Руководство по устранению неполадок Windows LAPS

В этом руководстве представлены основные понятия, которые следует использовать при устранении неполадок с решением пароля локального администратора Windows (Windows LAPS).

Windows LAPS — это функция Windows, которая автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, присоединенных к Microsoft Entra или Windows Server Active Directory. Вы также можете использовать Windows LAPS для автоматического управления паролем учетной записи в режиме восстановления служб каталогов (DSRM) на контроллерах домена Windows Server Active Directory. Авторизованный администратор может получить пароль DSRM и использовать его. Дополнительные сведения см. в статье Что такое Windows LAPS?

Примечание.

• Эта статья предназначена для Windows LAPS (новая функция), а не для устаревших LAPS или более старых версий LAPS.
• В этой статье перечислены только некоторые из основных возможных первопричин. Другие причины также могут существовать, но остаются нераскрытыми.
• В следующем списке содержатся наиболее распространенные идентификаторы событий и могут не включать все события Windows LAPS.

Устранение неполадок Windows LAPS с помощью событий Windows

Чтобы просмотреть события Windows LAPS, перейдите в раздел Приложения и службы Журналы>Microsoft>Windows>LAPS>Работает в Просмотр событий.

Примечание.

• Обработка Windows LAPS начинается с идентификатора события 10003 и заканчивается с идентификатором события 10004.
• Если по какой-либо причине обработка текущего цикла завершается сбоем, регистрируется событие с идентификатором 10005.

Windows LAPS имеет два сценария:

• Windows LAPS Active Directory

  Клиентские компьютеры настроены для хранения пароля в Active Directory.

• Windows LAPS Azure Microsoft Entra ID

  Клиентские компьютеры настроены для хранения пароля в Microsoft Entra ID.

В следующей таблице перечислены идентификаторы событий, которые регистрируются в разных сценариях:

Идентификатор события	Сценарий
10006	Windows LAPS Active Directory
10011	Windows LAPS Active Directory
10012	Windows LAPS Active Directory
10013	Windows LAPS Active Directory и Microsoft Entra ID
10017	Windows LAPS Active Directory
10019	Windows LAPS Active Directory и Microsoft Entra ID
10025	Windows LAPS Microsoft Entra ID
10026	Windows LAPS Microsoft Entra ID
10027	Windows LAPS Active Directory и Microsoft Entra ID
10028	Windows LAPS Microsoft Entra ID
10032	Windows LAPS Microsoft Entra ID
10034	Windows LAPS Active Directory
10035	Windows LAPS Active Directory
10048	Windows LAPS Active Directory и Microsoft Entra ID
10049	Windows LAPS Active Directory и Microsoft Entra ID
10056	Windows LAPS Active Directory
10057	Windows LAPS Active Directory
10059	Windows LAPS Microsoft Entra ID
10065	Windows LAPS Active Directory

Идентификатор события 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

По умолчанию Windows LAPS шифрует пароль управляемой учетной записи на клиентском компьютере. Для поддержки шифрования необходимо Windows Server 2016 функционального уровня домена.

Разрешение

1. При необходимости поднимите функциональный уровень домена.
2. Отключите групповая политика Включить шифрование паролей для клиентских компьютеров.

   Примечание.

   Не рекомендуется отключайте шифрование паролей, хранящееся на контроллере домена.

Идентификатор события 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS периодически (каждый час) запрашивает Active Directory состояние компьютера, и клиентский компьютер использует службу Netlogon для обнаружения контроллера домена на нем.

Разрешение

Если вы находитесь в среде, где у вас есть подключение только к записываемому контроллеру домена, откройте сетевые порты между клиентским компьютером и контроллером домена.

Дополнительные сведения см. в статье Общие сведения о службе и требования к сетевым портам для Windows.

Идентификатор события 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Чтобы представить Windows LAPS, необходимо расширить схему атрибутами Windows LAPS. Или, если вы используете Windows LAPS в устаревшем режиме эмуляции LAPS, необходимо расширить схему с помощью устаревших атрибутов LAPS. Эта проблема возникает по одной из следующих причин:

• Первопричина 1

  Схема не была расширена новыми атрибутами Windows LAPS.

• Первопричина 2

  Между локальным контроллером домена (DC) и основным контроллером домена (PDC) существует временная репликация Active Directory.

