Fout SSPR_0029 oplossen: uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet correct ingesteld

Dit artikel helpt u bij het oplossen van de selfservicefout voor wachtwoordherstel (SSPR) 'SSPR_0029: uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet juist ingesteld' die optreedt nadat de gebruiker of beheerder een nieuw wachtwoord invoert en bevestigt op de SSPR-pagina.

Symptomen

Een gebruiker of beheerder voert de volgende stappen uit en ontvangt vervolgens een SSPR_0029 foutbericht:

1. Op een microsoft-accountaanmeldingspagina of microsoft Azure-aanmeldingspagina in het https://login.microsoftonline.com domein selecteert een gebruiker of beheerder Geen toegang tot uw account?, Mijn wachtwoord vergeten of nu opnieuw instellen.

2. De gebruiker of beheerder selecteert het accounttype Werk- of schoolaccount . Vervolgens worden ze omgeleid naar de SSPR-pagina op https://passwordreset.microsoftonline.com om de stroom Terug naar uw account te starten.

3. Op het scherm Wie bent u? voert de gebruiker of beheerder de gebruikers-id in, voltooit een niet-hoofdlettergevoelige beveiligingsvraag en selecteert vervolgens Volgende.

4. Op het scherm Waarom hebt u problemen met aanmelden? selecteert de gebruiker of beheerder Ik ben mijn wachtwoord> vergetenVolgende.

5. Op het scherm Een nieuw wachtwoord kiezen voert de gebruiker of beheerder een nieuwe wachtwoordtekenreeks in en bevestigt deze en selecteert vervolgens Voltooien. Vervolgens wordt het scherm We're sorry weergegeven met het volgende bericht:

   SSPR_0029: uw organisatie heeft de on-premises configuratie voor wachtwoordherstel niet correct ingesteld.

   Als u een beheerder bent, kunt u meer informatie vinden in het artikel Problemen met het terugschrijven van wachtwoorden oplossen. Als u geen beheerder bent, kunt u deze informatie opgeven wanneer u contact opneemt met uw beheerder.

Oorzaak 1: Kan wachtwoord terugschrijven niet gebruiken om het wachtwoord van een gesynchroniseerde Windows Active Directory-beheerder opnieuw in te stellen

U bent een gesynchroniseerde Windows Active Directory-beheerder die deel uitmaakt van een on-premises Active Directory beveiligde groep en u kunt SSPR en wachtwoord terugschrijven niet gebruiken om uw on-premises wachtwoord opnieuw in te stellen.

Oplossing: Geen (gedrag is standaard)

Voor de beveiliging kunnen beheerdersaccounts die aanwezig zijn in een lokale met Active Directory beveiligde groep niet worden gebruikt in combinatie met wachtwoord terugschrijven. Beheerders kunnen hun wachtwoord wijzigen in de cloud, maar kunnen een vergeten wachtwoord niet opnieuw instellen. Zie Hoe werkt selfservice voor wachtwoordherstel terugschrijven in Microsoft Entra ID voor meer informatie.

Oorzaak 2: AD DS Connector-account heeft niet de juiste Active Directory-machtigingen

De gesynchroniseerde gebruiker mist de juiste machtigingen in Active Directory.

Oplossing: Problemen met Active Directory-machtigingen oplossen

Zie Toegangsrechten en machtigingen voor wachtwoord terugschrijven om problemen op te lossen die van invloed zijn op Active Directory-machtigingen.

Tijdelijke oplossing: Een andere Active Directory-domeincontroller targeten

Opmerking

Wachtwoord terugschrijven is afhankelijk van de verouderde API NetUserGetInfo. De NetUserGetInfo API vereist een complexe set toegestane machtigingen in Active Directory die moeilijk te identificeren kan zijn, met name wanneer een Microsoft Entra Connect-server wordt uitgevoerd op een domeincontroller. Zie Toepassingen met NetUserGetInfo en vergelijkbare API's zijn afhankelijk van leestoegang tot bepaalde Active Directory-objecten voor meer informatie.

