Logboeken voor on-premises omgevingen met Microsoft Entra-wachtwoordbeveiliging bewaken en controleren
Na de implementatie van Microsoft Entra Password Protection zijn bewaking en rapportage essentiële taken. In dit artikel vindt u gedetailleerde informatie over verschillende bewakingstechnieken, waaronder waar elke service informatie registreert en hoe u kunt rapporteren over het gebruik van Microsoft Entra-wachtwoordbeveiliging.
Bewaking en rapportage worden uitgevoerd door gebeurtenislogboekberichten of door PowerShell-cmdlets uit te voeren. De DC-agent en proxyservices registreren beide gebeurtenislogboekberichten. Alle PowerShell-cmdlets die hieronder worden beschreven, zijn alleen beschikbaar op de proxyserver (zie de PowerShell-module AzureADPasswordProtection). De DC-agentsoftware installeert geen PowerShell-module.
Logboekregistratie van DC-agent-gebeurtenissen
Op elke domeincontroller schrijft de DC-agentservicesoftware de resultaten van elke afzonderlijke wachtwoordvalidatiebewerking (en andere status) naar een lokaal gebeurtenislogboek:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Het beheerlogboek van de DC-agent is de primaire informatiebron voor de werking van de software.
Houd er rekening mee dat het traceerlogboek standaard is uitgeschakeld.
Gebeurtenissen die zijn vastgelegd door de verschillende DC-agentonderdelen vallen binnen de volgende bereiken:
| Onderdeel | Gebeurtenis-id-bereik |
|---|---|
| DC Agent wachtwoordfilter dll | 10000-19999 |
| Hostingproces voor DC-agentservice | 20000-29999 |
| Validatielogica voor DC-agentservicebeleid | 30000-39999 |
DC-agent Beheer gebeurtenislogboek
Gebeurtenissen van resultaat van wachtwoordvalidatie
Op elke domeincontroller schrijft de DC-agentservicesoftware de resultaten van elke afzonderlijke wachtwoordvalidatie naar het gebeurtenislogboek van de DC-agentbeheerder.
Voor een geslaagde wachtwoordvalidatiebewerking is er over het algemeen één gebeurtenis vastgelegd vanuit de DLL van het DC-agentwachtwoordfilter. Voor een mislukte wachtwoordvalidatiebewerking zijn er over het algemeen twee gebeurtenissen geregistreerd, één van de DC-agentservice en een van de DLL van het dc-agentwachtwoordfilter.
Discrete gebeurtenissen om deze situaties vast te leggen, worden vastgelegd op basis van de volgende factoren:
- Of een bepaald wachtwoord wordt ingesteld of gewijzigd.
- Of de validatie van een bepaald wachtwoord is geslaagd of mislukt.
- Of validatie is mislukt vanwege het globale Microsoft-beleid, het organisatiebeleid of een combinatie.
- Of de controlemodus momenteel is ingeschakeld of uitgeschakeld voor het huidige wachtwoordbeleid.
De belangrijkste gebeurtenissen met betrekking tot wachtwoordvalidatie zijn als volgt:
| Gebeurtenis | Wachtwoord wijzigen | Wachtwoord ingesteld |
|---|---|---|
| Succes | 10014 | 10015 |
| Mislukt (vanwege het wachtwoordbeleid van de klant) | 10016, 30002 | 10017, 30003 |
| Mislukken (vanwege het wachtwoordbeleid van Microsoft) | 10016, 30004 | 10017, 30005 |
| Mislukken (vanwege gecombineerd Microsoft- en klantwachtwoordbeleid) | 10016, 30026 | 10017, 30027 |
| Mislukt (vanwege gebruikersnaam) | 10016, 30021 | 10017, 30022 |
| Alleen audit pass (zou het wachtwoordbeleid van de klant zijn mislukt) | 10024, 30008 | 10025, 30007 |
| Alleen-audit pass (zou microsoft-wachtwoordbeleid zijn mislukt) | 10024, 30010 | 10025, 30009 |
| Alleen-audit pass (zou het gecombineerde Wachtwoordbeleid voor Microsoft en de klant zijn mislukt) | 10024, 30028 | 10025, 30029 |
| Alleen audit pass (zou zijn mislukt vanwege gebruikersnaam) | 10016, 30024 | 10017, 30023 |
De gevallen in de bovenstaande tabel die verwijzen naar 'gecombineerde beleidsregels' verwijzen naar situaties waarin het wachtwoord van een gebruiker ten minste één token bevat uit zowel de lijst met verboden wachtwoorden van Microsoft als de lijst met verboden wachtwoorden van klanten.
