Устранение ошибок SSPR_0029: ваша организация неправильно настроила локальную конфигурацию для сброса пароля.

Эта статья поможет устранить ошибку самостоятельного сброса пароля (SSPR) "SSPR_0029: ваша организация неправильно настроила локальную конфигурацию для сброса пароля", которая возникает после того, как пользователь или администратор введет и подтвердит новый пароль на странице SSPR.

Симптомы

Пользователь или администратор выполняет следующие действия, а затем получает сообщение об ошибке SSPR_0029 :

1. На странице входа в учетную запись Майкрософт или на странице входа в Microsoft Azure в https://login.microsoftonline.com домене пользователь или администратор выбирает Не удается получить доступ к вашей учетной записи?, Забыли пароль или сбросьте его сейчас.

2. Пользователь или администратор выбирает тип учетной записи рабочей или учебной учетной записи . Затем они перенаправляются на страницу SSPR по адресу https://passwordreset.microsoftonline.com , чтобы начать поток "Вернуться в учетную запись ".

3. На экране Кто вы? пользователь или администратор вводит свой идентификатор пользователя, выполняет запрос безопасности captcha без учета регистра, а затем нажимает кнопку Далее.

4. На экране Почему у вас возникают проблемы со входом? пользователь или администратор выбирает Я забыл пароль>Далее.

5. На экране выбор нового пароля пользователь или администратор введет и подтвердит новую строку пароля, а затем нажмите кнопку Готово. Затем появится экран Извинимся , где отображается следующее сообщение:

   SSPR_0029: ваша организация неправильно настроила локальную конфигурацию для сброса пароля.

   Если вы являетесь администратором, дополнительные сведения см. в статье Устранение неполадок обратной записи паролей. Если вы не являетесь администратором, вы можете указать эту информацию при обращении к администратору.

Причина 1. Не удается использовать обратную запись паролей для сброса пароля синхронизированного администратора Windows Active Directory

Вы являетесь синхронизированным администратором Windows Active Directory, который принадлежит (или использовался для принадлежности) к локальная служба Active Directory защищенной группе, и вы не можете использовать SSPR и обратную запись паролей для сброса локального пароля.

Решение. Нет (поведение по умолчанию)

В целях безопасности учетные записи администраторов, существующие в локальной защищенной группе Active Directory, нельзя использовать вместе с обратной записью паролей. Администраторы могут изменять свой пароль в облаке, но не могут сбрасывать забытый пароль. Дополнительные сведения см. в разделе Как работает обратная запись самостоятельного сброса пароля в Microsoft Entra ID.

Причина 2. Учетная запись соединителя AD DS не имеет нужных разрешений Active Directory

У синхронизированного пользователя отсутствуют правильные разрешения в Active Directory.

Решение. Устранение проблем с разрешениями Active Directory

Чтобы устранить проблемы, влияющие на разрешения Active Directory, см. статью Права доступа и разрешения обратной записи паролей.

Обходной путь: выбор другого контроллера домена Active Directory

Примечание.

Обратная запись паролей зависит от устаревшего API NetUserGetInfo. Для NetUserGetInfo API требуется сложный набор разрешенных разрешений в Active Directory, которые может быть трудно определить, особенно если сервер Microsoft Entra Connect работает на контроллере домена. Дополнительные сведения см. в статье Приложения, использующие NetUserGetInfo и аналогичные API, используют доступ на чтение к определенным объектам Active Directory.

Существует ли у вас сценарий, в котором сервер Microsoft Entra Connect работает на контроллере домена, и разрешение разрешений Active Directory невозможно? В этом случае рекомендуется развернуть сервер Microsoft Entra Connect на рядовом сервере, а не на контроллере домена. Или настройте соединитель Active Directory для использования только предпочтительных контроллеров домена , выполнив следующие действия.

1. В меню Пуск найдите и выберите Синхронизация Service Manager.

2. В окне синхронизации Service Manager выберите вкладку Соединители.

3. Щелкните правой кнопкой мыши соединитель Active Directory в списке соединителей и выберите пункт Свойства.

4. В области Соединитель Designer диалогового окна Свойства выберите Настроить секции каталогов.

5. В области Настройка секций каталогов выберите параметр Использовать только предпочтительные контроллеры домена , а затем выберите Настроить.

6. В диалоговом окне Настройка предпочитаемых контроллеров домена добавьте одно или несколько имен серверов, указывающих на контроллер домена (или контроллеры домена), отличные от локального узла.

7. Чтобы сохранить изменения и вернуться в окно main, нажмите кнопку ОК три раза, в том числе в диалоговом окне Предупреждение, где отображается заявление об отказе от ответственности расширенной конфигурации.

Причина 3. Серверы не могут совершать удаленные вызовы к диспетчеру учетных записей безопасности (SAM)

В этом случае регистрируются два похожих события ошибок приложения: 33004 и 6329. Идентификатор события 6329 отличается от 33004 тем, что он содержит ERROR_ACCESS_DENIED код ошибки в трассировке стека, когда сервер пытается выполнить удаленный вызов SAM:

ERR_: MMS(####): admaexport.cpp(2944): не удалось получить сведения о пользователе: Contoso\MSOL_############. Код ошибки: ERROR_ACCESS_DENIED

Такая ситуация может возникнуть, если на сервере Microsoft Entra Connect или контроллере домена к объекту групповая политика домена (GPO) или к локальной политике безопасности сервера применен параметр усиления безопасности. Чтобы проверка, так ли это, выполните следующие действия.

