Felsöka fel SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt

Den här artikeln hjälper dig att felsöka självbetjäningsfelet för lösenordsåterställning (SSPR) "SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt" som inträffar när användaren eller administratören har angett och bekräftar ett nytt lösenord på SSPR-sidan.

Symptom

En användare eller administratör utför följande steg och får sedan ett SSPR_0029 fel:

1. På inloggningssidan för ett Microsoft-konto eller microsoft Azure-inloggningssidan i domänen https://login.microsoftonline.com väljer en användare eller administratör Kan du inte komma åt ditt konto?, Har du glömt mitt lösenord eller återställt det nu.

2. Användaren eller administratören väljer kontotypen Arbets- eller skolkonto . Sedan omdirigeras de till SSPR-sidan för https://passwordreset.microsoftonline.com att starta flödet Kom tillbaka till ditt konto .

3. På skärmen Vem är du? anger användaren eller administratören sitt användar-ID, slutför en skiftlägeskänslig captcha-säkerhetsutmaning och väljer sedan Nästa.

4. På skärmen Varför har du problem med att logga in? väljer användaren eller administratören Jag har glömt mitt lösenord>Nästa.

5. På skärmen Välj ett nytt lösenord anger användaren eller administratören och bekräftar en ny lösenordssträng och väljer sedan Slutför. Sedan visas skärmen Vi är ledsen och visar följande meddelande:

   SSPR_0029: Din organisation har inte konfigurerat den lokala konfigurationen för lösenordsåterställning korrekt.

   Om du är administratör kan du få mer information i artikeln Felsöka tillbakaskrivning av lösenord. Om du inte är administratör kan du ange den här informationen när du kontaktar administratören.

Orsak 1: Det går inte att använda tillbakaskrivning av lösenord för att återställa lösenordet för en synkroniserad Windows Active Directory-administratör

Du är en synkroniserad Windows Active Directory-administratör som tillhör (eller brukade tillhöra) en lokal Active Directory skyddad grupp och du kan inte använda SSPR och tillbakaskrivning av lösenord för att återställa ditt lokala lösenord.

Lösning: Ingen (beteendet är avsiktligt)

För säkerhet kan inte administratörskonton som finns i en lokal Active Directory-skyddad grupp användas tillsammans med tillbakaskrivning av lösenord. Administratörer kan ändra sitt lösenord i molnet, men kan inte återställa ett bortglömt lösenord. Mer information finns i Hur fungerar tillbakaskrivning av lösenordsåterställning med självbetjäning i Microsoft Entra ID.

Orsak 2: AD DS Connector-kontot har inte rätt Active Directory-behörigheter

Den synkroniserade användaren saknar rätt behörigheter i Active Directory.

Lösning: Lösa problem med Active Directory-behörigheter

Information om hur du löser problem som påverkar Active Directory-behörigheter finns i Åtkomsträttigheter och behörigheter för tillbakaskrivning av lösenord.

Lösning: Rikta in sig på en annan Active Directory-domänkontrollant

Obs!

Tillbakaskrivning av lösenord är beroende av det äldre API:et NetUserGetInfo. API:et NetUserGetInfo kräver en komplex uppsättning tillåtna behörigheter i Active Directory som kan vara svåra att identifiera, särskilt när en Microsoft Entra Connect-server körs på en domänkontrollant. Mer information finns i Program som använder NetUserGetInfo och liknande API:er förlitar sig på läsåtkomst till vissa Active Directory-objekt.

Har du ett scenario där en Microsoft Entra Connect-server körs på en domänkontrollant och det inte går att lösa Active Directory-behörigheter? I det här fallet rekommenderar vi att du distribuerar Microsoft Entra Connect-servern på en medlemsserver i stället för en domänkontrollant. Du kan också konfigurera active directory-anslutningsappen till Endast använda önskade domänkontrollanter med hjälp av följande steg:

1. På Start-menyn söker du efter och väljer Synkronisering Service Manager.

2. I fönstret Synkronisering Service Manager väljer du fliken Anslutningsappar.

3. Högerklicka på Active Directory-anslutningsappen i listan över anslutningsappar och välj sedan Egenskaper.

4. I fönstret Anslutningsapp Designer i dialogrutan Egenskaper väljer du Konfigurera katalogpartitioner.

5. I fönstret Konfigurera katalogpartitioner väljer du alternativet Endast använda önskade domänkontrollanter och väljer sedan Konfigurera.

6. I dialogrutan Konfigurera önskade domänkontrollanter lägger du till ett eller flera servernamn som pekar på en annan domänkontrollant (eller domänkontrollanter) än den lokala värden.

7. Om du vill spara ändringarna och återgå till huvudfönstret väljer du OK tre gånger, inklusive i dialogrutan Varning som visar en avancerad ansvarsfriskrivning för konfiguration.