De gevallen in de bovenstaande tabel die verwijzen naar 'gebruikersnaam' verwijzen naar situaties waarin het wachtwoord van een gebruiker is gevonden, ofwel de accountnaam van de gebruiker en/of een van de beschrijvende namen van de gebruiker bevat. In beide scenario's wordt het wachtwoord van de gebruiker geweigerd wanneer het beleid is ingesteld op Afdwingen of doorgegeven als het beleid zich in de controlemodus bevindt.
Wanneer een paar gebeurtenissen samen wordt geregistreerd, worden beide gebeurtenissen expliciet gekoppeld door dezelfde CorrelationId te hebben.
Rapportage van wachtwoordvalidatiesamenvatting via PowerShell
De Get-AzureADPasswordProtectionSummaryReport cmdlet kan worden gebruikt om een overzichtsweergave van wachtwoordvalidatieactiviteit te maken. Een voorbeeld van de uitvoer van deze cmdlet is als volgt:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController : bplrootdc2
PasswordChangesValidated : 6677
PasswordSetsValidated : 9
PasswordChangesRejected : 10868
PasswordSetsRejected : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures : 3
PasswordChangeErrors : 0
PasswordSetErrors : 1
Het bereik van de rapportage van de cmdlet kan worden beïnvloed met behulp van een van de parameters –Forest, -Domain of –DomainController. Het opgeven van een parameter impliceert –Forest niet.
Notitie
Als u de DC-agent alleen op één DC installeert, leest het Get-AzureADPasswordProtectionSummaryReport alleen gebeurtenissen van die DC. Als u gebeurtenissen van meerdere DC's wilt ophalen, moet de DC-agent op elke domeincontroller zijn geïnstalleerd.
De Get-AzureADPasswordProtectionSummaryReport cmdlet werkt door een query uit te voeren op het gebeurtenislogboek van de DC-agent en vervolgens het totale aantal gebeurtenissen te tellen dat overeenkomt met elke weergegeven resultaatcategorie. De volgende tabel bevat de toewijzingen tussen elk resultaat en de bijbehorende gebeurtenis-id:
| Eigenschap Get-AzureADPasswordProtectionSummaryReport | Bijbehorende gebeurtenis-id |
|---|---|
| PasswordChangesValidated | 10014 |
| PasswordSetsValidated | 10015 |
| PasswordChangesRejected | 10016 |
| PasswordSetsRejected | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| PasswordChangeErrors | 10012 |
| PasswordSetErrors | 10013 |
Houd er rekening mee dat de Get-AzureADPasswordProtectionSummaryReport cmdlet wordt verzonden in het PowerShell-scriptformulier en indien nodig rechtstreeks naar de volgende locatie kan worden verwezen:
%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1
Notitie
Deze cmdlet werkt door een PowerShell-sessie te openen voor elke domeincontroller. Als u wilt slagen, moet externe powerShell-sessieondersteuning zijn ingeschakeld op elke domeincontroller en moet de client voldoende bevoegdheden hebben. Voer 'Get-Help about_Remote_Troubleshooting' uit in een PowerShell-venster voor meer informatie over externe sessievereisten voor PowerShell.
Notitie
Deze cmdlet werkt door op afstand een query uit te voeren op het Beheer gebeurtenislogboek van elke DC-agentservice. Als de gebeurtenislogboeken grote aantallen gebeurtenissen bevatten, kan het lang duren voordat de cmdlet is voltooid. Daarnaast kunnen bulknetwerkquery's van grote gegevenssets van invloed zijn op de prestaties van de domeincontroller. Daarom moet deze cmdlet zorgvuldig worden gebruikt in productieomgevingen.
Voorbeeld van gebeurtenislogboekberichten
Gebeurtenis-id 10014 (geslaagde wachtwoordwijziging)
The changed password for the specified user was validated as compliant with the current Azure password policy.
UserName: SomeUser
FullName: Some User
Gebeurtenis-id 10017 (mislukte wachtwoordwijziging):
The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Gebeurtenis-id 30003 (mislukte wachtwoordwijziging):
The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.