Hebt u een scenario waarin een Microsoft Entra Connect-server wordt uitgevoerd op een domeincontroller en het niet mogelijk is om Active Directory-machtigingen op te lossen? In dit geval wordt u aangeraden Microsoft Entra Connect-server te implementeren op een lidserver in plaats van op een domeincontroller. Of configureer uw Active Directory-connector om alleen voorkeursdomeincontrollers te gebruiken met behulp van de volgende stappen:

1. Zoek en selecteer Synchronisatie Service Manager in het menu Start.

2. Selecteer in het venster Synchronisatie Service Manager het tabblad Connectors.

3. Klik met de rechtermuisknop op de Active Directory-connector in de lijst met connectors en selecteer vervolgens Eigenschappen.

4. Selecteer in het deelvenster Connector Designer van het dialoogvenster Eigenschappende optie Directorypartities configureren.

5. Selecteer in het deelvenster Adreslijstpartities configureren de optie Alleen voorkeursdomeincontrollers gebruiken en selecteer vervolgens Configureren.

6. Voeg in het dialoogvenster Voorkeurs-DC's configureren een of meer servernamen toe die verwijzen naar een andere domeincontroller (of domeincontrollers) dan de lokale host.

7. Als u uw wijzigingen wilt opslaan en wilt terugkeren naar het hoofdvenster, selecteert u drie keer OK , inclusief in het dialoogvenster Waarschuwing met een geavanceerde configuratie-vrijwaring.

Oorzaak 3: Servers mogen geen externe aanroepen uitvoeren naar Security Accounts Manager (SAM)

In dit geval worden twee vergelijkbare toepassingsfoutgebeurtenissen vastgelegd: gebeurtenis-id 33004 en 6329. Gebeurtenis-id 6329 verschilt van 33004 omdat deze een ERROR_ACCESS_DENIED foutcode bevat in de stacktracering wanneer de server een externe aanroep naar SAM probeert uit te voeren:

ERR_: MMS(#####): admaexport.cpp(2944): Kan gebruikersgegevens niet verkrijgen: Contoso\MSOL_############. Foutcode: ERROR_ACCESS_DENIED

Deze situatie kan optreden als op de Microsoft Entra Connect-server of de domeincontroller een beveiligingsinstelling voor beveiliging is of is toegepast met een domein groepsbeleid Object (GPO) of in het lokale beveiligingsbeleid van de server. Voer de volgende stappen uit om te controleren of dit het geval is:

1. Open een opdrachtpromptvenster met beheerdersrechten en voer de volgende opdrachten uit:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Open het bestandC:\Temp\gpresult.htm in uw webbrowser en vouw Computerdetails>Instellingen>Beleid>Windows Instellingen>Beveiligingsinstellingen>Lokaal beleid/Beveiligingsopties>Netwerktoegang uit. Controleer vervolgens of u een instelling hebt met de naam Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren.

3. Als u de module Lokaal beveiligingsbeleid wilt openen, selecteert u Start, voert u secpol.msc in, drukt u op Enter en vouwt u vervolgens Lokaal beleid>Beveiligingsopties uitvouwen.

4. Selecteer netwerktoegang in de lijst met beleidsregels : Clients beperken die externe aanroepen naar SAM mogen uitvoeren. In de kolom Beveiligingsinstelling wordt Niet gedefinieerd weergegeven als de instelling niet is ingeschakeld of als de instelling is ingeschakeld, wordt een O:BAG:... beveiligingsdescriptorwaarde weergegeven. Als de instelling is ingeschakeld, kunt u ook het pictogram Eigenschappen selecteren om de Access Control List (ACL) te zien die momenteel is toegepast.

   Opmerking

   Deze beleidsinstelling is standaard uitgeschakeld. Wanneer deze instelling wordt toegepast op een apparaat via een groepsbeleidsobject of een lokale beleidsinstelling, wordt een registerwaarde met de naam RestrictRemoteSam gemaakt in het HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ registerpad. Deze registerinstelling kan echter moeilijk te wissen zijn nadat deze is gedefinieerd en toegepast op de server. Als u de instelling groepsbeleid uitschakelt of de optie Deze beleidsinstelling definiëren in groepsbeleid Beheerconsole (GPMC) uitschakelt, wordt de registervermelding niet verwijderd. Daarom beperkt de server nog steeds welke clients externe aanroepen naar SAM mogen uitvoeren.

