Compartilhar via

Diretrizes de solução de problemas do Windows LAPS

  • Artigo

Este guia fornece os conceitos fundamentais a serem usados ao solucionar problemas de Windows Local Administrator Password Solution (Windows LAPS).

O Windows LAPS é um recurso do Windows que gerencia e faz backup automático da senha de uma conta de administrador local em seu Microsoft Entra dispositivos ingressados ou Windows Server Active Directory ingressados. Você também pode usar o Windows LAPS para gerenciar e fazer backup automático da senha da conta DSRM (Modo de Reparo dos Serviços de Diretório) em seus controladores de domínio Windows Server Active Directory. Um administrador autorizado pode recuperar a senha DSRM e usá-la. Para obter mais informações, confira O que é o Windows LAPS?

Observação

  • Este artigo é para o Windows LAPS (o novo recurso), não para o LAPS herdado ou para a versão mais antiga do LAPS.
  • Este artigo lista apenas algumas das principais causas raiz possíveis. Outras causas também podem existir, mas permanecem desconhecidas.
  • A lista a seguir contém as IDs de evento mais comuns e pode não incluir todos os eventos do Windows LAPS.

Solução de problemas do Windows LAPS usando eventos do Windows

Para exibir eventos do Windows LAPS, acesse Logs de Aplicativos e Serviços>Microsoft>Windows>LAPS>Operacional em Visualizador de Eventos.

Observação

  • O processamento do Windows LAPS começa com a ID do Evento 10003 e termina com a ID do Evento 10004.
  • Se o processamento do ciclo atual falhar por qualquer motivo, a ID de Evento 10005 será registrada.

O Windows LAPS tem dois cenários:

  • Windows LAPS Active Directory

    Os computadores cliente são configurados para armazenar a senha no Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Os computadores cliente são configurados para armazenar a senha no Microsoft Entra ID.

A tabela a seguir lista as IDs de evento registradas em diferentes cenários:

ID do Evento Cenário
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory e Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory e Microsoft Entra ID
10025 Microsoft Entra ID do Windows LAPS
10026 Microsoft Entra ID do Windows LAPS
10027 Windows LAPS Active Directory e Microsoft Entra ID
10028 Microsoft Entra ID do Windows LAPS
10032 Microsoft Entra ID do Windows LAPS
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory e Microsoft Entra ID
10049 Windows LAPS Active Directory e Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Microsoft Entra ID do Windows LAPS
10065 Windows LAPS Active Directory

ID do evento 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Por padrão, o Windows LAPS criptografa a senha da conta gerenciada no computador cliente. Para dar suporte à criptografia, o nível funcional do domínio deve ser Windows Server 2016.

Resolução

  1. Eleve o nível funcional do domínio, se necessário.
  2. Desabilite o Política de Grupo Habilitar criptografia de senha para computadores cliente.

    Observação

    Não recomendamos desabilitar a criptografia de senha armazenada no controlador de domínio.

ID do evento 10011

LAPS failed when querying Active Directory for the current computer state

O Windows LAPS consulta periodicamente (a cada hora) o Active Directory para o estado do computador e o computador cliente usa o serviço Netlogon para descobrir um controlador de domínio nele.

Resolução

Se você estiver em um ambiente em que tenha conectividade apenas com um controlador de domínio gravável, abra as portas de rede entre o computador cliente e o controlador de domínio.

Para obter mais informações, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

ID do evento 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Para apresentar o Windows LAPS, você precisa estender o esquema com atributos do Windows LAPS. Ou, se você estiver usando o Windows LAPS no modo de emulação herdado do LAPS, precisará estender o esquema com os atributos laps herdados. Este problema ocorre por um dos seguintes motivos:

  • Causa raiz 1

    O esquema não foi estendido com os novos atributos do Windows LAPS.

  • Causa raiz 2

    Existe uma replicação transitória do Active Directory entre o DC (controlador de domínio local) e o controlador de domínio primário (PDC).

  • Causa raiz 3

    Um problema de replicação do Active Directory no controlador de domínio local.

Resolução para causa raiz 1

Execute o cmdlet do Update-LapsADSchema PowerShell para atualizar o esquema do Active Directory usando privilégios de Administração de esquema.