• Первопричина 3

  Проблема с репликацией Active Directory на локальном контроллере домена.

Разрешение на первопричину 1

Update-LapsADSchema Выполните командлет PowerShell, чтобы обновить схему Active Directory с помощью Администратор привилегий схемы.

Если вы используете устаревшую эмуляцию LAPS, расширьте схему с помощью командлета Update-AdmPwdADSchema PowerShell (для этого действия сначала необходимо установить устаревший продукт LAPS).

Устранение первопричины 2

Из-за задержки репликации атрибуты схемы не были реплицированы в локальный контроллер домена. Вы можете использовать оснастку LDP или ADSIEDIT, чтобы определить, были ли реплицированы атрибуты схемы Windows LAPS. Принудительная репликация раздела схемы Active Directory с master схемы с помощью следующей команды:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Примечание.

• Замените DC2.contoso.com именем контроллера домена, определенного с идентификатором события 10055 в журналах событий Windows LAPS.
• Замените PDC.contoso.com именем PDC в вашей среде. Вы можете определить PDC с помощью nltest /dsgetdc:contoso.com /pdc /force команды .

Решение первопричины 3

Существует проблема репликации Active Directory между локальным контроллером домена и другими контроллерами домена в домене. Вы можете просмотреть идентификатор события 10055 в журналах событий Windows LAPS, чтобы проверить имя контроллера домена и выполнить repadmin /showreps команду для выявления ошибок репликации.

Дополнительные сведения см. в статье Устранение неполадок с репликацией Active Directory.

Идентификатор события 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS считывает имя локального администратора из групповая политика или Intune параметра Имя учетной записи администратора для управления. Если этот параметр не настроен, он будет искать локальную учетную запись с идентификатором безопасности (SID), заканчивающийся 500 (администратор). Если Windows LAPS не может найти учетную запись, регистрируется событие с идентификатором 10013.

В текущей версии Windows LAPS отсутствует возможность создания управляемого пользователя.

Разрешение

Проверьте и убедитесь, что управляемый пользователь присутствует в локальных пользователях, используя один из следующих методов:

• Используйте lusrmgr.msc , чтобы открыть локальные пользователи и группы.
• Выполните команду net user.

  Примечание.

  Убедитесь, что в начале и конце учетной записи нет пробелов.

Идентификатор события 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Это событие состояния в конце цикла обработки Windows LAPS. Это событие не имеет первопричины, поэтому необходимо просмотреть более раннюю обработку событий, в которых возникла проблема с Windows LAPS.

Разрешение

1. Откройте командную строку PowerShell с повышенными привилегиями и запустите Invoke-lapsPolicyProcessing командлет .
2. Откройте Просмотр событий и перейдите в раздел Журналы> приложений и службMicrosoft>Windows>LAPS>Operational.
3. Фильтр по последней обработке событий, начиная с идентификатора события 10003 до 10005.
4. Исправление ошибок до события с идентификатором 10017.

Идентификатор события 10019

LAPS failed to update the local admin account with the new password

Windows LAPS не может обновить пароль локально управляемой учетной записи пользователя на локальном компьютере. Windows LAPS обнаружил управляемого пользователя, но при изменении пароля возникли проблемы.

Разрешение

• Определите, есть ли проблема с ресурсами, например утечка памяти или проблема с нехваткой памяти. Перезагрузите компьютер, чтобы проверить, наблюдается ли аналогичная ошибка.
• Стороннее приложение или драйвер фильтра, который управляет тем же управляемым пользователем, не позволяет Windows LAPS управлять паролем.

Идентификатор события 10025

Azure discovery failed

Устройство (Microsoft Entra присоединенное или гибридное соединение), настроенное с помощью Windows LAPS для хранения паролей в Microsoft Entra ID должно обнаружить конечную точку корпоративной регистрации.

Разрешение

1. Убедитесь, что вы можете успешно подключиться к конечной точке регистрации (https://enterpriseregistration.windows.net). Если открыть Microsoft Edge или Google Chrome и подключиться к конечной точке регистрации (https://enterpriseregistration.windows.net), появится сообщение "Конечная точка не найдена". Это сообщение означает, что вы можете подключиться к конечной точке корпоративной регистрации.
2. Если вы используете прокси-сервер, убедитесь, что прокси-сервер настроен в контексте системы. Вы можете открыть командную строку с повышенными привилегиями и выполнить netsh winhttp show proxy команду, чтобы отобразить прокси-сервер.

