Udostępnij za pośrednictwem


Wskazówki dotyczące rozwiązywania problemów z usługą Windows LAPS

Ten przewodnik zawiera podstawowe pojęcia, których należy użyć podczas rozwiązywania problemów z rozwiązaniem Windows Local Administrator Password Solution (Windows LAPS).

Windows LAPS to funkcja systemu Windows, która automatycznie zarządza hasłem konta administratora lokalnego i tworzy kopię zapasową na urządzeniach dołączonych do usługi Microsoft Entra lub dołączonych do usługi Active Directory systemu Windows Server. Możesz również użyć systemu Windows LAPS do automatycznego zarządzania i tworzenia kopii zapasowej hasła konta trybu naprawy usług katalogowych (DSRM) na kontrolerach domeny usługi Active Directory systemu Windows Server. Autoryzowany administrator może pobrać hasło dsRM i użyć go. Aby uzyskać więcej informacji, zobacz Co to jest system Windows LAPS?

Uwaga 16.

  • Ten artykuł jest przeznaczony dla systemu Windows LAPS (nowa funkcja), a nie dla starszej wersji LAPS lub starszej wersji LAPS.
  • W tym artykule wymieniono tylko niektóre z najważniejszych możliwych głównych przyczyn. Inne przyczyny mogą również istnieć, ale pozostają nieodkryte.
  • Poniższa lista zawiera najbardziej typowe identyfikatory zdarzeń i może nie zawierać wszystkich zdarzeń systemu Windows LAPS.

Rozwiązywanie problemów z systemem Windows LAPS przy użyciu zdarzeń systemu Windows

Aby wyświetlić zdarzenia systemu Windows LAPS, przejdź do pozycji >operacyjne Microsoft>Windows>LAPS> w Podgląd zdarzeń.

Uwaga 16.

  • Przetwarzanie rozwiązania Windows LAPS rozpoczyna się od zdarzenia o identyfikatorze 10003 i kończy zdarzeniem o identyfikatorze 10004.
  • Jeśli przetwarzanie bieżącego cyklu zakończy się niepowodzeniem z jakiegokolwiek powodu, zostanie zarejestrowane zdarzenie o identyfikatorze 10005.

System Windows LAPS ma dwa scenariusze:

  • Windows LAPS Active Directory

    Maszyny klienckie są skonfigurowane do przechowywania hasła w usłudze Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Maszyny klienckie są skonfigurowane do przechowywania hasła w usłudze Microsoft Entra ID.

W poniższej tabeli wymieniono identyfikatory zdarzeń, które są rejestrowane w różnych scenariuszach:

Identyfikator zdarzenia Scenariusz
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory i Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory i Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory i Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory i Microsoft Entra ID
10049 Windows LAPS Active Directory i Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

Identyfikator zdarzenia 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Domyślnie Windows LAPS szyfruje hasło konta zarządzanego na komputerze klienckim. Aby zapewnić obsługę szyfrowania, poziom funkcjonalności domeny powinien być systemem Windows Server 2016.

Rozwiązanie

  1. W razie potrzeby podnieś poziom funkcjonalności domeny.
  2. Wyłącz zasady grupy Włącz szyfrowanie haseł dla maszyn klienckich.

    Uwaga 16.

    Nie zalecamy wyłączania szyfrowania haseł przechowywanego na kontrolerze domeny.

Identyfikator zdarzenia 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS okresowo (co godzinę) wysyła zapytanie do usługi Active Directory o stan komputera, a maszyna kliencka za pomocą usługi Netlogon odnajduje na nim kontroler domeny.

Rozwiązanie

Jeśli jesteś w środowisku, w którym masz łączność tylko z zapisywalnym kontrolerem domeny, otwórz porty sieciowe między maszyną kliencką a kontrolerem domeny.

Aby uzyskać więcej informacji, zobacz Service overview and network port requirements for Windows (Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows).

Identyfikator zdarzenia 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Aby wprowadzić system Windows LAPS, należy rozszerzyć schemat za pomocą atrybutów systemu Windows LAPS. Lub, jeśli używasz systemu Windows LAPS w starszym trybie emulacji LAPS, musisz rozszerzyć schemat przy użyciu starszych atrybutów LAPS. Ten problem może mieć jedną z następujących przyczyn:

  • Główna przyczyna 1

    Schemat nie został rozszerzony o nowe atrybuty systemu Windows LAPS.

