Rozwiązywanie problemów z błędem SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła

Ten artykuł ułatwia rozwiązywanie problemów z błędem samoobsługowego resetowania hasła (SSPR) "SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła", który występuje po wprowadzeniu przez użytkownika lub administratora i potwierdzeniu nowego hasła na stronie samoobsługowego resetowania haseł.

Symptomy

Użytkownik lub administrator wykonuje następujące kroki, a następnie otrzymuje SSPR_0029 błąd:

1. Na stronie logowania do konta Microsoft lub na stronie logowania platformy Microsoft Azure w https://login.microsoftonline.com domenie użytkownik lub administrator wybiera opcję Nie można uzyskać dostępu do konta?, Nie pamiętam hasła lub zresetuj je teraz.

2. Użytkownik lub administrator wybiera typ konta służbowego . Następnie są one przekierowywane do strony samoobsługowego resetowania hasła pod adresem https://passwordreset.microsoftonline.com , aby rozpocząć przepływ Powrotu do konta .

3. Na ekranie Kim jesteś? użytkownik lub administrator wprowadza swój identyfikator użytkownika, wykonuje wyzwanie zabezpieczeń captcha bez uwzględniania wielkości liter, a następnie wybiera pozycję Dalej.

4. Na ekranie Dlaczego masz problemy z logowaniem? użytkownik lub administrator wybiera pozycję Nie pamiętam hasła>Dalej.

5. Na ekranie wybierania nowego hasła użytkownik lub administrator wprowadza i potwierdza nowy ciąg hasła, a następnie wybiera pozycję Zakończ. Następnie zostanie wyświetlony ekran Przepraszamy i zostanie wyświetlony następujący komunikat:

   SSPR_0029: Twoja organizacja nie skonfigurowała prawidłowo konfiguracji lokalnej na potrzeby resetowania hasła.

   Jeśli jesteś administratorem, możesz uzyskać więcej informacji z artykułu Rozwiązywanie problemów z zapisywaniem zwrotnym haseł. Jeśli nie jesteś administratorem, możesz podać te informacje podczas kontaktowania się z administratorem.

Przyczyna 1: Nie można użyć funkcji zapisywania zwrotnego haseł w celu zresetowania hasła zsynchronizowanego administratora usługi Windows Active Directory

Jesteś zsynchronizowanym administratorem usługi Windows Active Directory, który należy (lub należy do lokalna usługa Active Directory chronionej grupy) i nie możesz używać funkcji samoobsługowego resetowania hasła i zapisywania zwrotnego haseł w celu zresetowania hasła lokalnego.

Rozwiązanie: Brak (zachowanie jest projektowane)

Ze względów bezpieczeństwa konta administratorów istniejące w lokalnej grupie chronionej usługi Active Directory nie mogą być używane razem z zapisywaniem zwrotnym haseł. Administratorzy mogą zmienić swoje hasło w chmurze, ale nie mogą zresetować zapomnianego hasła. Aby uzyskać więcej informacji, zobacz Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w Tożsamość Microsoft Entra.

Przyczyna 2. Konto łącznika usług AD DS nie ma odpowiednich uprawnień usługi Active Directory

Zsynchronizowany użytkownik nie ma odpowiednich uprawnień w usłudze Active Directory.

Rozwiązanie: Rozwiązywanie problemów z uprawnieniami usługi Active Directory

Aby rozwiązać problemy wpływające na uprawnienia usługi Active Directory, zobacz Prawa i uprawnienia dostępu do zapisu zwrotnego haseł.

Obejście: kierowanie do innego kontrolera domeny usługi Active Directory

Uwaga

Zapisywanie zwrotne haseł jest zależne od starszego interfejsu API NetUserGetInfo. Interfejs NetUserGetInfo API wymaga złożonego zestawu dozwolonych uprawnień w usłudze Active Directory, które mogą być trudne do zidentyfikowania, zwłaszcza gdy serwer Microsoft Entra Connect jest uruchomiony na kontrolerze domeny. Aby uzyskać więcej informacji, zobacz Aplikacje korzystające z narzędzia NetUserGetInfo i podobne interfejsy API polegają na dostępie do odczytu do niektórych obiektów usługi Active Directory.

