針對錯誤SSPR_0029進行疑難解答:您的組織尚未正確設定密碼重設的內部部署設定

  • 發行項

本文可協助您針對自助式密碼重設 (SSPR 進行疑難解答) 錯誤「SSPR_0029:您的組織尚未正確設定密碼重設的內部部署設定」,此設定會在使用者或系統管理員輸入並確認 SSPR 頁面上的新密碼之後發生。

徵狀

使用者或系統管理員會採取下列步驟,然後收到 SSPR_0029 錯誤:

  1. 在網域中的 Microsoft 帳戶登入頁面或 Microsoft Azure 登入頁面 https://login.microsoftonline.com 上,使用者或系統管理員選取 [ 無法存取您的帳戶?]、 [忘記我的密碼] 或 [立即重設]

  2. 使用者或系統管理員會選取 [公司或學校帳戶 ] 帳戶類型。 然後,系統會將它們重新導向至的 SSPR 頁面 https://passwordreset.microsoftonline.com ,以開始 回到您的帳戶 流程。

  3. 在 [ 您是誰?] 畫面上,使用者或系統管理員輸入其使用者標識碼、完成不區分大小寫的 Captcha 安全性挑戰,然後選取 [ 下一步]

  4. 在 [ 為什麼您無法登入?] 畫面上 ,用戶或系統管理員選取 [ 我忘記密碼>][下一步]

  5. [選擇新的密碼 ] 畫面上,使用者或系統管理員輸入並確認新的密碼字串,然後選取 [ 完成]。 然後,[ 很抱歉] 畫面隨即出現,並顯示下列訊息:

    SSPR_0029:您的組織尚未正確設定內部部署設定以進行密碼重設。

    如果您是系統管理員,您可以從針對密碼回寫進行疑難解答一文取得詳細資訊。 如果您不是系統管理員,您可以在連絡系統管理員時提供這項資訊。

原因 1:無法使用密碼回寫來重設已同步處理之 Windows Active Directory 系統管理員的密碼

您是屬於 (或) 屬於 內部部署的 Active Directory 受保護群組的已同步處理 Windows Active Directory 系統管理員,而且您無法使用 SSPR 和密碼回寫來重設內部部署密碼。

解決方案:任何 (行為都是設計)

基於安全性,存在於本機 Active Directory 受保護群組內的系統管理員帳戶無法與密碼回寫搭配使用。 系統管理員可以在雲端中變更其密碼,但無法重設忘記的密碼。 如需詳細資訊,請參閱自助式密碼重設回寫如何在 Microsoft Entra ID 中運作

原因 2:AD DS 連接器帳戶沒有正確的 Active Directory 許可權

同步處理的使用者在 Active Directory 中遺失正確的許可權。

解決方案:解決 Active Directory 許可權問題

若要解決影響 Active Directory 許可權的問題,請參閱 密碼回寫訪問許可權和許可權

因應措施:以不同的Active Directory域控制器為目標

注意事項

密碼回寫相依於舊版 API NetUserGetInfo。 API NetUserGetInfo 需要 Active Directory 中一組難以識別的複雜允許許可權,特別是當 Microsoft Entra Connect 伺服器在域控制器上執行時。 如需詳細資訊,請 參閱使用 NetUserGetInfo 和類似 API 的應用程式依賴特定 Active Directory 對象的讀取許可權

您是否有在域控制器上執行 Microsoft Entra Connect 伺服器,而且無法解析 Active Directory 許可權的案例? 在此情況下,建議您在成員伺服器上部署 Microsoft Entra Connect 伺服器,而不是域控制器。 或者,使用下列步驟,將 Active Directory 連接器設定為 [僅使用慣用的域控制器 ]:

  1. 在 [開始] 功能表上,搜尋並選取 [同步處理 Service Manager]

  2. 在 [同步處理 Service Manager] 視窗中,選取 [連接器] 索引標籤

  3. 以滑鼠右鍵按兩下連接器清單中的 Active Directory 連接器,然後選取 [ 屬性]

  4. 在 [屬性] 對話方塊的 [連接器 Designer] 窗格中,選取 [設定目錄數據分割]

  5. 在 [ 設定目錄分割區 ] 窗格中,選取 [ 僅使用慣用域控制器 ] 選項,然後選取 [ 設定]

  6. 在 [ 設定慣用 DC ] 對話框中,新增一或多個指向不同域控制器的伺服器名稱, (或域控制器) 與本機主機不同。

  7. 若要儲存變更並返回主視窗,請選取 [ 確定 ] 三次,包括在顯示進階組態免責聲明的 [ 警告 ] 對話框中。

原因 3:不允許伺服器對安全性帳戶管理員進行遠端呼叫 (SAM)

在此情況下,會記錄兩個類似的應用程式錯誤事件:事件標識碼 33004 和 6329。 事件標識碼 6329 與 33004 不同,因為它在伺服器嘗試對 SAM 進行遠端呼叫時,在堆棧追蹤中包含 ERROR_ACCESS_DENIED 錯誤碼:

ERR_:MMS (###) :admaexport.cpp (2944) :無法取得用戶資訊:Contoso\MSOL_############。 錯誤碼:ERROR_ACCESS_DENIED

