Problembehandlung beim Azure AD-KennwortschutzAzure AD Password Protection troubleshooting

Nach der Bereitstellung des Azure AD-Kennwortschutzes ist möglicherweise eine Problembehandlung erforderlich.After the deployment of Azure AD Password Protection, troubleshooting may be required. In diesem Artikel werden einige allgemeine Problembehandlungsschritte ausführlich beschrieben, damit Sie diese besser verstehen können.This article goes into detail to help you understand some common troubleshooting steps.

Der DC-Agent hat einen Proxy nicht im Verzeichnis gefunden.The DC agent cannot locate a proxy in the directory

Das wichtigste Anzeichen für dieses Problem sind Ereignisse vom Typ „30017“ im Administratorereignisprotokoll des DC-Agents.The main symptom of this problem is 30017 events in the DC agent Admin event log.

Das Problem ist in der Regel darauf zurückzuführen, dass ein Proxy noch nicht registriert wurde.The usual cause of this issue is that a proxy has not yet been registered. Wenn ein Proxy registriert wurde, kann es aufgrund der AD-Replikationswartezeit zu einer Verzögerung kommen, bevor ein bestimmter DC-Agent den Proxy sehen kann.If a proxy has been registered, there may be some delay due to AD replication latency until a particular DC agent is able to see that proxy.

Der DC-Agent kann nicht mit einem Proxy kommunizieren.The DC agent is not able to communicate with a proxy

Das wichtigste Anzeichen für dieses Problem sind Ereignisse vom Typ „30018“ im Administratorereignisprotokoll des DC-Agents.The main symptom of this problem is 30018 events in the DC agent Admin event log. Dieses Problem kann mehrere mögliche Ursachen haben:This problem may have several possible causes:

  1. Der DC-Agent befindet sich in einem isolierten Teil des Netzwerks, der keine Netzwerkkonnektivität mit dem bzw. den registrierten Proxy(s) zulässt.The DC agent is located in an isolated portion of the network that does not allow network connectivity to the registered proxy(s). Dieses Problem ist harmlos, solange andere DC-Agents mit den Proxys kommunizieren können, um Kennwortrichtlinien aus Azure herunterzuladen.This problem may be benign as long as other DC agents can communicate with the proxy(s) in order to download password policies from Azure. Nach dem Herunterladen werden diese Richtlinien dann vom isolierten Domänencontroller (DC) per Replikation der Richtliniendateien in der SYSVOL-Freigabe abgerufen.Once downloaded, those policies will then be obtained by the isolated DC via replication of the policy files in the sysvol share.

  2. Der Proxyhostcomputer blockiert den Zugriff auf den RPC-Endpunktzuordnungsendpunkt (Port 135).The proxy host machine is blocking access to the RPC endpoint mapper endpoint (port 135)

    Das Installationsprogramm für den Proxy des Azure AD-Kennwortschutzes erstellt automatisch eine eingehende Windows-Firewallregel, die den Zugriff auf Port 135 zulässt.The Azure AD Password Protection Proxy installer automatically creates a Windows Firewall inbound rule that allows access to port 135. Wird diese Regel später gelöscht oder deaktiviert, können DC-Agents nicht mit dem Proxydienst kommunizieren.If this rule is later deleted or disabled, DC agents will be unable to communicate with the Proxy service. Wenn die integrierte Windows-Firewall deaktiviert wurde, um stattdessen ein anderes Firewallprodukt zu verwenden, müssen Sie diese andere Firewall zum Zulassen des Zugriffs auf Port 135 konfigurieren.If the builtin Windows Firewall has been disabled in lieu of another firewall product, you must configure that firewall to allow access to port 135.

  3. Der Proxyhostcomputer blockiert den Zugriff auf den RPC-Endpunkt (dynamisch oder statisch), an dem der Proxydienst lauscht.The proxy host machine is blocking access to the RPC endpoint (dynamic or static) listened on by the Proxy service