Czy istnieje scenariusz, w którym serwer Microsoft Entra Connect jest uruchomiony na kontrolerze domeny i nie można rozpoznać uprawnień usługi Active Directory? W takim przypadku zalecamy wdrożenie serwera Microsoft Entra Connect na serwerze członkowskim zamiast na kontrolerze domeny. Możesz też skonfigurować łącznik usługi Active Directory tak, aby używał tylko preferowanych kontrolerów domeny , wykonując następujące kroki:

1. W menu Start wyszukaj i wybierz pozycję Synchronizacja Service Manager.

2. W oknie Synchronizacja Service Manager wybierz kartę Łączniki.

3. Kliknij prawym przyciskiem myszy łącznik usługi Active Directory z listy łączników, a następnie wybierz pozycję Właściwości.

4. W okienku Łącznik Designer okna dialogowego Właściwości wybierz pozycję Konfiguruj partycje katalogu.

5. W okienku Konfigurowanie partycji katalogu wybierz opcję Użyj tylko preferowanych kontrolerów domeny , a następnie wybierz pozycję Konfiguruj.

6. W oknie dialogowym Konfigurowanie preferowanych kontrolerów domeny dodaj co najmniej jedną nazwę serwera wskazującą inny kontroler domeny (lub kontrolery domeny) niż host lokalny.

7. Aby zapisać zmiany i wrócić do okna głównego, wybierz przycisk OK trzy razy, w tym w oknie dialogowym Ostrzeżenie , które pokazuje zaawansowane zastrzeżenie dotyczące konfiguracji.

Przyczyna 3. Serwery nie mogą wykonywać zdalnych wywołań do Menedżera kont zabezpieczeń (SAM)

W takim przypadku są rejestrowane dwa podobne zdarzenia błędów aplikacji: Identyfikator zdarzenia 33004 i 6329. Identyfikator zdarzenia 6329 różni się od 33004, ponieważ zawiera ERROR_ACCESS_DENIED kod błędu w śledzenia stosu, gdy serwer próbuje wykonać zdalne wywołanie sam:

ERR_: MMS(####): admaexport.cpp(2944): Nie można uzyskać informacji o użytkowniku: Contoso\MSOL_############. Kod błędu: ERROR_ACCESS_DENIED

Taka sytuacja może wystąpić, jeśli serwer Microsoft Entra Connect lub kontroler domeny ma lub ma ustawienie zabezpieczeń wzmacniające zabezpieczenia stosowane w obiekcie zasady grupy domeny (GPO) lub w zasadach zabezpieczeń lokalnych serwera. Aby sprawdzić, czy tak jest, wykonaj następujące kroki:

1. Otwórz administracyjne okno wiersza polecenia i uruchom następujące polecenia:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Otwórz plik C:\Temp\gpresult.htm w przeglądarce internetowej i rozwiń węzełZasady>ustawień szczegółów>>komputeraUstawienia >systemu WindowsUstawienia zabezpieczeń Zasady>lokalne/Opcje> zabezpieczeńDostęp do sieci. Następnie sprawdź, czy masz ustawienie o nazwie Dostęp do sieci: ogranicz klientów, którzy mogą wykonywać zdalne wywołania do protokołu SAM.

3. Aby otworzyć przystawkę Zasady zabezpieczeń lokalnych, wybierz pozycję Start, wprowadź wartość secpol.msc, naciśnij klawisz Enter, a następnie rozwiń węzeł Zasady> lokalneRozwiń opcje zabezpieczeń.

4. Na liście zasad wybierz pozycję Dostęp do sieci: ogranicz klientów, którzy mogą wykonywać zdalne wywołania do protokołu SAM. W kolumnie Ustawienie zabezpieczeń zostanie wyświetlona wartość Nie zdefiniowano , jeśli ustawienie nie jest włączone, lub jeśli ustawienie jest włączone, zostanie wyświetlona O:BAG:... wartość deskryptora zabezpieczeń. Jeśli to ustawienie jest włączone, możesz również wybrać ikonę Właściwości, aby wyświetlić aktualnie stosowaną listę Access Control (ACL).

   Uwaga

   Domyślnie to ustawienie zasad jest wyłączone. Gdy to ustawienie jest stosowane na urządzeniu za pośrednictwem obiektu zasad grupy lub ustawienia zasad lokalnych, w ścieżce rejestru HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ zostanie utworzona wartość rejestru o nazwie RestrictRemoteSam. Jednak to ustawienie rejestru może być trudne do wyczyszczenia po zdefiniowaniu i zastosowaniu do serwera. Wyłączenie ustawienia zasady grupy lub wyczyszczenie opcji Zdefiniuj to ustawienie zasad w konsoli zarządzania zasady grupy (GPMC) nie powoduje usunięcia wpisu rejestru. W związku z tym serwer nadal ogranicza, którzy klienci mogą wykonywać zdalne wywołania do sam.