UserName: SomeUser
FullName: Some User
Gebeurtenis-id 10024 (wachtwoord geaccepteerd vanwege beleid in de controlemodus)
The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details.
UserName: SomeUser
FullName: Some User
Gebeurtenis-id 30008 (wachtwoord geaccepteerd vanwege beleid in de controlemodus)
The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted.
UserName: SomeUser
FullName: Some User
Gebeurtenis-id 30001 (wachtwoord geaccepteerd vanwege geen beleid beschikbaar)
The password for the specified user was accepted because an Azure password policy is not available yet
UserName: SomeUser
FullName: Some User
This condition may be caused by one or more of the following reasons:%n
1. The forest has not yet been registered with Azure.
Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.
2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.
Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.
3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.
Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.
4. This DC does not have connectivity to other domain controllers in the domain.
Resolution steps: ensure network connectivity exists to the domain.
Gebeurtenis-id 30006 (nieuw beleid wordt afgedwongen)
The service is now enforcing the following Azure password policy.
Enabled: 1
AuditOnly: 1
Global policy date: 2018-05-15T00:00:00.000000000Z
Tenant policy date: 2018-06-10T20:15:24.432457600Z
Enforce tenant policy: 1
Gebeurtenis-id 30019 (Microsoft Entra-wachtwoordbeveiliging is uitgeschakeld)
The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.
No further events will be logged until the policy is changed.%n
Operationeel logboek van DC-agent
De DC-agentservice zal ook operationele gebeurtenissen registreren in het volgende logboek:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational
Traceringslogboek van DC-agent
De DC-agentservice kan ook uitgebreide traceringsgebeurtenissen op foutopsporingsniveau vastleggen in het volgende logboek:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace
Traceerlogboekregistratie is standaard uitgeschakeld.
Waarschuwing
Wanneer dit is ingeschakeld, ontvangt het traceerlogboek een groot aantal gebeurtenissen en kan dit van invloed zijn op de prestaties van de domeincontroller. Daarom moet dit verbeterde logboek alleen worden ingeschakeld wanneer een probleem dieper onderzoek vereist en vervolgens slechts gedurende een minimale tijd.
Logboekregistratie van DC-agenttekst
De DC-agentservice kan worden geconfigureerd om naar een tekstlogboek te schrijven door de volgende registerwaarde in te stellen:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)
Logboekregistratie van tekst is standaard uitgeschakeld. Een herstart van de DC-agentservice is vereist om wijzigingen in deze waarde van kracht te laten worden. Wanneer de DC-agentservice is ingeschakeld, wordt er naar een logboekbestand geschreven onder:
%ProgramFiles%\Azure AD Password Protection DC Agent\Logs
Tip
Het tekstlogboek ontvangt dezelfde vermeldingen op foutopsporingsniveau die kunnen worden vastgelegd in het traceerlogboek, maar heeft over het algemeen een eenvoudigere indeling om te controleren en te analyseren.
Waarschuwing
Wanneer dit logboek is ingeschakeld, ontvangt dit logboek een groot aantal gebeurtenissen en kan dit van invloed zijn op de prestaties van de domeincontroller. Daarom moet dit verbeterde logboek alleen worden ingeschakeld wanneer een probleem dieper onderzoek vereist en vervolgens slechts gedurende een minimale tijd.
