Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten przewodnik zawiera podstawowe pojęcia, których należy użyć podczas rozwiązywania problemów z rozwiązaniem Windows Local Administrator Password Solution (Windows LAPS).
Windows LAPS to funkcja systemu Windows, która automatycznie zarządza hasłem konta administratora lokalnego i tworzy kopię zapasową na urządzeniach dołączonych do usługi Microsoft Entra lub dołączonych do usługi Active Directory systemu Windows Server. Możesz również użyć systemu Windows LAPS do automatycznego zarządzania i tworzenia kopii zapasowej hasła konta trybu naprawy usług katalogowych (DSRM) na kontrolerach domeny usługi Active Directory systemu Windows Server. Autoryzowany administrator może pobrać hasło dsRM i użyć go. Aby uzyskać więcej informacji, zobacz Co to jest system Windows LAPS?
Uwaga 16.
- Ten artykuł jest przeznaczony dla systemu Windows LAPS (nowa funkcja), a nie dla starszej wersji LAPS lub starszej wersji LAPS.
- W tym artykule wymieniono tylko niektóre z najważniejszych możliwych głównych przyczyn. Inne przyczyny mogą również istnieć, ale pozostają nieodkryte.
- Poniższa lista zawiera najbardziej typowe identyfikatory zdarzeń i może nie zawierać wszystkich zdarzeń systemu Windows LAPS.
Rozwiązywanie problemów z systemem Windows LAPS przy użyciu zdarzeń systemu Windows
Aby wyświetlić zdarzenia systemu Windows LAPS, przejdź do pozycji >operacyjne Microsoft>Windows>LAPS> w Podgląd zdarzeń.
Uwaga 16.
- Przetwarzanie rozwiązania Windows LAPS rozpoczyna się od zdarzenia o identyfikatorze 10003 i kończy zdarzeniem o identyfikatorze 10004.
- Jeśli przetwarzanie bieżącego cyklu zakończy się niepowodzeniem z jakiegokolwiek powodu, zostanie zarejestrowane zdarzenie o identyfikatorze 10005.
System Windows LAPS ma dwa scenariusze:
Windows LAPS Active Directory
Maszyny klienckie są skonfigurowane do przechowywania hasła w usłudze Active Directory.
Windows LAPS Azure Microsoft Entra ID
Maszyny klienckie są skonfigurowane do przechowywania hasła w usłudze Microsoft Entra ID.
W poniższej tabeli wymieniono identyfikatory zdarzeń, które są rejestrowane w różnych scenariuszach:
| Identyfikator zdarzenia | Scenariusz |
|---|---|
| 10006 | Windows LAPS Active Directory |
| 10011 | Windows LAPS Active Directory |
| 10012 | Windows LAPS Active Directory |
| 10013 | Windows LAPS Active Directory i Microsoft Entra ID |
| 10017 | Windows LAPS Active Directory |
| 10019 | Windows LAPS Active Directory i Microsoft Entra ID |
| 10025 | Windows LAPS Microsoft Entra ID |
| 10026 | Windows LAPS Microsoft Entra ID |
| 10027 | Windows LAPS Active Directory i Microsoft Entra ID |
| 10028 | Windows LAPS Microsoft Entra ID |
| 10032 | Windows LAPS Microsoft Entra ID |
| 10034 | Windows LAPS Active Directory |
| 10035 | Windows LAPS Active Directory |
| 10048 | Windows LAPS Active Directory i Microsoft Entra ID |
| 10049 | Windows LAPS Active Directory i Microsoft Entra ID |
| 10056 | Windows LAPS Active Directory |
| 10057 | Windows LAPS Active Directory |
| 10059 | Windows LAPS Microsoft Entra ID |
| 10065 | Windows LAPS Active Directory |
Identyfikator zdarzenia 10006
LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected
Domyślnie Windows LAPS szyfruje hasło konta zarządzanego na komputerze klienckim. Aby zapewnić obsługę szyfrowania, poziom funkcjonalności domeny powinien być systemem Windows Server 2016.
Rozwiązanie
- W razie potrzeby podnieś poziom funkcjonalności domeny.
- Wyłącz zasady grupy Włącz szyfrowanie haseł dla maszyn klienckich.
Uwaga 16.
Nie zalecamy wyłączania szyfrowania haseł przechowywanego na kontrolerze domeny.