Se você estiver usando a emulação herdada do LAPS, estenda o esquema com o cmdlet do Update-AdmPwdADSchema PowerShell (essa ação requer a instalação do produto laps herdado primeiro).

Resolução para a causa raiz 2

Devido à latência de replicação, os atributos de esquema não foram replicados para o controlador de domínio local. Você pode usar o snap-in LDP ou ADSIEDIT para identificar se os atributos de esquema do Windows LAPS foram replicados. Force a replicação do Active Directory da partição de esquema com o esquema master usando o seguinte comando:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Observação

  • Substitua DC2.contoso.com pelo nome do DC identificado pela ID de Evento 10055 nos logs de eventos do Windows LAPS.
  • Substitua PDC.contoso.com pelo nome do PDC em seu ambiente. Você pode identificar o PDC usando o nltest /dsgetdc:contoso.com /pdc /force comando.

Resolução para causa raiz 3

Há um problema de replicação do Active Directory entre o controlador de domínio local e outros controladores de domínio no domínio. Você pode exibir a ID do Evento 10055 nos logs de eventos do Windows LAPS para verificar o nome do controlador de domínio e executar o repadmin /showreps comando para identificar quaisquer erros de replicação.

Para obter mais informações, confira Solução de problemas de replicação do Active Directory.

ID do evento 10013

LAPS failed to find the currently configured local administrator account

O Windows LAPS lê o nome do administrador local de Política de Grupo ou a configuração Intune Nome da conta de administrador a ser gerenciada. Se essa configuração não estiver configurada, ela procurará a conta local com um SID (identificador de segurança) terminando com 500 (administrador). Se o Windows LAPS não conseguir localizar a conta, a ID do Evento 10013 será registrada.

Na versão atual do Windows LAPS, não há nenhum recurso para criar o usuário gerenciado.

Resolução

Verifique e verifique se o usuário gerenciado está presente em usuários locais usando um dos seguintes métodos:

  • Use lusrmgr.msc para abrir usuários e grupos locais.
  • Execute o comando net user.

    Observação

    Verifique se não há espaços à direita no início e no final da conta.

ID do evento 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Este é um evento status no final de um ciclo de processamento do Windows LAPS. Esse evento não tem nenhuma causa raiz, portanto, você precisa examinar o processamento anterior dos eventos em que o Windows LAPS encontrou um problema.

Resolução

  1. Abra um prompt de comando do PowerShell elevado e execute o Invoke-lapsPolicyProcessing cmdlet.
  2. Abra Visualizador de Eventos e acesse Logs de Aplicativos e Serviços>Microsoft>Windows>LAPS>Operacional.
  3. Filtrar para o processamento mais recente de eventos a partir da ID do Evento 10003 até a ID do Evento 10005.
  4. Corrija todos os erros antes da ID do evento 10017.

ID do evento 10019

LAPS failed to update the local admin account with the new password

O Windows LAPS não pode atualizar a senha da conta de usuário gerenciada localmente no computador local. O Windows LAPS encontrou o usuário gerenciado, mas teve problemas para alterar a senha.

Resolução

  • Identifique se há um problema de recurso como um vazamento de memória ou um problema de memória. Reinicialize o computador para verificar se você observa um erro semelhante.
  • Um aplicativo ou driver de filtro de terceiros que está gerenciando o mesmo usuário gerenciado não permite que o Windows LAPS gerencie a senha.

ID do evento 10025

Azure discovery failed

O dispositivo (Microsoft Entra ingressado ou híbrido) configurado com o Windows LAPS para armazenar senhas no Microsoft Entra ID deve descobrir o Ponto de Extremidade de Registro Empresarial.

Resolução

  1. Verifique se você pode se conectar com êxito ao ponto de extremidade de registro (https://enterpriseregistration.windows.net). Se você abrir o Microsoft Edge ou o Google Chrome e se conectar ao ponto de extremidade de registro (https://enterpriseregistration.windows.net), receberá uma mensagem "Ponto de extremidade não encontrado". Essa mensagem significa que você pode se conectar ao Ponto de Extremidade de Registro da Empresa.
  2. Se você estiver usando um servidor proxy, verifique se o proxy está configurado no contexto do sistema. Você pode abrir um prompt de comando elevado e executar o netsh winhttp show proxy comando para exibir o proxy.

