监视本地 Microsoft Entra 密码保护环境并查看其日志

项目
10/28/2023

部署 Microsoft Entra 密码保护后，监视和报告这两项任务至关重要。本文详细介绍了各种监视技术，包括每项服务在哪里记录信息以及如何报告 Microsoft Entra 密码保护的使用情况。

监视和报告是通过事件日志消息或通过运行 PowerShell cmdlet 来完成的。 DC 代理和代理服务都记录事件日志消息。下面所述的所有 PowerShell cmdlet 仅可用于代理服务器（请参阅 AzureADPasswordProtection PowerShell 模块）。 DC 代理软件不安装 PowerShell 模块。

DC 代理事件日志记录

在每个域控制器上，DC 代理服务软件将每个密码验证操作的结果（和其他状态）写入本地事件日志：

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

DC 代理管理日志是软件行为方式信息的主要来源。

请注意，跟踪日志默认处于禁用状态。

各个 DC 代理组件记录的事件属于以下范围：

组件	事件 ID 范围
DC 代理密码筛选器 dll	10000-19999
DC 代理服务宿主进程	20000-29999
DC 代理服务策略验证逻辑	30000-39999

DC 代理管理事件日志

密码验证结果事件

在每个域控制器上，DC 代理服务软件将每个密码验证的结果写入 DC 代理管理事件日志。

对于成功的密码验证操作，DC 代理密码筛选器 dll 通常会记录一个事件。对于失败的密码验证操作，通常会记录两个事件，一个来自 DC 代理服务，另一个来自 DC 代理密码筛选器 dll。

根据以下因素记录用于捕获这些状况的离散事件：

是在设置还是更改给定的密码。
给定密码的验证是已通过还是失败。
验证是否因 Microsoft 全局策略、组织策略或这两者而失败。
目前是对当前密码策略启用还是禁用了仅限审核模式。

关键的密码验证相关事件如下：

事件	密码更改	密码设置
通过	10014	10015
失败（因客户密码策略所致）	10016、30002	10017、30003
失败（因 Microsoft 密码策略所致）	10016、30004	10017、30005
失败（因 Microsoft 密码策略和客户密码策略这两种策略所致）	10016、30026	10017、30027
失败（因用户名所致）	10016、30021	10017、30022
仅限审核通过（未通过客户密码策略验证）	10024、30008	10025、30007
仅限审核通过（未通过 Microsoft 密码策略验证）	10024、30010	10025、30009
仅审核通过（未通过 Microsoft 密码策略和客户密码策略这两种策略的验证）	10024、30028	10025、30029
仅审核通过（因用户名所致未通过）	10016、30024	10017、30023

上表中的“两种策略”情况是指，发现用户密码至少包含 Microsoft 禁止密码列表和客户禁止密码列表中的一个令牌。

上面的表中引用“用户名”的情况指的是，用户的密码包含用户的帐户名和/或其中一个用户易记名称。这两种情况都将导致在策略设置为“强制执行”时拒绝用户的密码，或者在策略处于“审核”模式时通过。

一起记录的一对事件因具有相同的 CorrelationId 而显式关联。

通过 PowerShell 报告密码验证摘要

Get-AzureADPasswordProtectionSummaryReport cmdlet 可用于生成密码验证活动的摘要视图。此 cmdlet 的示例输出如下所示：

Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController                : bplrootdc2
PasswordChangesValidated        : 6677
PasswordSetsValidated           : 9
PasswordChangesRejected         : 10868
PasswordSetsRejected            : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 1

可以使用 –Forest、-Domain 和 –DomainController 参数之一来影响 cmdlet 的报告范围。不指定参数表示使用 –Forest。

注意

如果只在一个 DC 上安装 DC 代理，Get-AzureADPasswordProtectionSummaryReport 将仅从该 DC 读取事件。若要从多个 DC 获取事件，将需要在每个 DC 上安装 DC 代理。

Get-AzureADPasswordProtectionSummaryReport cmdlet 的工作原理是，先查询 DC 代理管理事件日志，再计算所显示的每个结果类别对应的事件总数。下表列出了每个结果及其相应的事件 ID 之间的映射关系：

Get-AzureADPasswordProtectionSummaryReport property	相应的事件 ID
PasswordChangesValidated	10014
PasswordSetsValidated	10015
PasswordChangesRejected	10016
PasswordSetsRejected	10017
PasswordChangeAuditOnlyFailures	10024
PasswordSetAuditOnlyFailures	10025
PasswordChangeErrors	10012
PasswordSetErrors	10013