Identyfikator zdarzenia 10011
LAPS failed when querying Active Directory for the current computer state
Windows LAPS okresowo (co godzinę) wysyła zapytanie do usługi Active Directory o stan komputera, a maszyna kliencka za pomocą usługi Netlogon odnajduje na nim kontroler domeny.
Rozwiązanie
Jeśli jesteś w środowisku, w którym masz łączność tylko z zapisywalnym kontrolerem domeny, otwórz porty sieciowe między maszyną kliencką a kontrolerem domeny.
Aby uzyskać więcej informacji, zobacz Service overview and network port requirements for Windows (Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows).
Identyfikator zdarzenia 10012
The Active Directory schema has not been updated with the necessary LAPS attributes
Aby wprowadzić system Windows LAPS, należy rozszerzyć schemat za pomocą atrybutów systemu Windows LAPS. Lub, jeśli używasz systemu Windows LAPS w starszym trybie emulacji LAPS, musisz rozszerzyć schemat przy użyciu starszych atrybutów LAPS. Ten problem może mieć jedną z następujących przyczyn:
Główna przyczyna 1
Schemat nie został rozszerzony o nowe atrybuty systemu Windows LAPS.
Główna przyczyna 2
Między lokalnym kontrolerem domeny (DC) i podstawowym kontrolerem domeny (PDC) istnieje przejściowy replikacja usługi Active Directory.
Główna przyczyna 3
Problem z replikacją usługi Active Directory na lokalnym kontrolerze domeny.
Rozwiązanie głównej przyczyny 1
Update-LapsADSchema Uruchom polecenie cmdlet programu PowerShell, aby zaktualizować schemat usługi Active Directory przy użyciu uprawnień administratora schematu.
Jeśli używasz starszej emulacji LAPS, rozszerz schemat Update-AdmPwdADSchema za pomocą polecenia cmdlet programu PowerShell (ta akcja wymaga najpierw zainstalowania starszego produktu LAPS).
Rozwiązanie głównej przyczyny 2
Ze względu na opóźnienie replikacji atrybuty schematu nie zostały zreplikowane do lokalnego kontrolera domeny. Możesz użyć przystawki LDP lub ADSIEDIT, aby określić, czy atrybuty schematu systemu Windows LAPS zostały zreplikowane. Wymuś replikację usługi Active Directory partycji schematu za pomocą wzorca schematu przy użyciu następującego polecenia:
repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force
Uwaga 16.
- Zastąp
DC2.contoso.comciąg nazwą kontrolera domeny zidentyfikowaną przez identyfikator zdarzenia 10055 w dziennikach zdarzeń systemu Windows LAPS. - Zastąp
PDC.contoso.comciąg nazwą podstawowego kontrolera domeny w twoim środowisku. Kontroler PDC można zidentyfikować przy użyciunltest /dsgetdc:contoso.com /pdc /forcepolecenia .
Rozwiązanie głównej przyczyny 3
Wystąpił problem z replikacją usługi Active Directory między lokalnym kontrolerem domeny a innymi kontrolerami domeny w domenie. Identyfikator zdarzenia 10055 można wyświetlić w dziennikach zdarzeń systemu Windows LAPS, aby zweryfikować nazwę kontrolera domeny i uruchomić polecenie w repadmin /showreps celu zidentyfikowania błędów replikacji.
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z replikacją usługi Active Directory.
Identyfikator zdarzenia 10013
LAPS failed to find the currently configured local administrator account
System Windows LAPS odczytuje nazwę administratora lokalnego z zasad grupy lub ustawienia usługi Intune Nazwa konta administratora do zarządzania. Jeśli to ustawienie nie jest skonfigurowane, będzie szukać konta lokalnego z identyfikatorem zabezpieczeń (SID) kończącym się wartością 500 (administrator). Jeśli system Windows LAPS nie może odnaleźć konta, zostanie zarejestrowane zdarzenie o identyfikatorze 10013.
Począwszy od systemu Windows 11 w wersji 24H2 i Windows Server 2025, dodano funkcję umożliwiającą utworzenie zarządzanego użytkownika. Aby uzyskać więcej informacji, zobacz Tryby zarządzania kontami systemu Windows LAPS. W przypadku wcześniejszych wersji konto musi już istnieć.
Rozwiązanie
Sprawdź i upewnij się, że zarządzany użytkownik jest obecny w użytkownikach lokalnych przy użyciu jednej z następujących metod:
- Użyj pliku lusrmgr.msc , aby otworzyć okno Użytkownicy i grupy lokalne.