Идентификатор события 10026

LAPS was unable to authenticate to Azure using the device identity

Эта проблема возникает, если возникла проблема с основным маркером обновления устройства (PRT).

Разрешение

1. Убедитесь, что вы включили функцию Windows LAPS в клиенте Azure.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку, выполните dsregcmd /status команду и проверка следующие разделы на наличие ошибок:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Устранение неполадок Microsoft Entra устройствах с гибридным присоединением с помощью средства устранения неполадок Microsoft Entra гибридных присоединенных устройств.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если вы получаете сообщение об ошибке, ознакомьтесь с Microsoft Entra кодами ошибок проверки подлинности и авторизации, чтобы найти описание ошибки и дополнительные сведения об устранении неполадок.

Идентификатор события 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS не может обновить пароль локально управляемой учетной записи пользователя на локальном компьютере. Windows LAPS обнаружил управляемого пользователя, но при изменении пароля возникли проблемы.

Разрешение

1. Проверьте политику паролей на компьютере, выполнив net accounts команду в командной строке. Проверьте любую из политик паролей, если они не соответствуют критериям настроенной политики паролей Windows LAPS, например сложность пароля, длину пароля или срок действия пароля.

2. Определите, применяется ли параметр с помощью локального объекта групповая политика , объекта групповой политики домена или локальных параметров безопасности, выполнив GPRESULT /h команду . Измените параметры объекта групповой политики или безопасности в соответствии с параметрами пароля объекта групповой политики Windows LAPS. Параметры настраиваются с помощью параметра Параметры пароля в объекте групповой политики или Intune (MDM).

   Примечание.

   Политики паролей, настроенные в Active Directory, локальном объекте групповой политики или параметрах безопасности, должны соответствовать параметрам пароля Windows LAPS или содержать параметры ниже, чем в конфигурации параметров пароля Windows LAPS.

3. Проверьте, есть ли сторонние фильтры паролей, которые могут блокировать установку пароля.

   1. Скачать Обозреватель процесса.

   2. Извлеките и запустите Обозреватель процесса от имени администратора.

   3. Выберите процессLSASS.exe на левой панели.

   4. Выберите Вид Показать>нижнюю область.

   5. Выберите Просмотреть>библиотеки DLLнижней> области.

      

4. В нижней области отображаются загруженные библиотеки DLL или модули. Определите, есть ли сторонние модули, используя поле Название компании (любые модули, кроме Майкрософт).

   Просмотрите список DLL, чтобы определить, содержит ли имя сторонней библиотеки DLL (module) некоторые ключевые слова, такие как "безопасность", "пароль" или "политики". Удалите или остановите приложение или службу, которые могут использовать эту библиотеку DLL.

Компьютер, присоединенный к Microsoft Entra ID

Microsoft Entra ID или гибридными устройствами можно управлять с помощью управления мобильными устройствами (MDM) (Intune), локальных объектов групповой политики или любого аналогичного стороннего программного обеспечения.

1. Проверьте политику паролей на компьютере, выполнив net accounts команду в командной строке. Проверьте любую из политик паролей, если они не соответствуют критериям настроенной политики паролей Windows LAPS, например сложность пароля, длину пароля или срок действия пароля.
2. Определите, применяется ли конфликтующая политика через Intune, локальный объект групповой политики или аналогичное стороннее программное обеспечение, например Intune для управления политиками паролей на компьютере.

Идентификатор события 10028

LAPS failed to update Azure Active Directory with the new password

Клиентский компьютер Windows LAPS периодически обновляет пароли. Это событие появляется, если клиентский компьютер, настроенный с помощью Windows LAPS, не может обновить пароль до Microsoft Entra ID.

Разрешение

1. Убедитесь, что вы включили функцию Windows LAPS в клиенте Azure.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверка следующие разделы на наличие ошибок:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Используйте устранение неполадок Microsoft Entra гибридных присоединенных устройств, чтобы устранить неполадки Microsoft Entra устройствами с гибридным присоединением.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если вы получаете сообщение об ошибке, ознакомьтесь с Microsoft Entra кодами ошибок проверки подлинности и авторизации, чтобы найти описание ошибки и дополнительные сведения об устранении неполадок.