请注意，Get-AzureADPasswordProtectionSummaryReport cmdlet 以 PowerShell 脚本形式提供。如果需要，可以在下面的位置直接引用它：

%ProgramFiles%\WindowsPowerShell\Modules\AzureADPasswordProtection\Get-AzureADPasswordProtectionSummaryReport.ps1

注意

此 cmdlet 通过打开与每个域控制器的 Powershell 会话进行工作。若要获得成功，必须在每个域控制器上启用 PowerShell 远程会话支持，并且客户端必须具有足够的权限。有关 PowerShell 远程会话要求的详细信息，请在 PowerShell 窗口中运行“Get-Help about_Remote_Troubleshooting”。

注意

此 cmdlet 的工作方式是远程查询每个 DC 代理服务的管理事件日志。如果事件日志包含大量事件，此 cmdlet 可能需要很长时间才能完成。此外，对大型数据集执行批量网络查询可能会影响域控制器的性能。因此，在生产环境中应慎用此 cmdlet。

示例事件日志消息

事件 ID 10014（密码更改成功）

The changed password for the specified user was validated as compliant with the current Azure password policy.

UserName: SomeUser
FullName: Some User

事件 ID 10017（密码更改失败）：

The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.

UserName: SomeUser
FullName: Some User

事件 ID 30003（密码更改失败）：

The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.

UserName: SomeUser
FullName: Some User

事件 ID 10024（由于策略处于仅审核模式，因此已接受密码）

The changed password for the specified user would normally have been rejected because it did not comply with the current Azure password policy. The current Azure password policy is con-figured for audit-only mode so the password was accepted. Please see the correlated event log message for more details. 
 
UserName: SomeUser
FullName: Some User

事件 ID 30008（由于策略处于仅审核模式，因此已接受密码）

The changed password for the specified user would normally have been rejected because it matches at least one of the tokens present in the per-tenant banned password list of the current Azure password policy. The current Azure password policy is configured for audit-only mode so the password was accepted. 

UserName: SomeUser
FullName: Some User

事件 ID 30001（由于没有可用的策略，因此已接受密码）

The password for the specified user was accepted because an Azure password policy is not available yet

UserName: SomeUser
FullName: Some User

This condition may be caused by one or more of the following reasons:%n

1. The forest has not yet been registered with Azure.

   Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.

2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.

   Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.

3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.

   Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.

4. This DC does not have connectivity to other domain controllers in the domain.

   Resolution steps: ensure network connectivity exists to the domain.

事件 ID 30006（正在强制实施新策略）

The service is now enforcing the following Azure password policy.

 Enabled: 1
 AuditOnly: 1
 Global policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000Z
 Tenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600Z
 Enforce tenant policy: 1

事件 ID 30019（Microsoft Entra 密码保护已禁用）

The most recently obtained Azure password policy was configured to be disabled. All passwords submitted for validation from this point on will automatically be considered compliant with no processing performed.

No further events will be logged until the policy is changed.%n

DC 代理操作日志

DC 代理服务还会将操作相关的事件记录到以下日志：

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

DC 代理跟踪日志

DC 代理服务还会将详细的调试级别跟踪事件记录到以下日志：

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

默认已禁用跟踪日志记录。

警告

如果启用跟踪日志，此日志会收到大量的事件，从而可能影响域控制器的性能。因此，仅当某个问题需要更深入的调查，并且只需短时间启用此增强型日志时，才启用此日志。

DC 代理文本日志记录

可以通过设置以下注册表值，将 DC 代理服务配置为写入到文本日志：

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionDCAgent\Parameters!EnableTextLogging = 1 (REG_DWORD value)