ID do evento 10026

LAPS was unable to authenticate to Azure using the device identity

Esse problema ocorrerá se houver um problema com o PRT (Token de Atualização Primária) do dispositivo.

Resolução

  1. Verifique se você habilitou o recurso laps do Windows em seu locatário do Azure.
  2. Verifique se o computador não está excluído ou desabilitado no locatário do Azure.
  3. Abra um prompt de comando, execute o dsregcmd /status comando e marcar as seguintes seções para quaisquer erros:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e resolva o problema.
  5. Solucionar problemas Microsoft Entra dispositivos híbridos ingressados usando a solução de problemas Microsoft Entra dispositivos híbridos ingressados.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Microsoft Entra códigos de erro de autenticação e autorização para obter a descrição do erro e a solução de problemas adicionais.

ID do evento 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

O Windows LAPS não pode atualizar a senha da conta de usuário gerenciada localmente no computador local. O Windows LAPS encontrou o usuário gerenciado, mas teve problemas para alterar a senha.

Resolução

  1. Verifique a política de senha no computador executando o net accounts comando em um prompt de comando. Valide qualquer uma das políticas de senha se elas não atenderem aos critérios da política de senha configurada do Windows LAPS, como a complexidade da senha, o tamanho da senha ou a idade da senha.

  2. Identifique se a configuração é aplicada por meio de um GPO (Objeto Política de Grupo local), um GPO de Domínio ou Configurações de Segurança Local executando o GPRESULT /h comando. Modifique as configurações de GPO ou segurança para corresponder às configurações de senha de GPO do Windows LAPS. As configurações são configuradas por meio da configuração Configurações de Senha no GPO ou Intune (MDM).

    Observação

    Suas políticas de senha configuradas no Active Directory, gpo local ou configurações de segurança devem corresponder às configurações de senha do Windows LAPS ou devem conter configurações inferiores às da configuração configurações de senha do Windows LAPS.

  3. Verifique se você tem filtros de senha de terceiros que possam estar bloqueando a configuração da senha.

    1. Baixar Explorer de processo.

    2. Extrair e executar Explorer de processo como administrador.

    3. Selecione o processo LSASS.exe no painel esquerdo.

    4. Selecione Exibir>Mostrar Painel Inferior.

    5. Selecione Exibir>DLLs de exibição> depainel inferior.

      Captura de tela do Processo Explorer com dlls ou módulos carregados.

  4. O painel inferior exibe as DLLs carregadas ou módulos. Identifique se há módulos de terceiros usando o campo Nome da Empresa (qualquer módulo diferente da Microsoft).

    Examine a lista de DLL para identificar se o nome da DLL (módulo) de terceiros tem algumas palavras-chave como "segurança", "senha" ou "políticas". Desinstale ou interrompa o aplicativo ou o serviço que pode estar usando essa DLL.

Máquina ingressada no Microsoft Entra ID

Microsoft Entra ID ou dispositivos híbridos ingressados podem ser gerenciados usando MDM (gerenciamento de dispositivo móvel) (Intune), GPOs locais ou qualquer software de terceiros semelhante.

  1. Verifique a política de senha no computador executando o net accounts comando em um prompt de comando. Valide qualquer uma das políticas de senha se elas não atenderem aos critérios da política de senha configurada do Windows LAPS, como a complexidade da senha, o tamanho da senha ou a idade da senha.
  2. Identifique se a política conflitante é aplicada por meio de Intune, GPO local ou um software de terceiros semelhante como Intune para gerenciar as políticas de senha no computador.

ID do evento 10028

LAPS failed to update Azure Active Directory with the new password

O computador cliente do Windows LAPS atualiza periodicamente senhas. Esse evento será exibido se o computador cliente configurado com o Windows LAPS não puder atualizar a senha para Microsoft Entra ID.

Resolução

  1. Verifique se você habilitou o recurso laps do Windows em seu locatário do Azure.
  2. Verifique se o computador não está excluído ou desabilitado no locatário do Azure.
  3. Abra um prompt de comando e execute o dsregcmd /status comando para marcar as seguintes seções para quaisquer erros:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e resolva o problema.
  5. Use Solucionar problemas Microsoft Entra dispositivos híbridos ingressados para solucionar problemas Microsoft Entra dispositivos híbridos ingressados.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Microsoft Entra códigos de erro de autenticação e autorização para obter a descrição do erro e a solução de problemas adicionais.

