Sorun giderme hatası SSPR_0029: Kuruluşunuz parola sıfırlama için şirket içi yapılandırmayı düzgün ayarlamadı

Bu makale, kullanıcı veya yönetici SSPR sayfasına yeni bir parola girip onayladıktan sonra oluşan "SSPR_0029: Kuruluşunuz parola sıfırlama için şirket içi yapılandırmayı düzgün ayarlamadı" self servis parola sıfırlama (SSPR) hatasını gidermenize yardımcı olur.

Belirtiler

Kullanıcı veya yönetici aşağıdaki adımları uygular ve ardından bir SSPR_0029 hata alır:

1. Etki alanındaki bir Microsoft hesabı oturum açma sayfasında veya Microsoft Azure oturum açma sayfasında https://login.microsoftonline.com , kullanıcı veya yönetici Hesabınıza erişemiyor musunuz?, Parolamı unuttum veya şimdi sıfırla'yı seçer.

2. Kullanıcı veya yönetici İş veya okul hesabı hesap türünü seçer. Ardından, hesap akışınıza geri dönün akışını başlatmak için adresindeN SSPR sayfasına https://passwordreset.microsoftonline.com yönlendirilirler.

3. Siz kimsiniz? ekranında kullanıcı veya yönetici kullanıcı kimliğini girer, büyük/küçük harfe duyarlı olmayan bir captcha güvenlik sınamasını tamamlar ve ardından İleri'yi seçer.

4. Neden oturum açarken sorun yaşıyorsunuz? ekranında kullanıcı veya yönetici Parolamı> unuttumİleri'yi seçer.

5. Yeni parola seçin ekranında kullanıcı veya yönetici yeni bir parola dizesi girip onaylar ve ardından Son'u seçer. Ardından, bir Üzgünüz ekranı görüntülenir ve aşağıdaki iletiyi sunar:

   SSPR_0029: Kuruluşunuz parola sıfırlama için şirket içi yapılandırmayı düzgün ayarlamadı.

   Yöneticiyseniz parola geri yazma sorunlarını giderme makalesinden daha fazla bilgi edinebilirsiniz. Yönetici değilseniz, yöneticinize başvurarak bu bilgileri sağlayabilirsiniz.

Neden 1: Eşitlenmiş bir Windows Active Directory yöneticisinin parolasını sıfırlamak için parola geri yazma kullanılamaz

Şirket içi Active Directory korumalı bir gruba ait olan (veya bu gruba ait olan) eşitlenmiş bir Windows Active Directory yöneticisisiniz ve şirket içi parolanızı sıfırlamak için SSPR ve parola geri yazma özelliğini kullanamazsınız.

Çözüm: Hiçbiri (davranış tasarım gereğidir)

Güvenlik için, yerel Active Directory korumalı bir grup içinde bulunan yönetici hesapları parola geri yazma ile birlikte kullanılamaz. Yöneticiler bulutta parolalarını değiştirebilir, ancak unutulan bir parolayı sıfırlayamaz. Daha fazla bilgi için bkz. Microsoft Entra ID'da self servis parola sıfırlama geri yazma nasıl çalışır?

Neden 2: AD DS Bağlayıcı hesabı doğru Active Directory izinlerine sahip değil

Eşitlenen kullanıcının Active Directory'de doğru izinleri eksik.

Çözüm: Active Directory izin sorunlarını çözme

Active Directory izinlerini etkileyen sorunları çözmek için bkz . Parola Geri Yazma erişim hakları ve izinleri.

Geçici çözüm: Farklı bir Active Directory etki alanı denetleyicisini hedefleme

Not

Parola geri yazmanın eski API NetUserGetInfo'ya bağımlılığı vardır. NetUserGetInfo API, Özellikle bir Microsoft Entra Connect sunucusu bir etki alanı denetleyicisinde çalışırken, Active Directory'de tanımlanması zor olabilecek karmaşık bir izin kümesi gerektirir. Daha fazla bilgi için bkz . NetUserGetInfo kullanan uygulamalar ve benzer API'ler belirli Active Directory nesnelerine okuma erişimi kullanır.