  • Główna przyczyna 2

    Między lokalnym kontrolerem domeny (DC) i podstawowym kontrolerem domeny (PDC) istnieje przejściowy replikacja usługi Active Directory.

  • Główna przyczyna 3

    Problem z replikacją usługi Active Directory na lokalnym kontrolerze domeny.

Rozwiązanie głównej przyczyny 1

Update-LapsADSchema Uruchom polecenie cmdlet programu PowerShell, aby zaktualizować schemat usługi Active Directory przy użyciu uprawnień administratora schematu.

Jeśli używasz starszej emulacji LAPS, rozszerz schemat Update-AdmPwdADSchema za pomocą polecenia cmdlet programu PowerShell (ta akcja wymaga najpierw zainstalowania starszego produktu LAPS).

Rozwiązanie głównej przyczyny 2

Ze względu na opóźnienie replikacji atrybuty schematu nie zostały zreplikowane do lokalnego kontrolera domeny. Możesz użyć przystawki LDP lub ADSIEDIT, aby określić, czy atrybuty schematu systemu Windows LAPS zostały zreplikowane. Wymuś replikację usługi Active Directory partycji schematu za pomocą wzorca schematu przy użyciu następującego polecenia:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Uwaga 16.

  • Zastąp DC2.contoso.com ciąg nazwą kontrolera domeny zidentyfikowaną przez identyfikator zdarzenia 10055 w dziennikach zdarzeń systemu Windows LAPS.
  • Zastąp PDC.contoso.com ciąg nazwą podstawowego kontrolera domeny w twoim środowisku. Kontroler PDC można zidentyfikować przy użyciu nltest /dsgetdc:contoso.com /pdc /force polecenia .

Rozwiązanie głównej przyczyny 3

Wystąpił problem z replikacją usługi Active Directory między lokalnym kontrolerem domeny a innymi kontrolerami domeny w domenie. Identyfikator zdarzenia 10055 można wyświetlić w dziennikach zdarzeń systemu Windows LAPS, aby zweryfikować nazwę kontrolera domeny i uruchomić polecenie w repadmin /showreps celu zidentyfikowania błędów replikacji.

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z replikacją usługi Active Directory.

Identyfikator zdarzenia 10013

LAPS failed to find the currently configured local administrator account

System Windows LAPS odczytuje nazwę administratora lokalnego z zasad grupy lub ustawienia usługi Intune Nazwa konta administratora do zarządzania. Jeśli to ustawienie nie jest skonfigurowane, będzie szukać konta lokalnego z identyfikatorem zabezpieczeń (SID) kończącym się wartością 500 (administrator). Jeśli system Windows LAPS nie może odnaleźć konta, zostanie zarejestrowane zdarzenie o identyfikatorze 10013.

Począwszy od systemu Windows 11 w wersji 24H2 i Windows Server 2025, dodano funkcję umożliwiającą utworzenie zarządzanego użytkownika. Aby uzyskać więcej informacji, zobacz Tryby zarządzania kontami systemu Windows LAPS. W przypadku wcześniejszych wersji konto musi już istnieć.

Rozwiązanie

Sprawdź i upewnij się, że zarządzany użytkownik jest obecny w użytkownikach lokalnych przy użyciu jednej z następujących metod:

  • Użyj pliku lusrmgr.msc , aby otworzyć okno Użytkownicy i grupy lokalne.
  • Uruchom polecenie net user.

    Uwaga 16.

    Upewnij się, że na początku i na końcu konta nie ma spacji końcowych.

Identyfikator zdarzenia 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Jest to zdarzenie stanu na końcu cyklu przetwarzania systemu Windows LAPS. To zdarzenie nie ma głównej przyczyny, więc należy przejrzeć wcześniejsze przetwarzanie zdarzeń, w których system Windows LAPS napotkał problem.