ID do evento 10032

LAPS was unable to authenticate to Azure using the device identity

Pode haver problemas relacionados à autenticação Microsoft Entra ao usar o PRT do dispositivo.

Resolução

  1. Verifique se você habilitou o recurso laps do Windows em seu locatário do Azure.
  2. Verifique se o computador não está excluído ou desabilitado no locatário do Azure.
  3. Abra um prompt de comando e execute o dsregcmd /status comando para marcar as seguintes seções para quaisquer erros:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verifique a mensagem de erro usando o comando dsregcmd e resolva o problema.
  5. Use Solucionar problemas Microsoft Entra dispositivos híbridos ingressados para solucionar problemas Microsoft Entra dispositivos híbridos ingressados.
  6. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  7. Se você receber uma mensagem de erro, consulte Microsoft Entra códigos de erro de autenticação e autorização para obter a descrição do erro e a solução de problemas adicionais.

ID do evento 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

A entidade de criptografia é configurada por meio da configuração Configurar descriptografias de senha autorizada usando GPO ou MDM (Intune). Parece que a configuração não está configurada corretamente.

Resolução

Corrija a configuração de Intune ou GPO. Essa configuração aceita dois valores:

  • SID de um grupo de domínio ou usuário
  • Nome do grupo em <Nome de> Domínio\<Nome> de Grupo, <Nome de> Domínio\<Nome de> Usuário ou <Nome de> Usuário@<Nome de Domínio>

Observação

Verifique se não há espaços à direita no início e no final da configuração.

ID do evento 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

A entidade de criptografia é configurada por meio da configuração Configurar descriptografias de senha autorizada usando GPO ou MDM (Intune). A configuração aceita um SID ou um nome de grupo de domínio em <Nome> de Domínio\<Nome> de Grupo, <Nome de> Domínio\<Nome de> Usuário ou <Nome> de Usuário@<Nome de> Domínio. O erro ocorre quando o cliente laps do Windows não pode resolve um SID para um nome ou um nome para um SID.

Resolução

  1. Verifique se o grupo de domínios existe no Active Directory e não foi excluído.
  2. Se o grupo for criado recentemente, aguarde que a replicação do Active Directory converga no controlador de domínio local do computador cliente.
  3. Use a ferramenta Sysinternal PsGetSid para resolve manualmente o SID ou o nome.
    1. Baixe PsGetSid.
    2. Extraia o arquivo baixado e abra um prompt de comando elevado no computador cliente em que você está enfrentando o problema.
    3. Execute o comando psgetsid -accepteula <SID> or <Name>. Use o SID ou o nome mencionado na ID do Evento 10035.
  4. Verifique se há erros de replicação do Active Directory na floresta e solução de problemas. Para obter mais informações, confira Solução de problemas de replicação do Active Directory.

ID do evento 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

A repetição pós-autenticação é o número de operações de repetição tentadas redefinir a senha com o diretório apropriado (Microsoft Entra ID ou Active Directory). Se esse número exceder o máximo de 100 em uma inicialização, esse evento será disparado.

Resolução

  1. Identidade se houver um problema de conexão com o diretório apropriado, como Active Directory ou Microsoft Entra ID.
  2. Solucionar problemas de outros erros durante o processamento de eventos do Windows LAPS.

ID do evento 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

O Windows LAPS pode ser configurado para uma ação pós-autenticação usando a configuração de ações pós-autenticação com GPO ou MDM (Intune). Nesse cenário, a configuração será configurada para reiniciar o computador se ele detectar uma ação pós-autenticação. Esse evento denota que o computador não pode ser reiniciado.

Resolução

  1. Identifique se há algum aplicativo bloqueando um desligamento do computador.
  2. Identifique se você tiver privilégios necessários para desligar o computador.

ID do evento 10056

LAPS failed to locate a writable domain controller

O cliente do Windows LAPS usa a operação de modificação LDAP (Protocolo de Acesso ao Diretório Leve) para gravar senhas no Active Directory do cliente windows LAPS. O Windows LAPS precisa descobrir um controlador de domínio gravável no domínio para gravar a senha da conta gerenciada.