Идентификатор события 10032

LAPS was unable to authenticate to Azure using the device identity

Могут возникнуть проблемы, связанные с проверкой подлинности Microsoft Entra при использовании PRT устройства.

Разрешение

1. Убедитесь, что в клиенте Azure включена функция Windows LAPS.
2. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
3. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверка следующие разделы на наличие ошибок:
   • Device status
   • SSO data
   • Diagnostic data
4. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
5. Используйте устранение неполадок Microsoft Entra гибридных присоединенных устройств, чтобы устранить неполадки Microsoft Entra устройствами с гибридным присоединением.
6. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
7. Если вы получаете сообщение об ошибке, ознакомьтесь с Microsoft Entra кодами ошибок проверки подлинности и авторизации, чтобы найти описание ошибки и дополнительные сведения об устранении неполадок.

Идентификатор события 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

Субъект шифрования настраивается с помощью параметра Настройка авторизованных расшифровщиков паролей с помощью объекта групповой политики или MDM (Intune). Похоже, что параметр настроен неправильно.

Разрешение

Исправьте конфигурацию Intune или GPO. Этот параметр принимает два значения:

• Идентификатор безопасности группы домена или пользователя
• Имя группы в поле <Доменное имя>\<Имя> группы, <Доменное имя>\<Имя> пользователя или <Имя> пользователя@<Доменное имя>

Примечание.

Убедитесь, что в начале и конце параметра отсутствуют конечные пробелы.

Идентификатор события 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

Субъект шифрования настраивается с помощью параметра Настройка авторизованных расшифровщиков паролей с помощью объекта групповой политики или MDM (Intune). Этот параметр принимает идентификатор безопасности или имя группы домена в <разделе Доменное имя>\<Имя> группы, <Доменное имя>\<Имя> пользователя или <Имя> пользователя@<Доменное имя>. Ошибка возникает, если клиенту Windows LAPS не удается разрешить идентификатор безопасности в имя или имя в идентификатор безопасности.

Разрешение

1. Убедитесь, что группа доменов существует в Active Directory и не была удалена.
2. Если группа создана только что, дождитесь, пока репликация Active Directory сойдется на локальный контроллер домена клиентского компьютера.
3. Используйте средство Sysinternal PsGetSid, чтобы вручную разрешить идентификатор безопасности или имя.
   1. Скачайте PsGetSid.
   2. Извлеките скачанный файл и откройте командную строку с повышенными привилегиями на клиентском компьютере, где возникла проблема.
   3. Выполните команду psgetsid -accepteula <SID> or <Name>. Используйте идентификатор безопасности или имя, указанное в коде события 10035.
4. Проверьте, нет ли ошибок репликации Active Directory в лесу, и устраните их. Дополнительные сведения см. в статье Устранение неполадок с репликацией Active Directory.

Идентификатор события 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Повторная попытка после проверки подлинности — это количество операций повторных попыток сброса пароля с помощью соответствующего каталога (Microsoft Entra ID или Active Directory). Если это число превышает не более 100 при загрузке, это событие активируется.

Разрешение

1. Если возникла проблема при подключении к соответствующему каталогу, например Active Directory или Microsoft Entra ID.
2. Устраните любые другие ошибки во время обработки событий Windows LAPS.

Идентификатор события 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS можно настроить для действия после проверки подлинности с помощью параметра Действия после проверки подлинности с GPO или MDM (Intune). В этом сценарии параметр настраивается для перезагрузки компьютера при обнаружении действия после проверки подлинности. Это событие означает, что компьютер не может перезагрузиться.

Разрешение

1. Определите, есть ли какое-либо приложение, блокирующее завершение работы компьютера.
2. Определите, есть ли у вас необходимые привилегии для завершения работы компьютера.

Идентификатор события 10056

LAPS failed to locate a writable domain controller

Клиент Windows LAPS использует операцию изменения протокола LDAP для записи паролей в Active Directory из клиента Windows LAPS. Windows LAPS необходимо обнаружить контроллер домена, доступный для записи в домене, чтобы записать пароль управляемой учетной записи.