   Jak dokładnie sprawdzić, czy serwer Microsoft Entra Connect lub kontroler domeny nadal ogranicza zdalne wywołania sam? Sprawdź, czy wpis rejestru pozostaje obecny, uruchamiając polecenie cmdlet Get-ItemProperty w programie PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

Czy dane wyjściowe programu PowerShell pokazują, że wpis rejestru RestrictRemoteSam jest nadal obecny? Jeśli tak, masz dwa możliwe rozwiązania.

Rozwiązanie 1. Dodawanie konta łącznika usług AD DS do listy dozwolonych użytkowników

Zachowaj dostęp do sieci: ogranicz klientów, którzy mogą włączać zdalne wywołania zasad SAM i stosować je na serwerze Microsoft Entra Connect, ale dodaj konto łącznika Active Directory Domain Services (AD DS) (konto MSOL_) do listy dozwolonych użytkowników. Aby uzyskać instrukcje, zobacz następujące kroki:

1. Jeśli nie znasz nazwy konta łącznika usług AD DS, zobacz Identyfikowanie konta łącznika usług AD DS.

2. W przystawce kontrolera zasad grupy lub zasad zabezpieczeń lokalnych wróć do okna dialogowego właściwości dla tego ustawienia zasad.

3. Wybierz pozycję Edytuj zabezpieczenia , aby wyświetlić okno dialogowe Ustawienia zabezpieczeń dla dostępu zdalnego do protokołu SAM .

4. Na liście Nazwy grup lub użytkowników wybierz pozycję Dodaj , aby wyświetlić okno dialogowe Wybieranie użytkowników lub grup . W polu Wprowadź nazwy obiektów do zaznaczenia wprowadź nazwę konta łącznika usług AD DS (konto MSOL_ ), a następnie wybierz przycisk OK , aby zamknąć to okno dialogowe.

5. Wybierz konto łącznika usług AD DS na liście. W obszarze Uprawnienia dla <nazwy> konta w wierszu Dostęp zdalny wybierz pozycję Zezwalaj.

6. Wybierz przycisk OK dwa razy, aby zaakceptować zmiany ustawień zasad i powrócić do listy ustawień zasad.

7. Otwórz administracyjne okno wiersza polecenia i uruchom polecenie gpupdate, aby wymusić aktualizację zasady grupy:

   gpupdate /force
   

Rozwiązanie 2: Usuwanie dostępu do sieci: ogranicz klientów, którzy mogą wykonywać zdalne wywołania do ustawienia zasad SAM, a następnie ręcznie usuń wpis rejestru RestrictRemoteSam

1. Jeśli ustawienie zabezpieczeń jest stosowane z poziomu zasad zabezpieczeń lokalnych, przejdź do kroku nr 4.

2. Otwórz przystawkę kontrolera zasad grupy z kontrolera domeny i edytuj odpowiedni obiekt zasad grupy domeny.

3. Rozwiń węzełZasady>konfiguracji> komputeraUstawienia>systemu Windows Ustawienia> zabezpieczeńKonfiguracja> komputeraOpcje zabezpieczeńzasad> lokalnych.

4. Na liście opcji zabezpieczeń wybierz pozycję Dostęp do sieci: Ogranicz klientom możliwość wykonywania zdalnych wywołań do sam, otwórz pozycję Właściwości, a następnie wyłącz opcję Zdefiniuj to ustawienie zasad.

5. Otwórz administracyjne okno wiersza polecenia i uruchom polecenie gpupdate, aby wymusić aktualizację zasady grupy:

   gpupdate /force
   

6. Aby wygenerować nowy raport wyników zasady grupy (GPreport.htm), uruchom polecenie gpresult, a następnie otwórz nowy raport w przeglądarce internetowej:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Sprawdź raport, aby upewnić się, że ustawienie zasad dostępu do sieci: ograniczanie klientom dozwolonym do wykonywania zdalnych wywołań do protokołu SAM nie jest zdefiniowane.

8. Otwórz administracyjną konsolę programu PowerShell.

9. Aby usunąć wpis rejestru RestrictRemoteSam , uruchom polecenie cmdlet Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Uwaga

   Jeśli usuniesz wpis rejestru RestrictRemoteSam bez usuwania ustawienia Obiekt zasad grupy domeny, ten wpis rejestru zostanie ponownie utworzony w następnym cyklu odświeżania zasady grupy, a SSPR_0029 błąd zostanie powtórzony.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.