Rozwiązanie

  1. Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom Invoke-lapsPolicyProcessing polecenie cmdlet.
  2. Otwórz Podgląd zdarzeń i przejdź do pozycji Aplikacje i usługi Dzienniki>operacyjne Microsoft>Windows>LAPS.>
  3. Filtruj pod kątem najnowszego przetwarzania zdarzeń rozpoczynających się od identyfikatora zdarzenia 10003 do identyfikatora zdarzenia 10005.
  4. Napraw wszelkie błędy przed identyfikatorem zdarzenia 10017.

Identyfikator zdarzenia 10019

LAPS failed to update the local admin account with the new password

System Windows LAPS nie może zaktualizować hasła konta użytkownika zarządzanego lokalnie na komputerze lokalnym. System Windows LAPS znalazł zarządzanego użytkownika, ale miał problemy ze zmianą hasła.

Rozwiązanie

  • Zidentyfikuj, czy występuje problem z zasobem, taki jak przeciek pamięci, czy problem z pamięcią. Uruchom ponownie maszynę, aby sprawdzić, czy wystąpi podobny błąd.
  • Aplikacja innej firmy lub sterownik filtru, który zarządza tym samym użytkownikiem zarządzanym, nie zezwala na zarządzanie hasłem przez usługę Windows LAPS.

Identyfikator zdarzenia 10025

Azure discovery failed

Urządzenie (dołączone do firmy Microsoft lub dołączone hybrydo) skonfigurowane przy użyciu rozwiązania Windows LAPS do przechowywania haseł w identyfikatorze Entra firmy Microsoft powinno odnaleźć punkt końcowy rejestracji przedsiębiorstwa.

Rozwiązanie

  1. Sprawdź, czy możesz pomyślnie nawiązać połączenie z punktem końcowym rejestracji (https://enterpriseregistration.windows.net). Jeśli otworzysz przeglądarkę Microsoft Edge lub Google Chrome i połączysz się z punktem końcowym rejestracji (https://enterpriseregistration.windows.net), zostanie wyświetlony komunikat "Nieobsługiwana metoda lub punkt końcowy". Ten komunikat oznacza, że można nawiązać połączenie z punktem końcowym rejestracji przedsiębiorstwa.
  2. Jeśli używasz serwera proxy, sprawdź, czy serwer proxy jest skonfigurowany w kontekście systemu. Możesz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień i uruchomić netsh winhttp show proxy polecenie, aby wyświetlić serwer proxy.

Identyfikator zdarzenia 10026

LAPS was unable to authenticate to Azure using the device identity

Ten problem występuje, jeśli występuje problem z podstawowym tokenem odświeżania urządzenia (PRT).

Rozwiązanie

  1. Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
  2. Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
  3. Otwórz wiersz polecenia, uruchom dsregcmd /status polecenie i sprawdź następujące sekcje pod kątem błędów:
    • Device status
    • SSO data
    • Diagnostic data
  4. Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
  5. Rozwiązywanie problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra przy użyciu rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
  6. Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
  7. Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.

Identyfikator zdarzenia 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

System Windows LAPS nie może zaktualizować hasła konta użytkownika zarządzanego lokalnie na komputerze lokalnym. System Windows LAPS znalazł zarządzanego użytkownika, ale miał problemy ze zmianą hasła.

Rozwiązanie

  1. Sprawdź zasady haseł na maszynie, uruchamiając net accounts polecenie w wierszu polecenia. Zweryfikuj dowolne zasady haseł, jeśli nie spełniają kryteriów skonfigurowanych zasad haseł systemu Windows LAPS, takich jak złożoność hasła, długość hasła lub wiek hasła.

  2. Określ, czy ustawienie jest stosowane za pośrednictwem lokalnego obiektu zasad grupy (GPO), obiektu zasad grupy domeny lub ustawień zabezpieczeń lokalnych, uruchamiając GPRESULT /h polecenie . Zmodyfikuj ustawienia obiektu zasad grupy lub zabezpieczeń, aby pasować do ustawień hasła obiektu zasad grupy systemu Windows LAPS. Ustawienia są konfigurowane za pośrednictwem ustawienia Ustawienia hasła w obiekcie zasad grupy lub usłudze Intune (MDM).

    Uwaga 16.

    Zasady haseł skonfigurowane w usłudze Active Directory, lokalnym obiekcie zasad grupy lub ustawieniach zabezpieczeń powinny być zgodne z ustawieniami hasła systemu Windows LAPS lub powinny zawierać ustawienia niższe niż te w konfiguracji ustawień haseł laps systemu Windows.