- Uruchom polecenie
net user.Uwaga 16.
Upewnij się, że na początku i na końcu konta nie ma spacji końcowych.
Identyfikator zdarzenia 10017
LAPS failed to update Active Directory with the new password. The current password has not been modified
Jest to zdarzenie stanu na końcu cyklu przetwarzania systemu Windows LAPS. To zdarzenie nie ma głównej przyczyny, więc należy przejrzeć wcześniejsze przetwarzanie zdarzeń, w których system Windows LAPS napotkał problem.
Rozwiązanie
- Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom
Invoke-lapsPolicyProcessingpolecenie cmdlet. - Otwórz Podgląd zdarzeń i przejdź do pozycji Aplikacje i usługi Dzienniki>operacyjne Microsoft>Windows>LAPS.>
- Filtruj pod kątem najnowszego przetwarzania zdarzeń rozpoczynających się od identyfikatora zdarzenia 10003 do identyfikatora zdarzenia 10005.
- Napraw wszelkie błędy przed identyfikatorem zdarzenia 10017.
Identyfikator zdarzenia 10019
LAPS failed to update the local admin account with the new password
System Windows LAPS nie może zaktualizować hasła konta użytkownika zarządzanego lokalnie na komputerze lokalnym. System Windows LAPS znalazł zarządzanego użytkownika, ale miał problemy ze zmianą hasła.
Rozwiązanie
- Zidentyfikuj, czy występuje problem z zasobem, taki jak przeciek pamięci, czy problem z pamięcią. Uruchom ponownie maszynę, aby sprawdzić, czy wystąpi podobny błąd.
- Aplikacja innej firmy lub sterownik filtru, który zarządza tym samym użytkownikiem zarządzanym, nie zezwala na zarządzanie hasłem przez usługę Windows LAPS.
Identyfikator zdarzenia 10025
Azure discovery failed
Urządzenie (dołączone do firmy Microsoft lub dołączone hybrydo) skonfigurowane przy użyciu rozwiązania Windows LAPS do przechowywania haseł w identyfikatorze Entra firmy Microsoft powinno odnaleźć punkt końcowy rejestracji przedsiębiorstwa.
Rozwiązanie
- Sprawdź, czy możesz pomyślnie nawiązać połączenie z punktem końcowym rejestracji (
https://enterpriseregistration.windows.net). Jeśli otworzysz przeglądarkę Microsoft Edge lub Google Chrome i połączysz się z punktem końcowym rejestracji (https://enterpriseregistration.windows.net), zostanie wyświetlony komunikat "Nieobsługiwana metoda lub punkt końcowy". Ten komunikat oznacza, że można nawiązać połączenie z punktem końcowym rejestracji przedsiębiorstwa. - Jeśli używasz serwera proxy, sprawdź, czy serwer proxy jest skonfigurowany w kontekście systemu. Możesz otworzyć wiersz polecenia z podwyższonym poziomem uprawnień i uruchomić
netsh winhttp show proxypolecenie, aby wyświetlić serwer proxy.
Identyfikator zdarzenia 10026
LAPS was unable to authenticate to Azure using the device identity
Ten problem występuje, jeśli występuje problem z podstawowym tokenem odświeżania urządzenia (PRT).
Rozwiązanie
- Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
- Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
- Otwórz wiersz polecenia, uruchom
dsregcmd /statuspolecenie i sprawdź następujące sekcje pod kątem błędów:Device statusSSO dataDiagnostic data
- Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
- Rozwiązywanie problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra przy użyciu rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
- Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
- Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.
Identyfikator zdarzenia 10027
LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings
System Windows LAPS nie może zaktualizować hasła konta użytkownika zarządzanego lokalnie na komputerze lokalnym. System Windows LAPS znalazł zarządzanego użytkownika, ale miał problemy ze zmianą hasła.
Rozwiązanie
Sprawdź zasady haseł na maszynie, uruchamiając
net accountspolecenie w wierszu polecenia. Zweryfikuj dowolne zasady haseł, jeśli nie spełniają kryteriów skonfigurowanych zasad haseł systemu Windows LAPS, takich jak złożoność hasła, długość hasła lub wiek hasła.Określ, czy ustawienie jest stosowane za pośrednictwem lokalnego obiektu zasad grupy (GPO), obiektu zasad grupy domeny lub ustawień zabezpieczeń lokalnych, uruchamiając
GPRESULT /hpolecenie . Zmodyfikuj ustawienia obiektu zasad grupy lub zabezpieczeń, aby pasować do ustawień hasła obiektu zasad grupy systemu Windows LAPS. Ustawienia są konfigurowane za pośrednictwem ustawienia Ustawienia hasła w obiekcie zasad grupy lub usłudze Intune (MDM).Uwaga 16.