Разрешение

1. Откройте командную строку на клиентском компьютере и выполните команду:

   nltest /dsgetdc:<Domain Name> /force /writable
   

   Если появляется ошибка 1355 (не удается найти контроллер домена), это означает, что необходимо устранить проблему обнаружения записываемого контроллера домена.

2. Если вы находитесь в среде, где у вас есть подключение только к записываемому контроллеру домена, откройте сетевые порты между клиентским компьютером и контроллером домена. Дополнительные сведения см. в статье Общие сведения о службе и требования к сетевым портам для Windows.

Идентификатор события 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Во время запланированной фоновой обработки Windows LAPS необходимо подключиться к контроллеру домена. Эта обработка выполняется с помощью контекста компьютера. Эта ошибка появляется, если между клиентским компьютером и контроллером домена возникла проблема с проверкой подлинности Active Directory.

Разрешение

1. Убедитесь, что учетная запись компьютера не удалена в Active Directory.

2. Проверьте все проблемы с защищенным каналом между клиентом и контроллером домена, выполнив команду с повышенными привилегиями:

   nltest /sc_query:<Domain Name>
   

3. Повторно присоедините компьютер к домену.

   Примечание.

   Убедитесь, что вы знаете пароль локального администратора.

Идентификатор события 10059

Azure returned a failure code

Событие также содержит ошибку HTTP. Ошибка возникает при подключении, проверке подлинности или обновлении пароля до Microsoft Entra ID.

Разрешение

1. Убедитесь, что вы можете успешно подключиться к конечной точке регистрации Microsoft Entra (https://enterpriseregistration.windows.net).
2. Убедитесь, что вы включили функцию Windows LAPS в клиенте Azure.
3. Убедитесь, что компьютер не удален или отключен в клиенте Azure.
4. Откройте командную строку и выполните dsregcmd /status команду, чтобы проверка следующие разделы на наличие ошибок:
   • Device status
   • SSO data
   • Diagnostic data
5. Проверьте сообщение об ошибке с помощью команды dsregcmd и устраните проблему.
6. Используйте устранение неполадок Microsoft Entra гибридных присоединенных устройств, чтобы устранить неполадки Microsoft Entra устройствами с гибридным присоединением.
7. Используйте средство устранения неполадок регистрации устройств для выявления и устранения проблем с регистрацией устройств.
8. Если вы получаете сообщение об ошибке, ознакомьтесь с Microsoft Entra кодами ошибок проверки подлинности и авторизации, чтобы найти описание ошибки и дополнительные сведения об устранении неполадок.

Идентификатор события 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Эта ошибка возникает из-за того, что клиентскому компьютеру Windows LAPS необходимо написать пароли управляемого пользователя.

Эта проблема также может возникнуть, если компьютер перемещен в другое подразделение, а целевое подразделение не имеет самостоятельного разрешения на доступ к компьютеру.

Разрешение

1. Если вы не выполнили командлет Windows LAPS PowerShell для назначения самостоятельного разрешения учетной записи компьютера, выполните следующий командлет:

   Set-LapsADComputerSelfPermission -identity <OU Name>
   

   Например:

   Set-LapsADComputerSelfPermission -Identity LAPSOU
   Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com
   

   Примечание.

   Вы можете использовать различающееся имя (DN), если у вас одно и то же имя для подразделения, но в разных иерархиях.

2. Убедитесь, что учетная запись компьютера имеет самостоятельное разрешение для подразделения, в котором существует учетная запись компьютера.

Вход в контроллер домена с правами администратора домена

1. Откройте LDP.exe.

2. Выберите Подключение>и настройте сервер и порт следующим образом:

   

3. Выберите Привязка подключения>, настройте следующие параметры, а затем нажмите кнопку ОК.

   

4. Выберите Вид>дерево. Затем в раскрывающемся списке BaseDN выберите домен, в котором находится клиентский компьютер.

   

5. Просмотрите дерево домена, чтобы определить подразделение, в котором находятся клиентские компьютеры. Щелкните правой кнопкой мыши подразделение и выберите пункт Изменить дескриптор> безопасности.

   

6. Отсортируйте столбец Доверенное лицо и найдите следующие права пользователя для NT AUTHORITY\SELF разрешений для атрибута msLAPS-Password .