Resolução

  1. Abra um prompt de comando no computador cliente e execute o comando:

    nltest /dsgetdc:<Domain Name> /force /writable

    Se você receber o erro 1355 (o controlador de domínio para o domínio não pode ser encontrado), isso significa que você precisa solucionar o problema de descoberta de DC gravável.

  2. Se você estiver em um ambiente em que tenha conectividade apenas com um controlador de domínio gravável, abra as portas de rede entre o computador cliente e o controlador de domínio. Para obter mais informações, consulte Visão geral do serviço e requisitos de porta de rede para Windows.

ID do evento 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Durante um processamento em segundo plano agendado, o Windows LAPS precisa se conectar a um controlador de domínio. Esse processamento é feito usando o contexto do computador. Esse erro será exibido se houver algum problema de autenticação do Active Directory entre o computador cliente e o controlador de domínio.

Resolução

  1. Verifique se a conta do computador não está excluída no Active Directory.

  2. Valide quaisquer problemas de canal seguro entre o cliente e o controlador de domínio executando um comando elevado:

    nltest /sc_query:<Domain Name>

  3. Volte o computador para o domínio.

    Observação

    Verifique se você sabe a senha do administrador local.

ID do evento 10059

Azure returned a failure code

O evento também contém um erro HTTP. O erro ocorre ao conectar, autenticar ou atualizar a senha para Microsoft Entra ID.

Resolução

  1. Verifique se você pode se conectar com êxito ao ponto de extremidade de registro Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Verifique se você habilitou o recurso laps do Windows em seu locatário do Azure.
  3. Verifique se o computador não está excluído ou desabilitado no locatário do Azure.
  4. Abra um prompt de comando e execute o dsregcmd /status comando para marcar as seguintes seções para quaisquer erros:
    • Device status
    • SSO data
    • Diagnostic data
  5. Verifique a mensagem de erro usando o comando dsregcmd e resolva o problema.
  6. Use Solucionar problemas Microsoft Entra dispositivos híbridos ingressados para solucionar problemas Microsoft Entra dispositivos híbridos ingressados.
  7. Use a Ferramenta de Solução de Problemas de Registro de Dispositivo para identificar e corrigir quaisquer problemas de registro de dispositivo.
  8. Se você receber uma mensagem de erro, consulte Microsoft Entra códigos de erro de autenticação e autorização para obter a descrição do erro e a solução de problemas adicionais.

ID do evento 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Esse erro ocorre porque o computador cliente do Windows LAPS precisa gravar senhas do usuário gerenciado.

Esse problema também pode ocorrer se você mover o computador para uma OU (unidade organizacional diferente) e a OU de destino não tiver a Auto-Permissão para o computador.

Resolução

  1. Se você não tiver executado o cmdlet do Windows LAPS PowerShell para atribuir a Auto-permissão à conta do computador, execute o seguinte cmdlet:

    Set-LapsADComputerSelfPermission -identity <OU Name>

    Por exemplo:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com

    Observação

    Você pode usar um DN (nome distinto) se tiver o mesmo nome para a UA, mas em hierarquias diferentes.

  2. Verifique se a conta do computador tem a Auto-permissão na OU em que a conta do computador existe.

Logon em um controlador de domínio com um privilégio de administrador de domínio

  1. Abra LDP.exe.

  2. Selecione Conexão>Conectar e configure o servidor e a porta da seguinte maneira:

    Captura de tela da ferramenta LDP com a janela Conectar aberta.

  3. Selecione Associação de Conexão>, configure as seguintes configurações e selecione OK.

    Captura de tela da ferramenta LDP com a janela Bind aberta.

  4. Selecione Exibir>Árvore. Em seguida, na lista suspensa do BaseDN, selecione o domínio em que o computador cliente está localizado.

    Captura de tela da ferramenta LDP com a janela Modo de Exibição de Árvore aberta.

  5. Navegue pela árvore de domínio para identificar a OU em que você tem os computadores cliente localizados. Clique com o botão direito do mouse na OU e selecioneEditar descritor>de segurança.

    Captura de tela da ferramenta LDP com a árvore de domínio no painel esquerdo.

  6. Classifique a coluna Administrador e localize os seguintes direitos de usuário para NT AUTHORITY\SELF permissões para o msLAPS-Password atributo. Captura de tela da ferramenta LDP com a janela do descritor de segurança aberta e classificada pela coluna Administrador.