  3. Sprawdź, czy masz filtry haseł innych firm, które mogą blokować ustawienie hasła.

    1. Pobierz Eksploratora procesów.

    2. Wyodrębnianie i uruchamianie Eksploratora procesów jako administrator.

    3. Wybierz proces LSASS.exe w okienku po lewej stronie.

    4. Wybierz pozycję Widok Pokaż>dolne okienko.

    5. Wybierz pozycję >dolnego okienka.

      Zrzut ekranu przedstawiający Eksploratora procesów z załadowanymi bibliotekami DLL lub modułami.

  4. W dolnym okienku zostaną wyświetlone załadowane biblioteki DLL lub moduły. Zidentyfikuj, czy istnieją jakiekolwiek moduły innych firm, używając pola Nazwa firmy (dowolnych modułów innych niż firma Microsoft).

    Przejrzyj listę bibliotek DLL, aby sprawdzić, czy nazwa biblioteki DLL innej firmy (moduł) zawiera słowa kluczowe, takie jak "zabezpieczenia", "hasło" lub "zasady". Odinstaluj lub zatrzymaj aplikację lub usługę, która może używać tej biblioteki DLL.

Maszyna przyłączona do identyfikatora Entra firmy Microsoft

Identyfikator entra firmy Microsoft lub urządzenia dołączone hybrydowo można zarządzać przy użyciu zarządzania urządzeniami przenośnymi (MDM) (Intune), lokalnych obiektów zasad grupy lub dowolnego podobnego oprogramowania innej firmy.

  1. Sprawdź zasady haseł na maszynie, uruchamiając net accounts polecenie w wierszu polecenia. Zweryfikuj dowolne zasady haseł, jeśli nie spełniają kryteriów skonfigurowanych zasad haseł systemu Windows LAPS, takich jak złożoność hasła, długość hasła lub wiek hasła.
  2. Zidentyfikuj, czy zasady powodujące konflikt są stosowane za pośrednictwem usługi Intune, lokalnego obiektu zasad grupy lub podobnego oprogramowania innej firmy, takiego jak usługa Intune, aby zarządzać zasadami haseł na maszynie.

Identyfikator zdarzenia 10028

LAPS failed to update Azure Active Directory with the new password

Komputer kliencki z systemem Windows LAPS okresowo aktualizuje hasła. To zdarzenie jest wyświetlane, jeśli maszyna kliencka skonfigurowana z systemem Windows LAPS nie może zaktualizować hasła do identyfikatora Entra firmy Microsoft.

Rozwiązanie

  1. Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
  2. Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
  3. Otwórz wiersz polecenia i uruchom dsregcmd /status polecenie , aby sprawdzić następujące sekcje pod kątem błędów:
    • Device status
    • SSO data
    • Diagnostic data
  4. Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
  5. Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
  6. Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
  7. Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.

Identyfikator zdarzenia 10032

LAPS was unable to authenticate to Azure using the device identity

Podczas korzystania z żądania PRT urządzenia mogą występować problemy związane z uwierzytelnianiem entra firmy Microsoft.

Rozwiązanie

  1. Sprawdź, czy włączono funkcję windows LAPS w dzierżawie platformy Azure.
  2. Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
  3. Otwórz wiersz polecenia i uruchom dsregcmd /status polecenie , aby sprawdzić następujące sekcje pod kątem błędów:
    • Device status
    • SSO data
    • Diagnostic data
  4. Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
  5. Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
  6. Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
  7. Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.

Identyfikator zdarzenia 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Podmiot zabezpieczeń szyfrowania jest konfigurowany za pośrednictwem ustawienia Konfiguruj autoryzowane odszyfrowywania haseł przy użyciu obiektu zasad grupy lub rozwiązania MDM (Intune). Wygląda na to, że ustawienie nie jest poprawnie skonfigurowane.

Rozwiązanie

Popraw konfigurację usługi Intune lub obiektu zasad grupy. To ustawienie akceptuje dwie wartości:

  • Identyfikator SID grupy domeny lub użytkownika
  • Nazwa grupy w <nazwa domeny\>nazwa< grupy>, <nazwa> domeny\<nazwa> użytkownika lub <nazwa użytkownika@>nazwa< domeny>

Uwaga 16.