    Das Installationsprogramm für den Proxy des Azure AD-Kennwortschutzes erstellt automatisch eine eingehende Windows-Firewallregel, die den Zugriff auf alle eingehenden Ports zulässt, an denen der Proxydienst des Azure AD-Kennwortschutzes lauscht.The Azure AD Password Protection Proxy installer automatically creates a Windows Firewall inbound rule that allows access to any inbound ports listened to by the Azure AD Password Protection Proxy service. Wird diese Regel später gelöscht oder deaktiviert, können DC-Agents nicht mit dem Proxydienst kommunizieren.If this rule is later deleted or disabled, DC agents will be unable to communicate with the Proxy service. Wenn die integrierte Windows-Firewall deaktiviert wurde, um stattdessen ein anderes Firewallprodukt zu verwenden, müssen Sie diese andere Firewall zum Zulassen des Zugriffs auf alle eingehenden Ports konfigurieren, an denen der Proxydienst des Azure AD-Kennwortschutzes lauscht.If the builtin Windows Firewall has been disabled in lieu of another firewall product, you must configure that firewall to allow access to any inbound ports listened to by the Azure AD Password Protection Proxy service. Diese Konfiguration kann präzisiert werden, wenn der Proxydienst zum Lauschen an einem bestimmten statischen RPC-Port konfiguriert wurde (mit dem Cmdlet Set-AzureADPasswordProtectionProxyConfiguration).This configuration may be made more specific if the Proxy service has been configured to listen on a specific static RPC port (using the Set-AzureADPasswordProtectionProxyConfiguration cmdlet).

  4. Der Proxyhostcomputer ist nicht so konfiguriert, dass Anmeldungen beim Computer durch Domänencontroller zulässig sind.The proxy host machine is not configured to allow domain controllers the ability to log on to the machine. Dieses Verhalten wird über die Zuweisung der Benutzerberechtigung „Auf diesen Computer vom Netzwerk aus zugreifen“ gesteuert.This behavior is controlled via the "Access this computer from the network" user privilege assignment. Allen Domänencontrollern in allen Domänen in der Gesamtstruktur muss diese Berechtigung erteilt werden.All domain controllers in all domains in the forest must be granted this privilege. Diese Einstellung wird häufig im Rahmen eines größeren Aufwands für die Netzwerkhärtung eingeschränkt.This setting is often constrained as part of a larger network hardening effort.

Der Proxydienst kann nicht mit Azure kommunizierenProxy service is unable to communicate with Azure

  1. Stellen Sie sicher, dass der Proxycomputer über Konnektivität mit den Endpunkten verfügt, die in den Bereitstellungsanforderungen aufgeführt sind.Ensure the proxy machine has connectivity to the endpoints listed in the deployment requirements.

  2. Stellen Sie sicher, dass die Gesamtstruktur und alle Proxyserver für denselben Azure-Mandanten registriert sind.Ensure that the forest and all proxy servers are registered against the same Azure tenant.

    Sie können diese Anforderung überprüfen, indem Sie die PowerShell-Cmdlets Get-AzureADPasswordProtectionProxy und Get-AzureADPasswordProtectionDCAgent ausführen und dann die AzureTenant-Eigenschaft für jedes zurückgegebene Element vergleichen.You can check this requirement by running the Get-AzureADPasswordProtectionProxy and Get-AzureADPasswordProtectionDCAgent PowerShell cmdlets, then compare the AzureTenant property of each returned item. Zur ordnungsgemäßen Ausführung muss der gemeldete Mandantenname für alle DC-Agents und Proxyserver identisch sein.For correct operation, the reported tenant name must be the same across all DC agents and proxy servers.

    Wenn ein Registrierungskonflikt bei einem Azure-Mandanten vorliegt, kann dieser durch Ausführen des PowerShell-Cmdlets Register-AzureADPasswordProtectionProxy und/oder Register-AzureADPasswordProtectionForest (je nach Bedarf) behoben werden, indem sichergestellt wird, dass für alle Registrierungen die Anmeldeinformationen desselben Azure-Mandanten verwendet werden.If an Azure tenant registration mismatch condition does exist, this problem can be fixed by running the Register-AzureADPasswordProtectionProxy and/or Register-AzureADPasswordProtectionForest PowerShell cmdlets as needed, making sure to use credentials from the same Azure tenant for all registrations.

Der DC-Agent kann Kennwortrichtliniendateien nicht ver- oder entschlüsselnDC agent is unable to encrypt or decrypt password policy files

Der Azure AD-Kennwortschutz weist eine kritische Abhängigkeit von der Ver- und Entschlüsselungsfunktion des Microsoft-Schlüsselverteilungsdiensts (Key Distribution Service, KDS) auf.Azure AD Password Protection has a critical dependency on the encryption and decryption functionality supplied by the Microsoft Key Distribution Service. Verschlüsselungs- oder Entschlüsselungsfehler können mit einer Vielzahl von Symptomen auftreten und verschiedene mögliche Ursachen haben.Encryption or decryption failures can manifest with a variety of symptoms and have several potential causes.