Prestatiebewaking van DC-agent
De DC-agentservicesoftware installeert een prestatiemeteritemobject met de naam Microsoft Entra Password Protection. De volgende prestatiemeteritems zijn momenteel beschikbaar:
| Prestatiemeteritemsnaam | Beschrijving |
|---|---|
| Verwerkte wachtwoorden | In deze teller wordt het totale aantal verwerkte wachtwoorden (geaccepteerd of geweigerd) weergegeven sinds de laatste herstart. |
| Geaccepteerde wachtwoorden | In deze teller wordt het totale aantal wachtwoorden weergegeven dat is geaccepteerd sinds de laatste keer opnieuw opstarten. |
| Wachtwoorden geweigerd | In deze teller wordt het totale aantal wachtwoorden weergegeven dat is geweigerd sinds de laatste herstart. |
| Aanvragen voor wachtwoordfilters worden uitgevoerd | In deze teller wordt het aantal aanvragen voor wachtwoordfilters weergegeven dat momenteel wordt uitgevoerd. |
| Piekverzoeken voor wachtwoordfilters | Deze teller geeft het piekaantal gelijktijdige wachtwoordfilteraanvragen weer sinds de laatste herstart. |
| Fouten bij aanvraag voor wachtwoordfilter | In deze teller wordt het totale aantal aanvragen voor wachtwoordfilters weergegeven dat is mislukt vanwege een fout sinds de laatste herstart. Er kunnen fouten optreden wanneer de Microsoft Entra Password Protection DC-agentservice niet wordt uitgevoerd. |
| Aanvragen voor wachtwoordfilter per seconde | In deze teller wordt de snelheid weergegeven waarmee wachtwoorden worden verwerkt. |
| Verwerkingstijd voor wachtwoordfilteraanvragen | Deze teller geeft de gemiddelde tijd weer die nodig is voor het verwerken van een wachtwoordfilteraanvraag. |
| Maximale verwerkingstijd voor wachtwoordfilteraanvragen | Deze teller geeft de verwerkingstijd van de piekwachtwoordfilteraanvraag weer sinds de laatste keer opnieuw opstarten. |
| Wachtwoorden die zijn geaccepteerd vanwege de controlemodus | In deze teller wordt het totale aantal wachtwoorden weergegeven dat normaal gesproken is geweigerd, maar is geaccepteerd omdat het wachtwoordbeleid is geconfigureerd voor de controlemodus (sinds de laatste keer opnieuw opstarten). |
DC-agentdetectie
De Get-AzureADPasswordProtectionDCAgent cmdlet kan worden gebruikt om basisinformatie weer te geven over de verschillende DC-agents die worden uitgevoerd in een domein of forest. Deze informatie wordt opgehaald uit de service Verbinding maken ionPoint-objecten die zijn geregistreerd door de actieve DC-agentservice(s).
Een voorbeeld van de uitvoer van deze cmdlet is als volgt:
Get-AzureADPasswordProtectionDCAgent
ServerFQDN : bplChildDC2.bplchild.bplRootDomain.com
Domain : bplchild.bplRootDomain.com
Forest : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC : 2/16/2018 8:35:02 AM
De verschillende eigenschappen worden per uur bijgewerkt door elke DC-agentservice. De gegevens zijn nog steeds onderhevig aan de latentie van Active Directory-replicatie.
Het bereik van de query van de cmdlet kan worden beïnvloed met behulp van de parameters –Forest of –Domain.
Als de HeartbeatUTC-waarde verouderd is, kan dit een symptoom zijn dat de Microsoft Entra Password Protection DC-agent op die domeincontroller niet wordt uitgevoerd of is verwijderd, of dat de computer is gedegradeerd en geen domeincontroller meer is.
Als de waarde PasswordPolicyDateUTC verouderd is, kan dit een symptoom zijn dat de DC-agent voor Microsoft Entra-wachtwoordbeveiliging op die computer niet goed werkt.
Nieuwere versie van DC-agent beschikbaar
De DC-agentservice registreert een waarschuwings gebeurtenis van 30034 in het operationele logboek bij het detecteren dat er een nieuwere versie van de DC-agentsoftware beschikbaar is, bijvoorbeeld:
An update for Azure AD Password Protection DC Agent is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
De bovenstaande gebeurtenis geeft niet de versie van de nieuwere software op. Ga naar de koppeling in het gebeurtenisbericht voor die informatie.
Notitie
Ondanks de verwijzingen naar 'autoupgrade' in het bovenstaande gebeurtenisbericht, biedt de DC-agentsoftware momenteel geen ondersteuning voor deze functie.
Logboekregistratie van proxyservice-gebeurtenissen
De proxyservice verzendt een minimale set gebeurtenissen naar de volgende gebeurtenislogboeken:
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational
\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace
Houd er rekening mee dat het traceerlogboek standaard is uitgeschakeld.
Waarschuwing
Wanneer dit is ingeschakeld, ontvangt het traceerlogboek een groot aantal gebeurtenissen. Dit kan van invloed zijn op de prestaties van de proxyhost. Daarom moet dit logboek alleen worden ingeschakeld wanneer een probleem dieper onderzoek vereist en vervolgens slechts voor een minimale hoeveelheid tijd.