Zasady haseł skonfigurowane w usłudze Active Directory, lokalnym obiekcie zasad grupy lub ustawieniach zabezpieczeń powinny być zgodne z ustawieniami hasła systemu Windows LAPS lub powinny zawierać ustawienia niższe niż te w konfiguracji ustawień haseł laps systemu Windows.
Sprawdź, czy masz filtry haseł innych firm, które mogą blokować ustawienie hasła.
Pobierz Eksploratora procesów.
Wyodrębnianie i uruchamianie Eksploratora procesów jako administrator.
Wybierz proces LSASS.exe w okienku po lewej stronie.
Wybierz pozycję Widok Pokaż>dolne okienko.
Wybierz pozycję >dolnego okienka.
W dolnym okienku zostaną wyświetlone załadowane biblioteki DLL lub moduły. Zidentyfikuj, czy istnieją jakiekolwiek moduły innych firm, używając pola Nazwa firmy (dowolnych modułów innych niż firma Microsoft).
Przejrzyj listę bibliotek DLL, aby sprawdzić, czy nazwa biblioteki DLL innej firmy (moduł) zawiera słowa kluczowe, takie jak "zabezpieczenia", "hasło" lub "zasady". Odinstaluj lub zatrzymaj aplikację lub usługę, która może używać tej biblioteki DLL.
Maszyna przyłączona do identyfikatora Entra firmy Microsoft
Identyfikator entra firmy Microsoft lub urządzenia dołączone hybrydowo można zarządzać przy użyciu zarządzania urządzeniami przenośnymi (MDM) (Intune), lokalnych obiektów zasad grupy lub dowolnego podobnego oprogramowania innej firmy.
- Sprawdź zasady haseł na maszynie, uruchamiając
net accountspolecenie w wierszu polecenia. Zweryfikuj dowolne zasady haseł, jeśli nie spełniają kryteriów skonfigurowanych zasad haseł systemu Windows LAPS, takich jak złożoność hasła, długość hasła lub wiek hasła. - Zidentyfikuj, czy zasady powodujące konflikt są stosowane za pośrednictwem usługi Intune, lokalnego obiektu zasad grupy lub podobnego oprogramowania innej firmy, takiego jak usługa Intune, aby zarządzać zasadami haseł na maszynie.
Identyfikator zdarzenia 10028
LAPS failed to update Azure Active Directory with the new password
Komputer kliencki z systemem Windows LAPS okresowo aktualizuje hasła. To zdarzenie jest wyświetlane, jeśli maszyna kliencka skonfigurowana z systemem Windows LAPS nie może zaktualizować hasła do identyfikatora Entra firmy Microsoft.
Rozwiązanie
- Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
- Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
- Otwórz wiersz polecenia i uruchom
dsregcmd /statuspolecenie , aby sprawdzić następujące sekcje pod kątem błędów:Device statusSSO dataDiagnostic data
- Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
- Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
- Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
- Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.
Identyfikator zdarzenia 10032
LAPS was unable to authenticate to Azure using the device identity
Podczas korzystania z żądania PRT urządzenia mogą występować problemy związane z uwierzytelnianiem entra firmy Microsoft.
Rozwiązanie
- Sprawdź, czy włączono funkcję windows LAPS w dzierżawie platformy Azure.
- Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
- Otwórz wiersz polecenia i uruchom
dsregcmd /statuspolecenie , aby sprawdzić następujące sekcje pod kątem błędów:Device statusSSO dataDiagnostic data
- Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
- Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
- Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
- Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.
Identyfikator zdarzenia 10034
The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.
Podmiot zabezpieczeń szyfrowania jest konfigurowany za pośrednictwem ustawienia Konfiguruj autoryzowane odszyfrowywania haseł przy użyciu obiektu zasad grupy lub rozwiązania MDM (Intune). Wygląda na to, że ustawienie nie jest poprawnie skonfigurowane.