Microsoft Entra Connect sunucusunun bir etki alanı denetleyicisinde çalıştığı ve Active Directory izinlerini çözümlemenin mümkün olmadığı bir senaryonuz mu var? Bu durumda, Microsoft Entra Connect sunucusunu etki alanı denetleyicisi yerine üye sunucuya dağıtmanızı öneririz. Alternatif olarak, aşağıdaki adımları kullanarak Active Directory bağlayıcınızı Yalnızca tercih edilen etki alanı denetleyicilerini kullanacak şekilde yapılandırın:

1. Başlat menüsünde Eşitleme Service Manager'ni arayın ve seçin.

2. Eşitleme Service Manager penceresinde Bağlayıcılar sekmesini seçin.

3. Bağlayıcı listesinden Active Directory bağlayıcısını sağ tıklatın ve özellikler'i seçin.

4. Özellikler iletişim kutusunun Bağlayıcı Designer bölmesinde Dizin Bölümlerini Yapılandır'ı seçin.

5. Dizin Bölümlerini Yapılandır bölmesinde Yalnızca tercih edilen etki alanı denetleyicilerini kullan seçeneğini ve ardından Yapılandır'ı seçin.

6. Tercih Edilen DC'leri Yapılandır iletişim kutusunda, yerel konaktan farklı bir etki alanı denetleyicisine (veya etki alanı denetleyicilerine) işaret eden bir veya daha fazla sunucu adı ekleyin.

7. Değişikliklerinizi kaydetmek ve ana pencereye dönmek için, gelişmiş yapılandırma bildirimini gösteren Uyarı iletişim kutusu da dahil olmak üzere üç kez Tamam'ı seçin.

Neden 3: Sunucuların Güvenlik Hesapları Yöneticisi'ne (SAM) uzaktan çağrı yapmasına izin verilmiyor

Bu durumda iki benzer uygulama hatası olayı günlüğe kaydedilir: Olay Kimliği 33004 ve 6329. Sunucu SAM'ye uzak bir çağrı yapmaya çalıştığında yığın izlemesinde bir ERROR_ACCESS_DENIED hata kodu içerdiğinden 6329 olay kimliği 33004'ten farklıdır:

ERR_: MMS(####):admaexport.cpp(2944): Kullanıcı bilgileri alınamadı: Contoso\MSOL_############. Hata Kodu: ERROR_ACCESS_DENIED

Bu durum, Microsoft Entra Connect sunucusu veya etki alanı denetleyicisinde Etki Alanı grup ilkesi Nesnesi (GPO) ile ya da sunucunun Yerel Güvenlik İlkesi'ne uygulanmış bir sağlamlaştırma güvenlik ayarı varsa veya varsa oluşabilir. Böyle bir durum olup olmadığını denetlemek için şu adımları izleyin:

1. Bir yönetim Komut İstemi penceresi açın ve aşağıdaki komutları çalıştırın:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. web tarayıcınızda C:\Temp\gpresult.htm dosyasını açın ve Bilgisayar AyrıntılarıAyarlarıİlkeleri>>>Windows Ayarları>Güvenlik AyarlarıYerel İlkeler>/Güvenlik Seçenekleri >Ağ Erişimi'ni genişletin. Ardından Ağ erişimi: İSTEMCIlerin SAM'ye uzaktan çağrı yapmasına izin verilenleri kısıtla adlı bir ayarınız olup olmadığını denetleyin.

3. Yerel Güvenlik İlkesi ek bileşenini açmak için Başlat'ı seçin, secpol.msc yazın, Enter tuşuna basın ve ardından Yerel İlkeler'i>genişletin Güvenlik Seçenekleri'ni genişletin.

4. İlkeler listesinde Ağ erişimi: SAM'ye uzaktan arama yapma izni olan istemcileri kısıtla'yı seçin. Ayar etkinleştirilmediyse Güvenlik Ayarı sütunu Tanımlı Değil'i gösterir veya ayar etkinse bir O:BAG:... güvenlik tanımlayıcısı değeri görüntüler. Ayar etkinse, şu anda uygulanan Access Control Listesi'ni (ACL) görmek için Özellikler simgesini de seçebilirsiniz.

   Not

   Varsayılan olarak, bu ilke ayarı kapalıdır. Bu ayar bir GPO veya Yerel İlke ayarı aracılığıyla bir cihaza uygulandığında, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ kayıt defteri yolunda RestrictRemoteSam adlı bir kayıt defteri değeri oluşturulur. Ancak, bu kayıt defteri ayarının tanımlanıp sunucuya uygulandıktan sonra temizlenmesi zor olabilir. grup ilkesi ayarını devre dışı bırakmak veya grup ilkesi Yönetim Konsolu'nda (GPMC) Bu ilke ayarını tanımla seçeneğini temizlemek kayıt defteri girdisini kaldırmaz. Bu nedenle, sunucu yine de SAM'ye uzak çağrı yapmak için izin verilen istemcileri kısıtlar.