Sprawdź, czy na początku i na końcu ustawienia nie ma spacji końcowych.

Identyfikator zdarzenia 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Podmiot zabezpieczeń szyfrowania jest konfigurowany za pośrednictwem ustawienia Konfiguruj autoryzowane odszyfrowywania haseł przy użyciu obiektu zasad grupy lub rozwiązania MDM (Intune). Ustawienie akceptuje identyfikator SID lub nazwę grupy domeny w <nazwa domeny>\<nazwa> grupy, <nazwa> domeny\<nazwa użytkownika> lub <nazwa użytkownika@>nazwa<> domeny. Błąd występuje, gdy klient systemu Windows LAPS nie może rozpoznać identyfikatora SID jako nazwy lub nazwy identyfikatora SID.

Rozwiązanie

  1. Sprawdź, czy grupa domen istnieje w usłudze Active Directory i nie została usunięta.
  2. Jeśli grupa jest nowo utworzona, poczekaj na zbieżność replikacji usługi Active Directory na lokalnym kontrolerze domeny komputera klienckiego.
  3. Użyj narzędzia Sysinternal PsGetSid, aby ręcznie rozpoznać identyfikator SID lub nazwę.
    1. Pobierz plik PsGetSid.
    2. Wyodrębnij pobrany plik i otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze klienckim, na którym występuje problem.
    3. Uruchom polecenie psgetsid -accepteula <SID> or <Name>. Użyj identyfikatora SID lub nazwy wymienionej w identyfikatorze zdarzenia 10035.
  4. Sprawdź, czy w lesie występują błędy replikacji usługi Active Directory i rozwiąż problemy. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z replikacją usługi Active Directory.

Identyfikator zdarzenia 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Ponawianie próby uwierzytelniania to liczba operacji ponawiania prób zresetowania hasła przy użyciu odpowiedniego katalogu (Microsoft Entra ID lub Active Directory). Jeśli ta liczba przekroczy maksymalną wartość 100 podczas rozruchu, to zdarzenie zostanie wyzwolone.

Rozwiązanie

  1. Tożsamość, jeśli występuje problem podczas nawiązywania połączenia z odpowiednim katalogiem, takim jak Active Directory lub Microsoft Entra ID.
  2. Rozwiązywanie problemów z innymi błędami podczas przetwarzania zdarzeń systemu Windows LAPS.

Identyfikator zdarzenia 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

System Windows LAPS można skonfigurować na potrzeby akcji po uwierzytelnieniu przy użyciu ustawienia Akcje po uwierzytelnieniu z obiektem zasad grupy lub mdm (Intune). W tym scenariuszu ustawienie jest skonfigurowane do ponownego uruchomienia maszyny, jeśli wykryje akcję po uwierzytelnieniu. To zdarzenie oznacza, że maszyna nie może ponownie uruchomić komputera.

Rozwiązanie

  1. Zidentyfikuj, czy jakakolwiek aplikacja blokuje zamknięcie maszyny.
  2. Zidentyfikuj, czy masz uprawnienia niezbędne do zamknięcia maszyny.

Identyfikator zdarzenia 10056

LAPS failed to locate a writable domain controller

Klient systemu Windows LAPS używa operacji modyfikowania protokołu LDAP (Lightweight Directory Access Protocol) do zapisywania haseł w usłudze Active Directory z poziomu klienta systemu Windows LAPS. System Windows LAPS musi odnaleźć zapisywalny kontroler domeny w domenie, aby zapisać hasło konta zarządzanego.

Rozwiązanie

  1. Otwórz wiersz polecenia na maszynie klienckiej i uruchom polecenie:

    nltest /dsgetdc:<Domain Name> /force /writable
    

    Jeśli wystąpi błąd 1355 (nie można odnaleźć kontrolera domeny dla domeny), oznacza to, że musisz rozwiązać problem z odnajdywaniem kontrolera domeny z możliwością zapisu.

  2. Jeśli jesteś w środowisku, w którym masz łączność tylko z zapisywalnym kontrolerem domeny, otwórz porty sieciowe między maszyną kliencką a kontrolerem domeny. Aby uzyskać więcej informacji, zobacz Service overview and network port requirements for Windows (Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows).