Rozwiązanie
Popraw konfigurację usługi Intune lub obiektu zasad grupy. To ustawienie akceptuje dwie wartości:
- Identyfikator SID grupy domeny lub użytkownika
- Nazwa grupy w <nazwa domeny\>nazwa< grupy>, <nazwa> domeny\<nazwa> użytkownika lub <nazwa użytkownika@>nazwa< domeny>
Uwaga 16.
Sprawdź, czy na początku i na końcu ustawienia nie ma spacji końcowych.
Identyfikator zdarzenia 10035
The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.
Podmiot zabezpieczeń szyfrowania jest konfigurowany za pośrednictwem ustawienia Konfiguruj autoryzowane odszyfrowywania haseł przy użyciu obiektu zasad grupy lub rozwiązania MDM (Intune). Ustawienie akceptuje identyfikator SID lub nazwę grupy domeny w <nazwa domeny>\<nazwa> grupy, <nazwa> domeny\<nazwa użytkownika> lub <nazwa użytkownika@>nazwa<> domeny. Błąd występuje, gdy klient systemu Windows LAPS nie może rozpoznać identyfikatora SID jako nazwy lub nazwy identyfikatora SID.
Rozwiązanie
- Sprawdź, czy grupa domen istnieje w usłudze Active Directory i nie została usunięta.
- Jeśli grupa jest nowo utworzona, poczekaj na zbieżność replikacji usługi Active Directory na lokalnym kontrolerze domeny komputera klienckiego.
- Użyj narzędzia Sysinternal PsGetSid, aby ręcznie rozpoznać identyfikator SID lub nazwę.
- Pobierz plik PsGetSid.
- Wyodrębnij pobrany plik i otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze klienckim, na którym występuje problem.
- Uruchom polecenie
psgetsid -accepteula <SID> or <Name>. Użyj identyfikatora SID lub nazwy wymienionej w identyfikatorze zdarzenia 10035.
- Sprawdź, czy w lesie występują błędy replikacji usługi Active Directory i rozwiąż problemy. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z replikacją usługi Active Directory.
Identyfikator zdarzenia 10048
The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled
Ponawianie próby uwierzytelniania to liczba operacji ponawiania prób zresetowania hasła przy użyciu odpowiedniego katalogu (Microsoft Entra ID lub Active Directory). Jeśli ta liczba przekroczy maksymalną wartość 100 podczas rozruchu, to zdarzenie zostanie wyzwolone.
Rozwiązanie
- Tożsamość, jeśli występuje problem podczas nawiązywania połączenia z odpowiednim katalogiem, takim jak Active Directory lub Microsoft Entra ID.
- Rozwiązywanie problemów z innymi błędami podczas przetwarzania zdarzeń systemu Windows LAPS.
Identyfikator zdarzenia 10049
LAPS attempted to reboot the machine as a post-authentication action but the operation failed
System Windows LAPS można skonfigurować na potrzeby akcji po uwierzytelnieniu przy użyciu ustawienia Akcje po uwierzytelnieniu z obiektem zasad grupy lub mdm (Intune). W tym scenariuszu ustawienie jest skonfigurowane do ponownego uruchomienia maszyny, jeśli wykryje akcję po uwierzytelnieniu. To zdarzenie oznacza, że maszyna nie może ponownie uruchomić komputera.
Rozwiązanie
- Zidentyfikuj, czy jakakolwiek aplikacja blokuje zamknięcie maszyny.
- Zidentyfikuj, czy masz uprawnienia niezbędne do zamknięcia maszyny.
Identyfikator zdarzenia 10056
LAPS failed to locate a writable domain controller
Klient systemu Windows LAPS używa operacji modyfikowania protokołu LDAP (Lightweight Directory Access Protocol) do zapisywania haseł w usłudze Active Directory z poziomu klienta systemu Windows LAPS. System Windows LAPS musi odnaleźć zapisywalny kontroler domeny w domenie, aby zapisać hasło konta zarządzanego.
Rozwiązanie
Otwórz wiersz polecenia na maszynie klienckiej i uruchom polecenie:
nltest /dsgetdc:<Domain Name> /force /writableJeśli wystąpi błąd 1355 (nie można odnaleźć kontrolera domeny dla domeny), oznacza to, że musisz rozwiązać problem z odnajdywaniem kontrolera domeny z możliwością zapisu.
Jeśli jesteś w środowisku, w którym masz łączność tylko z zapisywalnym kontrolerem domeny, otwórz porty sieciowe między maszyną kliencką a kontrolerem domeny. Aby uzyskać więcej informacji, zobacz Service overview and network port requirements for Windows (Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows).