   Microsoft Entra Connect sunucusunun veya etki alanı denetleyicisinin SAM'ye yönelik uzak çağrıları kısıtlamaya devam ettiğini doğru bir şekilde nasıl doğrulayabilirsiniz? PowerShell'de Get-ItemProperty cmdlet'ini çalıştırarak kayıt defteri girdisinin mevcut olup olmadığını denetlersiniz:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

PowerShell çıkışı bir RestrictRemoteSam kayıt defteri girdisinin hala mevcut olduğunu gösteriyor mu? Öyleyse, iki olası çözüme sahip olursunuz.

Çözüm 1: AD DS Bağlayıcı hesabını izin verilen kullanıcılar listesine ekleme

Ağ erişimini koruma: İstemcilerin SAM'ye uzaktan çağrı yapma izni olan ilke ayarını etkinleştirip Microsoft Entra Connect sunucusuna uygulanmasını kısıtlayın, ancak Active Directory Domain Services (AD DS) Bağlayıcı hesabını (MSOL_ hesabı) izin verilen kullanıcılar listesine ekleyin. Yönergeler için aşağıdaki adımlara bakın:

1. AD DS Bağlayıcı hesabınızın adını bilmiyorsanız bkz. AD DS Bağlayıcısı hesabını tanımlama.

2. GPMC veya Yerel Güvenlik İlkesi ek bileşeninde, bu ilke ayarının özellik iletişim kutusuna geri dönün.

3. SAM'ye Uzaktan Erişim için Güvenlik Ayarları iletişim kutusunu görüntülemek için Güvenliği Düzenle'yi seçin.

4. Grup veya kullanıcı adları listesinde Ekle'yi seçerek Kullanıcıları veya Grupları Seç iletişim kutusunu görüntüleyin. Seçecek nesne adlarını girin kutusuna AD DS Bağlayıcısı hesabının (MSOL_ hesabı) adını girin ve ardından tamam'ı seçerek bu iletişim kutusundan çıkın.

5. Listeden AD DS Bağlayıcısı hesabını seçin. Hesap adı> izinleri'nin <altındaki Uzaktan Erişim satırında İzin Ver'i seçin.

6. İlke ayarı değişikliklerini kabul etmek ve ilke ayarları listesine dönmek için iki kez Tamam'ı seçin.

7. Bir yönetim Komut İstemi penceresi açın ve grup ilkesi güncelleştirmesini zorlamak için gpupdate komutunu çalıştırın:

   gpupdate /force
   

Çözüm 2: Ağ erişimini kaldırma: SAM ilke ayarına uzak çağrı yapmalarına izin verilen istemcileri kısıtlayın , ardından RestrictRemoteSam kayıt defteri girdisini el ile silin

1. Güvenlik ayarı Yerel Güvenlik İlkesi'nden uygulandıysa 4. adıma gidin.

2. Etki Alanı Denetleyicisi'nden GPMC ek bileşenini açın ve ilgili Etki Alanı GPO'sunu düzenleyin.

3. Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Bilgisayar Yapılandırması>Yerel İlkelerGüvenlik Seçenekleri'ni> genişletin.

4. Güvenlik seçenekleri listesinde Ağ erişimi: SAM'ye uzak arama yapmasına izin verilen istemcileri kısıtla'yı seçin, Özellikler'i açın ve ardından Bu ilke ayarını tanımla'yı devre dışı bırakın.

5. Bir yönetim Komut İstemi penceresi açın ve grup ilkesi güncelleştirmesini zorlamak için gpupdate komutunu çalıştırın:

   gpupdate /force
   

6. Yeni bir grup ilkesi sonuç raporu (GPreport.htm) oluşturmak için gpresult komutunu çalıştırın ve yeni raporu bir web tarayıcısında açın:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Rapora göz atarak Ağ erişimi: SAM'ye uzak çağrı yapmalarına izin verilen istemcileri kısıtla ilke ayarının tanımlanmadığından emin olun.

8. Bir yönetim PowerShell konsolu açın.

9. RestrictRemoteSam kayıt defteri girdisini kaldırmak için Remove-ItemProperty cmdlet'ini çalıştırın:

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Not

   Domain GPO ayarını kaldırmadan RestrictRemoteSam kayıt defteri girdisini silerseniz, bu kayıt defteri girdisi sonraki grup ilkesi yenileme döngüsünde yeniden oluşturulur ve SSPR_0029 hata yeniden oluşur.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.