Orsak 3: Servrar får inte göra fjärranrop till Security Accounts Manager (SAM)

I det här fallet loggas två liknande programfelhändelser: Händelse-ID 33004 och 6329. Händelse-ID 6329 skiljer sig från 33004 eftersom det innehåller en ERROR_ACCESS_DENIED felkod i stackspårningen när servern försöker göra ett fjärranrop till SAM:

ERR_: MMS(####): admaexport.cpp(2944): Det gick inte att hämta användarinformation: Contoso\MSOL_############. Felkod: ERROR_ACCESS_DENIED

Den här situationen kan inträffa om Microsoft Entra Connect-servern eller domänkontrollanten har eller har tillämpat en härdningssäkerhetsinställning med ett domän-grupprincip-objekt (GPO) eller i serverns lokala säkerhetsprincip. Så här kontrollerar du om så är fallet:

1. Öppna ett administrativt kommandotolkfönster och kör följande kommandon:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Öppna filenC:\Temp\gpresult.htm i webbläsaren och expandera Inställningar för datorinformation>Principer>>Windows-inställningar>Säkerhetsinställningar>Lokala principer/Säkerhetsalternativ>Nätverksåtkomst. Kontrollera sedan om du har en inställning med namnet Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM.

3. Om du vill öppna snapin-modulen Lokal säkerhetsprincip väljer du Start, anger secpol.msc, trycker på Retur och expanderar sedan Lokala principer>Expandera säkerhetsalternativ.

4. I listan över principer väljer du Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM. Kolumnen Säkerhetsinställning visar Inte definierad om inställningen inte är aktiverad eller visar ett O:BAG:... säkerhetsbeskrivningsvärde om inställningen är aktiverad. Om inställningen är aktiverad kan du också välja ikonen Egenskaper för att se den Access Control lista (ACL) som används för närvarande.

   Obs!

   Som standard är den här principinställningen inaktiverad. När den här inställningen tillämpas på en enhet via ett grupprincipobjekt eller en lokal principinställning skapas ett registervärde med namnet RestrictRemoteSam i HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ registersökväg. Den här registerinställningen kan dock vara svår att rensa när den har definierats och tillämpats på servern. Om du inaktiverar inställningen grupprincip eller avmarkerar alternativet Definiera den här principinställningen i grupprincip-hanteringskonsolen (GPMC) tar du inte bort registerposten. Därför begränsar servern fortfarande vilka klienter som får göra fjärranrop till SAM.

   Hur kontrollerar du korrekt att Microsoft Entra Connect-servern eller domänkontrollanten fortfarande begränsar fjärranrop till SAM? Du kontrollerar om registerposten finns kvar genom att köra cmdleten Get-ItemProperty i PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

Visar PowerShell-utdata att registerposten RestrictRemoteSam fortfarande finns? I så fall har du två möjliga lösningar.

Lösning 1: Lägg till AD DS Connector-kontot i listan över tillåtna användare

Behåll nätverksåtkomsten: Begränsa klienter som tillåts att göra fjärranrop till SAM-principinställningen aktiverad och tillämpad på Microsoft Entra Connect-servern, men lägg till Active Directory Domain Services (AD DS) Connector-kontot (MSOL_-konto) i listan över tillåtna användare. Anvisningar finns i följande steg:

1. Om du inte känner till namnet på ditt AD DS Connector-konto läser du Identifiera AD DS Connector-kontot.

2. I snapin-modulen GPMC eller lokal säkerhetsprincip går du tillbaka till egenskapsdialogrutan för den principinställningen.

3. Välj Redigera säkerhet för att visa dialogrutan Säkerhetsinställningar för fjärråtkomst till SAM .

4. I listan Grupp eller användarnamn väljer du Lägg till för att visa dialogrutan Välj användare eller grupper . I rutan Ange de objektnamn som ska väljas anger du namnet på AD DS Connector-kontot (MSOL_ konto) och väljer sedan OK för att avsluta dialogrutan.

5. Välj AD DS Connector-kontot i listan. Under Behörigheter för <kontonamn> går du till raden Fjärråtkomst och väljer Tillåt.

6. Välj OK två gånger för att acceptera ändringarna av principinställningen och återgå till listan över principinställningar.

7. Öppna ett administrativt kommandotolkfönster och kör kommandot gpupdate för att framtvinga en grupprincip uppdatering:

   gpupdate /force
   

Lösning 2: Ta bort nätverksåtkomsten: Begränsa klienter som tillåts göra fjärranrop till SAM-principinställningen och ta sedan bort registerposten RestrictRemoteSam manuellt

1. Om säkerhetsinställningen tillämpas från den lokala säkerhetsprincipen går du till steg 4.

2. Öppna GPMC-snapin-modulen från en domänkontrollant och redigera respektive domän-GPO.

3. Expandera Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Datorkonfiguration>Säkerhetsalternativ förlokala principer>.

4. I listan över säkerhetsalternativ väljer du Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM, öppna Egenskaper och inaktivera sedan Definiera den här principinställningen.

5. Öppna ett administrativt kommandotolkfönster och kör kommandot gpupdate för att framtvinga en grupprincip uppdatering:

   gpupdate /force
   

6. Om du vill generera en ny grupprincip resultatrapport (GPreport.htm) kör du kommandot gpresult och öppnar sedan den nya rapporten i en webbläsare:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Kontrollera rapporten för att se till att principinställningen för nätverksåtkomst: Begränsa klienter som tillåts att göra fjärranrop till SAM inte har definierats.

8. Öppna en administrativ PowerShell-konsol.

9. Om du vill ta bort registerposten RestrictRemoteSam kör du cmdleten Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Obs!

   Om du tar bort registerposten RestrictRemoteSam utan att ta bort inställningen domän-GPO skapas den här registerposten igen vid nästa grupprincip uppdateringscykel och SSPR_0029 felet återkommer.

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.