Identyfikator zdarzenia 10057
LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:
Podczas zaplanowanego przetwarzania w tle system Windows LAPS musi nawiązać połączenie z kontrolerem domeny. To przetwarzanie odbywa się przy użyciu kontekstu maszyny. Ten błąd pojawia się, jeśli występuje jakikolwiek problem z uwierzytelnianiem usługi Active Directory między maszyną klienta a kontrolerem domeny.
Rozwiązanie
Sprawdź, czy konto komputera nie zostało usunięte w usłudze Active Directory.
Zweryfikuj wszelkie problemy z bezpiecznym kanałem między klientem a kontrolerem domeny, uruchamiając polecenie z podwyższonym poziomem uprawnień:
nltest /sc_query:<Domain Name>Ponownie dołącz maszynę do domeny.
Uwaga 16.
Upewnij się, że znasz hasło administratora lokalnego.
Identyfikator zdarzenia 10059
Azure returned a failure code
Zdarzenie zawiera również błąd HTTP. Błąd występuje podczas nawiązywania połączenia, uwierzytelniania lub aktualizowania hasła do identyfikatora Entra firmy Microsoft.
Rozwiązanie
- Sprawdź, czy możesz pomyślnie nawiązać połączenie z punktem końcowym rejestracji firmy Microsoft Entra (
https://enterpriseregistration.windows.net). - Sprawdź, czy włączono funkcję WINDOWS LAPS w dzierżawie platformy Azure.
- Sprawdź, czy maszyna nie została usunięta ani wyłączona w dzierżawie platformy Azure.
- Otwórz wiersz polecenia i uruchom
dsregcmd /statuspolecenie , aby sprawdzić następujące sekcje pod kątem błędów:Device statusSSO dataDiagnostic data
- Sprawdź komunikat o błędzie przy użyciu polecenia dsregcmd i rozwiąż problem.
- Aby rozwiązać problemy z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra, skorzystaj z rozwiązania problemów z urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra.
- Użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń, aby zidentyfikować i rozwiązać problemy z rejestracją urządzeń.
- Jeśli zostanie wyświetlony komunikat o błędzie, zobacz Kody błędów uwierzytelniania i autoryzacji firmy Microsoft, aby uzyskać opis błędu i dalsze rozwiązywanie problemów.
Identyfikator zdarzenia 10065
LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:
Ten błąd występuje, ponieważ maszyna kliencka systemu Windows LAPS musi zapisywać hasła zarządzanego użytkownika.
Ten problem może wystąpić również w przypadku przeniesienia maszyny do innej jednostki organizacyjnej (OU), a docelowa jednostka organizacyjna nie ma uprawnień do samodzielnego komputera.
Rozwiązanie
Jeśli nie uruchomiono polecenia cmdlet programu Windows LAPS PowerShell w celu przypisania uprawnienia samodzielnego do konta komputera, uruchom następujące polecenie cmdlet:
Set-LapsADComputerSelfPermission -Identity <OU Name>Na przykład:
Set-LapsADComputerSelfPermission -Identity LAPSOU Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=ComUwaga 16.
Możesz użyć nazwy wyróżniającej (DN), jeśli masz taką samą nazwę jednostki organizacyjnej, ale w różnych hierarchiach.
Sprawdź, czy konto komputera ma uprawnienie do samodzielnej jednostki organizacyjnej, w której istnieje konto komputera.
Logowanie do kontrolera domeny z uprawnieniami administratora domeny
Otwórz LDP.exe.
Wybierz pozycję >i skonfiguruj serwer i port w następujący sposób:
Wybierz pozycję >, skonfiguruj następujące ustawienia, a następnie wybierz przycisk OK.
Wybierz pozycję Wyświetl>drzewo. Następnie z listy rozwijanej BaseDN wybierz domenę, w której znajduje się maszyna kliencka.
Przejrzyj drzewo domeny, aby zidentyfikować jednostki organizacyjnej, na której znajdują się komputery klienckie. Kliknij prawym przyciskiem myszy jednostkę organizacyjną, a następnie wybierz pozycję Edytuj deskryptora>zabezpieczeń.
Posortuj kolumnę Trustee i znajdź następujące prawa użytkownika w celu
NT AUTHORITY\SELFuzyskania uprawnień dla atrybutumsLAPS-Password.