如果 Microsoft Entra Connect 伺服器或域控制器已或已使用網域 群組原則 物件套用強化安全性設定, (GPO) 或伺服器的本機安全策略中套用此情況。 若要檢查是否為這種情況,請遵循下列步驟:

  1. 開啟系統管理指令提示字元視窗,然後執行下列命令:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. 在網頁瀏覽器中開啟C:\Temp\gpresult.htm 檔案,然後展開 [計算機詳細>數據設定>>原則] [Windows 設定安全性>>設定] [本機原則/安全性選項>] [網络存取]。 然後,檢查您是否有名為 [網络存取: 限制用戶端允許對 SAM 進行遠端呼叫] 的設定。

  3. 若要開啟本機安全策略嵌入式管理單元,請選取 [ 開始]、輸入 secpol.msc、按 Enter,然後展開 [ 本機原則>] [展開安全性選項]

  4. 在原則清單中,選 取 [網络存取:限制允許對 SAM 進行遠端呼叫的用戶端]。 如果未啟用設定,[ 安全性設定 ] 資料行會顯示 [未 定義 ],如果啟用設定,則會顯示 O:BAG:... 安全描述符值。 如果已啟用此設定,您也可以選取 [屬性] 圖示,以查看目前套用的 存取控制 清單 (ACL) 。

    注意事項

    根據預設,此原則設定會關閉。 透過 GPO 或本機原則設定在裝置上套用此設定時,會在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ 登錄路徑中建立名為 RestrictRemoteSam 的登錄值。 不過,在定義並套用至伺服器之後,可能很難清除此登錄設定。 停用 群組原則 設定或清除 群組原則 Management Console 中的 [定義此原則設定] 選項 (GPMC) 並不會移除登錄專案。 因此,伺服器仍然會限制哪些用戶端可以對 SAM 進行遠端呼叫。

    如何正確地確認 Microsoft Entra Connect 伺服器或域控制器仍在限制 SAM 的遠端呼叫? 您可以在 PowerShell 中執行 Get-ItemProperty Cmdlet,以檢查登錄專案是否仍然存在:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

PowerShell 輸出是否顯示 RestrictRemoteSam 登錄專案仍然存在? 如果是,您有兩個可能的解決方案。

解決方案 1:將 AD DS 連接器帳戶新增至允許的使用者清單

保持網路存取:限制允許客戶端在 Microsoft Entra Connect 伺服器上啟用並套用 SAM 原則設定的遠端呼叫,但將 Active Directory 網域服務 (AD DS) 連接器帳戶 (MSOL_帳戶) 新增至允許的使用者清單。 如需指示,請參閱下列步驟:

  1. 如果您不知道 AD DS 連接器帳戶的名稱,請參閱 識別 AD DS 連接器帳戶

  2. 在 GPMC 或本機安全策略嵌入式管理單元中,返回該原則設定的屬性對話框。

  3. 取 [編輯安全 性] 以顯示 [ 遠端存取 SAM 的安全性設定 ] 對話框。

  4. 在 [ 群組或使用者名稱] 清單中,選取 [ 新增 ] 以顯示 [ 選取使用者或群組 ] 對話方塊。 在 [ 輸入要選取的物件名稱 ] 方塊中,輸入 AD DS 連接器帳戶的名稱 (MSOL_ 帳戶) ,然後選取 [ 確定 ] 結束該對話框。

  5. 選取清單中的 AD DS 連接器帳戶。 在 [帳戶名稱>的<許可權] 下方的 [遠端存取] 資料列中,選取 [允許]

  6. 選取 [確定] 兩次以接受原則設定變更,並返回原則設定清單。

  7. 開啟系統管理命令提示字元視窗,然後執行 gpupdate 命令以強制執行 群組原則 更新:

    gpupdate /force

解決方案 2:移除 網路存取:限制允許對 SAM 原則進行遠端呼叫 的用戶端設定,然後手動刪除 RestrictRemoteSam 登錄專案

  1. 如果安全性設定是從本機安全策略套用,請移至步驟 4。

  2. 從域控制器開啟 GPMC 嵌入式管理單元,並編輯個別的網域 GPO。

  3. 展開 [計算機設定>原則>] [Windows 設定>] [安全性>設定] [計算機設定>本機原則>] [安全性選項]

  4. 在安全性選項清單中,選 取 [網络存取:限制允許對 SAM 進行遠端呼叫的客戶端]、開啟 [ 屬性],然後停用 [定義此原則設定]

  5. 開啟系統管理命令提示字元視窗,然後執行 gpupdate 命令以強制執行 群組原則 更新:

    gpupdate /force

  6. 若要產生新的 群組原則 結果報表 (GPreport.htm) ,請執行 gpresult 命令,然後在網頁瀏覽器中開啟新的報表:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. 檢查報表,確定未定義 [網络存取: 限制允許對 SAM 進行遠端呼叫的客戶 端] 的原則設定。

  8. 開啟系統管理 PowerShell 主控台。

  9. 若要移除 RestrictRemoteSam 登錄專案,請執行 Remove-ItemProperty Cmdlet:

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    注意事項

    如果您刪除 RestrictRemoteSam 登錄專案,但未移除網域 GPO 設定,則會在下一個重新整理週期 群組原則 重新建立此登錄專案,而且SSPR_0029錯誤會重複發生。

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群