   Hoe controleert u nauwkeurig of de Microsoft Entra Connect-server of de domeincontroller externe aanroepen nog steeds beperkt tot SAM? U controleert of de registervermelding aanwezig blijft door de cmdlet Get-ItemProperty uit te voeren in PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

Geeft de PowerShell-uitvoer aan dat er nog steeds een registervermelding RestrictRemoteSam aanwezig is? Als dat het zo is, hebt u twee mogelijke oplossingen.

Oplossing 1: Voeg het AD DS Connector-account toe aan de lijst met toegestane gebruikers

Netwerktoegang behouden: clients beperken die externe aanroepen mogen uitvoeren naar SAM-beleidsinstelling ingeschakeld en toegepast op de Microsoft Entra Connect-server, maar voeg het Active Directory Domain Services (AD DS) Connector-account (MSOL_ account) toe aan de lijst met toegestane gebruikers. Zie de volgende stappen voor instructies:

1. Als u de naam van uw AD DS Connector-account niet weet, raadpleegt u Het AD DS Connector-account identificeren.

2. Ga in de module GMC of Lokaal beveiligingsbeleid terug naar het eigenschappendialoogvenster voor die beleidsinstelling.

3. Selecteer Beveiliging bewerken om het dialoogvenster Beveiligingsinstellingen voor externe toegang tot SAM weer te geven.

4. Selecteer toevoegen in de lijst Groeps- of gebruikersnamen om het dialoogvenster Gebruikers of groepen selecteren weer te geven. Voer in het vak Voer de objectnamen in om te selecteren de naam in van het AD DS Connector-account (MSOL_ account) en selecteer vervolgens OK om dat dialoogvenster te sluiten.

5. Selecteer het AD DS Connector-account in de lijst. Selecteer onder Machtigingen voor <accountnaam> in de rij Externe toegang de optie Toestaan.

6. Selecteer TWEE keer OK om de wijzigingen in de beleidsinstelling te accepteren en terug te keren naar de lijst met beleidsinstellingen.

7. Open een opdrachtpromptvenster met beheerdersrechten en voer de gpupdate-opdracht uit om een groepsbeleid update af te dwingen:

   gpupdate /force
   

Oplossing 2: De netwerktoegang verwijderen: Clients beperken die externe aanroepen mogen uitvoeren naar SAM-beleidsinstelling en vervolgens handmatig de registervermelding RestrictRemoteSam verwijderen

1. Als de beveiligingsinstelling wordt toegepast vanuit het lokale beveiligingsbeleid, gaat u naar stap 4.

2. Open de GPMC-module vanaf een domeincontroller en bewerk het desbetreffende domein-GPO.

3. Vouw Computerconfiguratiebeleid>uit>Windows-instellingen>Beveiligingsinstellingen>Computerconfiguratie>Lokaal beleid>Beveiligingsopties.

4. Selecteer netwerktoegang in de lijst met beveiligingsopties : Clients beperken die externe aanroepen naar SAM mogen uitvoeren, open Eigenschappen en schakel vervolgens Deze beleidsinstelling definiëren uit.

5. Open een opdrachtpromptvenster met beheerdersrechten en voer de gpupdate-opdracht uit om een groepsbeleid update af te dwingen:

   gpupdate /force
   

6. Als u een nieuw groepsbeleid resultaatrapport (GPreport.htm) wilt genereren, voert u de opdracht gpresult uit en opent u het nieuwe rapport in een webbrowser:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Controleer het rapport om ervoor te zorgen dat de beleidsinstelling voor Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren , niet is gedefinieerd.

8. Open een PowerShell-console met beheerdersrechten.

9. Als u de registervermelding RestrictRemoteSam wilt verwijderen, voert u de cmdlet Remove-ItemProperty uit:

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Opmerking

   Als u de registervermelding RestrictRemoteSam verwijdert zonder de instelling domein-groepsbeleidsobject te verwijderen, wordt deze registervermelding opnieuw gemaakt tijdens de volgende groepsbeleid vernieuwingscyclus en treedt de SSPR_0029 fout opnieuw op.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.