Gebeurtenissen worden vastgelegd door de verschillende proxyonderdelen met behulp van de volgende bereiken:
| Onderdeel | Gebeurtenis-id-bereik |
|---|---|
| Hostingproces van proxyservice | 10000-19999 |
| Kernlogica van proxyservice | 20000-29999 |
| PowerShell-cmdlets | 30000-39999 |
Logboekregistratie van tekst van proxyservice
De proxyservice kan worden geconfigureerd om naar een tekstlogboek te schrijven door de volgende registerwaarde in te stellen:
HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters! EnableTextLogging = 1 (REG_DWORD waarde)
Logboekregistratie van tekst is standaard uitgeschakeld. Opnieuw opstarten van de proxyservice is vereist voor wijzigingen in deze waarde om van kracht te worden. Wanneer de proxyservice is ingeschakeld, wordt er naar een logboekbestand geschreven onder:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Tip
Het tekstlogboek ontvangt dezelfde vermeldingen op foutopsporingsniveau die kunnen worden vastgelegd in het traceerlogboek, maar heeft over het algemeen een eenvoudigere indeling om te controleren en te analyseren.
Waarschuwing
Wanneer dit logboek is ingeschakeld, ontvangt dit een groot aantal gebeurtenissen en kan dit van invloed zijn op de prestaties van de machine. Daarom moet dit verbeterde logboek alleen worden ingeschakeld wanneer een probleem dieper onderzoek vereist en vervolgens slechts gedurende een minimale tijd.
Logboekregistratie van PowerShell-cmdlets
PowerShell-cmdlets die resulteren in een statuswijziging (bijvoorbeeld Register-AzureADPasswordProtectionProxy) registreren normaal gesproken een resultaatgebeurtenis in het operationele logboek.
Bovendien worden de meeste PowerShell-cmdlets voor Wachtwoordbeveiliging van Microsoft Entra naar een tekstlogboek geschreven onder:
%ProgramFiles%\Azure AD Password Protection Proxy\Logs
Als er een cmdlet-fout optreedt en de oorzaak en/of oplossing niet direct zichtbaar is, kunnen deze tekstlogboeken ook worden geraadpleegd.
Proxydetectie
De Get-AzureADPasswordProtectionProxy cmdlet kan worden gebruikt om basisinformatie weer te geven over de verschillende Microsoft Entra Password Protection Proxy-services die worden uitgevoerd in een domein of forest. Deze informatie wordt opgehaald uit de service Verbinding maken ionPoint-objecten die zijn geregistreerd door de actieve Proxy-service(s).
Een voorbeeld van de uitvoer van deze cmdlet is als volgt:
Get-AzureADPasswordProtectionProxy
ServerFQDN : bplProxy.bplchild2.bplRootDomain.com
Domain : bplchild2.bplRootDomain.com
Forest : bplRootDomain.com
HeartbeatUTC : 12/25/2018 6:35:02 AM
De verschillende eigenschappen worden elk uur per uur bijgewerkt door elke Proxy-service. De gegevens zijn nog steeds onderhevig aan de latentie van Active Directory-replicatie.
Het bereik van de query van de cmdlet kan worden beïnvloed met behulp van de parameters –Forest of –Domain.
Als de HeartbeatUTC-waarde verouderd is, kan dit een symptoom zijn dat de Microsoft Entra-wachtwoordbeveiligingsproxy op die computer niet wordt uitgevoerd of is verwijderd.
Nieuwere versie van proxyagent beschikbaar
De proxyservice registreert een waarschuwings gebeurtenis van 20002 bij het operationele logboek bij het detecteren dat er een nieuwere versie van de proxysoftware beschikbaar is, bijvoorbeeld:
An update for Azure AD Password Protection Proxy is available.
If autoupgrade is enabled, this message may be ignored.
If autoupgrade is disabled, refer to the following link for the latest version available:
https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions
Current version: 1.2.116.0
.
De bovenstaande gebeurtenis geeft niet de versie van de nieuwere software op. Ga naar de koppeling in het gebeurtenisbericht voor die informatie.
Deze gebeurtenis wordt verzonden, zelfs als de proxyagent is geconfigureerd met autoupgrade ingeschakeld.
Volgende stappen
Probleemoplossing voor Microsoft Entra-wachtwoordbeveiliging
Zie het artikel Ongeldige wachtwoorden verbieden voor meer informatie over de algemene en aangepaste lijsten met verboden wachtwoorden