1. Откройте административное окно командной строки и выполните следующие команды:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Откройте файл C:\Temp\gpresult.htm в веб-браузере и разверните узел Сведения о> компьютереПараметры>Политики>Windows Параметры>безопасности Локальные>политики/Параметры безопасности Сетевой>доступ. Затем проверка, есть ли у вас параметр с именем Сетевой доступ: Ограничить клиенты, которым разрешено совершать удаленные вызовы к SAM.

3. Чтобы открыть оснастку Локальная политика безопасности, нажмите кнопку Пуск, введите secpol.msc, нажмите клавишу ВВОД, а затем разверните узел Локальные политики>Развернуть параметры безопасности.

4. В списке политик выберите Сетевой доступ: ограничить клиенты, которым разрешено совершать удаленные вызовы к SAM. В столбце Параметр безопасности отображается значение Не определено , если параметр не включен, или отображается O:BAG:... значение дескриптора безопасности, если параметр включен. Если параметр включен, можно также щелкнуть значок Свойства, чтобы просмотреть текущий список контроль доступа (ACL).

   Примечание.

   По умолчанию этот параметр политики отключен. Если этот параметр применяется на устройстве с помощью объекта групповой политики или локальной политики, в пути реестраHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ создается значение реестра с именем RestrictRemoteSam. Однако этот параметр реестра может быть трудно очистить после его определения и применения к серверу. При отключении параметра групповая политика или снятии параметра "Определить этот параметр политики" в консоли управления групповая политика (GPMC) запись реестра не удаляется. Таким образом, сервер по-прежнему ограничивает, какие клиенты могут совершать удаленные вызовы к SAM.

   Как точно убедиться, что сервер Microsoft Entra Connect или контроллер домена по-прежнему ограничивает удаленные вызовы к SAM? Вы проверка, остается ли запись реестра, выполнив командлет Get-ItemProperty в PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

Отображается ли в выходных данных PowerShell запись реестра RestrictRemoteSam ? Если да, у вас есть два возможных решения.

Решение 1. Добавление учетной записи соединителя AD DS в список разрешенных пользователей

Сохраните параметр Сетевой доступ. Ограничьте клиентам разрешенные удаленные вызовы к параметру политики SAM, включен и применен на сервере Microsoft Entra Connect, но добавьте учетную запись соединителя доменные службы Active Directory (AD DS) (MSOL_ учетную запись) в список разрешенных пользователей. Инструкции см. в следующих шагах:

1. Если вы не знаете имя учетной записи соединителя AD DS, см. раздел Определение учетной записи соединителя AD DS.

2. В оснастке GPMC или Локальная политика безопасности вернитесь в диалоговое окно свойств для этого параметра политики.

3. Выберите Изменить безопасность , чтобы открыть диалоговое окно Параметры безопасности для удаленного доступа к SAM .

4. В списке Имена пользователей или групп выберите Добавить , чтобы открыть диалоговое окно Выбор пользователей или групп . В поле Введите имена объектов для выбора введите имя учетной записи соединителя AD DS (MSOL_ учетная запись), а затем нажмите кнопку ОК , чтобы выйти из этого диалогового окна.

5. Выберите учетную запись соединителя AD DS в списке. В разделе Разрешения для <имени> учетной записи в строке Удаленный доступ выберите Разрешить.

6. Нажмите кнопку ОК два раза, чтобы принять изменения параметров политики и вернуться к списку параметров политики.

7. Откройте окно командной строки администратора и выполните команду gpupdate, чтобы принудительно обновить групповая политика:

   gpupdate /force
   

Решение 2. Удалите параметр политики "Сетевой доступ: ограничение клиентов, которым разрешено выполнять удаленные вызовы SAM ", а затем вручную удалите запись реестра RestrictRemoteSam.

1. Если параметр безопасности применяется из локальной политики безопасности, перейдите к шагу 4.

2. Откройте оснастку GPMC на контроллере домена и измените соответствующий объект групповой политики домена.

3. Развернитераздел Политики>конфигурации> компьютераПараметры>Windows Параметры безопасности Параметры>конфигурации> компьютераЛокальные политики>Параметры безопасности.

4. В списке параметров безопасности выберите Сетевой доступ: ограничить клиенты, которым разрешено совершать удаленные вызовы к SAM, откройте раздел Свойства, а затем отключите Параметр этой политики.

5. Откройте окно командной строки администратора и выполните команду gpupdate, чтобы принудительно обновить групповая политика:

   gpupdate /force
   

6. Чтобы создать новый отчет о результатах групповая политика (GPreport.htm), выполните команду gpresult, а затем откройте новый отчет в веб-браузере:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Проверьте отчет, чтобы убедиться, что параметр политики для сетевого доступа: Ограничение клиентов, которым разрешено совершать удаленные вызовы SAM , не определен.

8. Откройте административную консоль PowerShell.

9. Чтобы удалить запись реестра RestrictRemoteSam , выполните командлет Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Примечание.

   Если удалить запись реестра RestrictRemoteSam, не удаляя параметр объекта групповой политики домена, эта запись реестра будет повторно создана в следующем цикле обновления групповая политика, и SSPR_0029 ошибка повторится.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.