio y requisitos de puertos de red para Windows.

Identificador de evento 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Durante un procesamiento en segundo plano programado, Windows LAPS debe conectarse a un controlador de dominio. Este procesamiento se realiza mediante el contexto de la máquina. Este error aparece si hay algún problema de autenticación de Active Directory entre el equipo cliente y el controlador de dominio.

Solución

  1. Compruebe que la cuenta de equipo no se ha eliminado en Active Directory.

  2. Para validar los problemas de canal seguro entre el cliente y el controlador de dominio, ejecute un comando con privilegios elevados:

    nltest /sc_query:<Domain Name>

  3. Vuelva a unir la máquina al dominio.

    Nota:

    Asegúrese de que conoce la contraseña del administrador local.

Identificador de evento 10059

Azure returned a failure code

El evento también contiene un error HTTP. El error se produce al conectar, autenticar o actualizar la contraseña para Microsoft Entra ID.

Solución

  1. Compruebe que puede conectarse correctamente al punto de conexión de registro de Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Compruebe que ha habilitado la característica LAPS de Windows en el inquilino de Azure.
  3. Compruebe que la máquina no se ha eliminado ni deshabilitado en el inquilino de Azure.
  4. Abra un símbolo del sistema y ejecute el dsregcmd /status comando para comprobar si hay errores en las secciones siguientes:
    • Device status
    • SSO data
    • Diagnostic data
  5. Compruebe el mensaje de error mediante el comando dsregcmd y solucione el problema.
  6. Use Solución de problemas Microsoft Entra dispositivos unidos a híbridos para solucionar problemas de Microsoft Entra dispositivos unidos a híbridos.
  7. Use la herramienta solucionador de problemas de registro de dispositivos para identificar y corregir los problemas de registro de dispositivos.
  8. Si recibe un mensaje de error, consulte Microsoft Entra códigos de error de autenticación y autorización para obtener la descripción del error y la solución de problemas adicionales.

Identificador de evento 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Este error se produce porque la máquina cliente laps de Windows necesita escribir contraseñas del usuario administrado.

Este problema también puede producirse si mueve la máquina a una unidad organizativa (OU) diferente y la unidad organizativa de destino no tiene el permiso de autoservicio para el equipo.

Solución

  1. Si no ha ejecutado el cmdlet de PowerShell de Windows LAPS para asignar el permiso de autoservicio a la cuenta de equipo, ejecute el siguiente cmdlet:

    Set-LapsADComputerSelfPermission -identity <OU Name>

    Por ejemplo:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com

    Nota:

    Puede usar un nombre distintivo (DN) si tiene el mismo nombre para la unidad organizativa, pero en jerarquías diferentes.

  2. Compruebe que la cuenta de equipo tiene el permiso de autoservicio en la unidad organizativa donde existe la cuenta de equipo.

Inicio de sesión en un controlador de dominio con privilegios de administrador de dominio

  1. Abra LDP.exe.

  2. Seleccione Conexión>Conectar y configure el servidor y el puerto de la siguiente manera:

    Captura de pantalla de la herramienta LDP con la ventana Conectar abierta.

  3. Seleccione Enlace de conexión>, configure los siguientes valores y, a continuación, seleccione Aceptar.

    Captura de pantalla de la herramienta LDP con la ventana Enlazar abierta.

  4. Seleccione Ver>árbol. A continuación, en la lista desplegable baseDN, seleccione el dominio donde se encuentra la máquina cliente.

    Captura de pantalla de la herramienta LDP con la ventana Vista de árbol abierta.

  5. Examine el árbol de dominio para identificar la unidad organizativa en la que se encuentran las máquinas cliente. Haga clic con el botón derecho en la unidad organizativa y seleccioneEditar descriptor >de seguridad.

    Captura de pantalla de la herramienta LDP con el árbol de dominio en el panel izquierdo.

  6. Ordene la columna De fideicomisario y busque los siguientes derechos de usuario para NT AUTHORITY\SELF los permisos para el msLAPS-Password atributo. Captura de pantalla de la herramienta LDP con la ventana Descriptor de seguridad abierta y ordenada por la columna De confianza.