默认已禁用文本日志记录。需要重启 DC 代理服务才能使此值的更改生效。启用后，DC 代理服务会写入到以下目录下的日志文件：

%ProgramFiles%\Azure AD Password Protection DC Agent\Logs

提示

文本日志接收可记录到跟踪日志的相同调试级别条目，但通常采用更简单的格式，可方便查看和分析。

警告

DC 代理性能监视

DC 代理服务软件会安装名为“Microsoft Entra 密码保护”的性能计数器对象。目前提供以下性能计数器：

性能计数器名称	说明
处理的密码数	此计数器显示自上次重启以来已处理的密码（接受或拒绝）总数。
接受的密码数	此计数器显示自上次重启以来已接受的密码总数。
拒绝的密码数	此计数器显示自上次重启以来已拒绝的密码总数。
正在处理的密码筛选器请求数	此计数器显示当前正在处理的密码筛选器请求数。
峰值密码筛选器请求数	此计数器显示自上次重启以来的并发密码筛选器请求的峰值数量。
密码筛选器请求错误数	此计数器显示自上次重启以来因出错而失败的密码筛选器请求总数。当 Microsoft Entra 密码保护 DC 代理服务未运行时，可能会发生错误。
每秒密码筛选器请求数	此计数器显示密码的处理速率。
密码筛选器请求处理时间	此计数器显示处理一个密码筛选器请求所需的平均时间。
峰值密码筛选器请求处理时间	此计数器显示自上次重启以来的峰值密码筛选器请求处理时间。
由于审核模式而接受的密码数	此计数器显示通常会被拒绝，但由于在审查模式下配置了密码策略配置而被接受的密码总数（自上次重启以来）。

DC 代理发现

Get-AzureADPasswordProtectionDCAgent cmdlet 可用于显示域或林中运行的各个 DC 代理的基本信息。从正在运行的 DC 代理服务注册的 serviceConnectionPoint 对象检索此信息。

此 cmdlet 的示例输出如下所示：

Get-AzureADPasswordProtectionDCAgent
ServerFQDN            : bplChildDC2.bplchild.bplRootDomain.com
Domain                : bplchild.bplRootDomain.com
Forest                : bplRootDomain.com
PasswordPolicyDateUTC : 2/16/2018 8:35:01 AM
HeartbeatUTC          : 2/16/2018 8:35:02 AM

每个 DC 代理服务大约每隔一小时更新各种属性。数据仍可能遇到 Active Directory 复制延迟。

使用 –Forest 或 –Domain 参数可以影响 cmdlet 查询的范围。

如果 HeartbeatUTC 值过时，可能会有以下症状：相应域控制器上的 Microsoft Entra 密码保护 DC 代理未运行或已卸载，或者计算机已降级，不再是域控制器。

如果 PasswordPolicyDateUTC 值过时，可能会有以下症状：相应计算机上的 Microsoft Entra 密码保护 DC 代理未正常运行。

可用的 DC 代理较新版本

检测到较新版本的 DC 代理软件可用时，DC 代理服务会将 30034 警告事件记录到操作日志中，例如：

An update for Azure AD Password Protection DC Agent is available.

If autoupgrade is enabled, this message may be ignored.

If autoupgrade is disabled, refer to the following link for the latest version available:

https://aka.ms/AzureADPasswordProtectionAgentSoftwareVersions

Current version: 1.2.116.0

上面的事件未指定新版软件的版本。应该转到事件消息中的该链接以获取相关信息。

注意

尽管上述事件消息中提到“自动升级”，但 DC 代理软件当前不支持此功能。

代理服务事件日志记录

代理服务将少量的事件发出到以下事件日志：

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Admin

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational

\Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace

请注意，跟踪日志默认处于禁用状态。

警告

如果启用跟踪日志，此日志会收到大量的事件，从而可能影响代理主机的性能。因此，仅当某个问题需要更深入的调查，并且只需短时间启用此日志时，才启用此日志。

各个代理组件使用以下范围记录事件：

组件	事件 ID 范围
代理服务主机进程	10000-19999
代理服务核心业务逻辑	20000-29999
PowerShell cmdlet	30000-39999

代理服务文本日志记录

可以通过设置以下注册表值，将代理服务配置为写入到文本日志：

HKLM\System\CurrentControlSet\Services\AzureADPasswordProtectionProxy\Parameters!EnableTextLogging = 1（REG_DWORD 值）

默认已禁用文本日志记录。需要重启代理服务才能使此值的更改生效。启用后，代理服务会写入到以下目录下的日志文件：

%ProgramFiles%\Azure AD Password Protection Proxy\Logs

提示

文本日志接收可记录到跟踪日志的相同调试级别条目，但通常采用更简单的格式，可方便查看和分析。

警告

如果启用，此日志会收到大量事件，可能会影响计算机性能。因此，仅当某个问题需要更深入的调查，并且只需短时间启用此增强型日志时，才启用此日志。

PowerShell cmdlet 日志记录

导致状态更改的 PowerShell cmdlet（例如，Register-AzureADPasswordProtectionProxy）通常会将结果事件记录到运行日志中。

此外，大多数 Microsoft Entra 密码保护 PowerShell cmdlet 还会将结果写入以下位置的文本日志：