Identyfikator zdarzenia 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Podczas zaplanowanego przetwarzania w tle system Windows LAPS musi nawiązać połączenie z kontrolerem domeny. To przetwarzanie odbywa się przy użyciu kontekstu maszyny. Ten błąd pojawia się, jeśli występuje jakikolwiek problem z uwierzytelnianiem usługi Active Directory między maszyną klienta a kontrolerem domeny.

Rozwiązanie

  1. Sprawdź, czy konto komputera nie zostało usunięte w usłudze Active Directory.

  2. Zweryfikuj wszelkie problemy z bezpiecznym kanałem między klientem a kontrolerem domeny, uruchamiając polecenie z podwyższonym poziomem uprawnień:

    nltest /sc_query:<Domain Name>
    
  3. Ponownie dołącz maszynę do domeny.

    Uwaga 16.

    Upewnij się, że znasz hasło administratora lokalnego.

Identyfikator zdarzenia 10059

Azure returned a failure code

Zdarzenie zawiera również błąd HTTP. Błąd występuje podczas nawiązywania połączenia, uwierzytelniania lub aktualizowania hasła do identyfikatora Entra firmy Microsoft.

Rozwiązanie

  1. Sprawdź, czy możesz pomyślnie nawiązać połączenie z punktem końcowym rejestracji firmy Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
  3. Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
  4. Otwórz wiersz polecenia i uruchom dsregcmd /status polecenie , aby sprawdzić następujące sekcje pod kątem błędów:
    • Device status
    • SSO data
    • Diagnostic data
  5. Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
  6. Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
  7. Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
  8. Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.

Identyfikator zdarzenia 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Ten błąd występuje, ponieważ maszyna kliencka systemu Windows LAPS musi zapisywać hasła zarządzanego użytkownika.

Ten problem może wystąpić również w przypadku przeniesienia maszyny do innej jednostki organizacyjnej (OU), a docelowa jednostka organizacyjna nie ma uprawnień do samodzielnego komputera.

Rozwiązanie

  1. Jeśli nie uruchomiono polecenia cmdlet programu Windows LAPS PowerShell w celu przypisania uprawnienia samodzielnego do konta komputera, uruchom następujące polecenie cmdlet:

    Set-LapsADComputerSelfPermission -Identity <OU Name>
    

    Na przykład:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
    Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
    

    Uwaga 16.

    Możesz użyć nazwy wyróżniającej (DN), jeśli masz taką samą nazwę jednostki organizacyjnej, ale w różnych hierarchiach.

  2. Sprawdź, czy konto komputera ma uprawnienie do samodzielnej jednostki organizacyjnej, w której istnieje konto komputera.

Logowanie do kontrolera domeny z uprawnieniami administratora domeny

  1. Otwórz LDP.exe.

  2. Wybierz pozycję >i skonfiguruj serwer i port w następujący sposób:

    Zrzut ekranu przedstawiający narzędzie LDP z otwartym oknem Łączenie.

  3. Wybierz pozycję >, skonfiguruj następujące ustawienia, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający narzędzie LDP z otwartym oknem Wiązanie.

  4. Wybierz pozycję Wyświetl>drzewo. Następnie z listy rozwijanej BaseDN wybierz domenę, w której znajduje się maszyna kliencka.

    Zrzut ekranu przedstawiający narzędzie LDP z otwartym oknem Widok drzewa.

  5. Przejrzyj drzewo domeny, aby zidentyfikować jednostki organizacyjnej, na której znajdują się komputery klienckie. Kliknij prawym przyciskiem myszy jednostkę organizacyjną, a następnie wybierz pozycję Edytuj deskryptora>zabezpieczeń.

    Zrzut ekranu przedstawiający narzędzie LDP z drzewem domeny w okienku po lewej stronie.

  6. Posortuj kolumnę Trustee i znajdź następujące prawa użytkownika w celu NT AUTHORITY\SELF uzyskania uprawnień dla atrybutu msLAPS-Password . Zrzut ekranu przedstawiający narzędzie LDP z otwartym i posortowany według kolumny Trustee (Deskryptor zabezpieczeń).