  1. Stellen Sie sicher, dass der Schlüsselverteilungsdienst auf allen Windows Server 2012-Domänencontrollern (und höher) in einer Domäne aktiviert und funktionsfähig ist.Ensure that the KDS service is enabled and functional on all Windows Server 2012 and later domain controllers in a domain.

    Der Startmodus des Schlüsselverteilungsdiensts ist standardmäßig auf „Manuell“ (Start durch Auslöser) festgelegt.By default the KDS service's service start mode is configured as Manual (Trigger Start). Bei dieser Konfiguration wird der Dienst bei Bedarf gestartet, wenn ein Client zum ersten Mal versucht, ihn zu verwenden.This configuration means that the first time a client tries to use the service, it is started on-demand. Der Standardstartmodus des Diensts ist für die Verwendung des Azure AD-Kennwortschutzes akzeptabel.This default service start mode is acceptable for Azure AD Password Protection to work.

    Wenn der Startmodus des Schlüsselverteilungsdiensts auf „Deaktiviert“ festgelegt wurde, muss die Konfiguration geändert werden, damit der Azure AD-Kennwortschutz einwandfrei funktioniert.If the KDS service start mode has been configured to Disabled, this configuration must be fixed before Azure AD Password Protection will work properly.

    Für dieses Problem kann ein einfacher Test durchgeführt werden: Starten Sie den Schlüsselverteilungsdienst manuell über die MMC-Konsole der Dienstverwaltung oder mit einem anderen Verwaltungstool (führen Sie z.B. „net start kdssvc“ in einer Eingabeaufforderungskonsole aus).A simple test for this issue is to manually start the KDS service, either via the Service management MMC console, or using other management tools (for example, run "net start kdssvc" from a command prompt console). Der Schlüsselverteilungsdienst sollte erfolgreich gestartet und weiter ausgeführt werden.The KDS service is expected to start successfully and stay running.

    Wenn der Schlüsselverteilungsdienst nicht gestartet werden kann, liegt dies in den meisten Fällen daran, dass sich das Active Directory-Domänencontrollerobjekt außerhalb der Standardorganisationseinheit der Domänencontroller befindet.The most common root cause for the KDS service being unable to start is that the Active Directory domain controller object is located outside of the default Domain Controllers OU. Diese Konfiguration wird nicht vom Schlüsselverteilungsdienst unterstützt und ist keine Einschränkung, die der Azure AD-Kennwortschutz erfordert.This configuration is not supported by the KDS service and is not a limitation imposed by Azure AD Password Protection. Sie können das Problem beheben, indem Sie das Domänencontrollerobjekt an einen Speicherort unter der Standardorganisationseinheit der Domänencontroller verschieben.The fix for this condition is to move the domain controller object to a location under the default Domain Controllers OU.

  2. Nicht kompatible, vom Schlüsselverteilungsdienst verschlüsselte Pufferformatänderungen zwischen Windows Server 2012 R2 und Windows Server 2016Incompatible KDS encrypted buffer format change from Windows Server 2012 R2 to Windows Server 2016

    In Windows Server 2016 wurde ein Sicherheitsfix für den Schlüsselverteilungsdienst eingeführt, der das Format der vom Schlüsselverteilungsdienst verschlüsselten Puffer modifiziert; bei der Entschlüsselung dieser Puffer treten unter Windows Server 2012 und Windows Server 2012 R2 manchmal Fehler auf.A KDS security fix was introduced in Windows Server 2016 that modifies the format of KDS encrypted buffers; these buffers will sometimes fail to decrypt on Windows Server 2012 and Windows Server 2012 R2. Die umgekehrte Richtung ist in Ordnung. Puffer, die unter Windows Server 2012 und Windows Server 2012 R2 vom Schlüsselverteilungsdienst verschlüsselt wurden, werden unter Windows Server 2016 und höher immer erfolgreich entschlüsselt.The reverse direction is okay - buffers that are KDS-encrypted on Windows Server 2012 and Windows Server 2012 R2 will always successfully decrypt on Windows Server 2016 and later. Wenn auf den Domänencontrollern in Ihren Active Directory-Domänen eine Kombination dieser Betriebssysteme ausgeführt wird, können gelegentlich Entschlüsselungsfehler beim Azure AD-Kennwortschutz gemeldet werden.If the domain controllers in your Active Directory domains are running a mix of these operating systems, occasional Azure AD Password Protection decryption failures may be reported. Aufgrund der Art des Sicherheitsfixes ist es nicht möglich, das zeitliche Auftreten oder die Symptome dieser Fehler genau vorherzusagen. Aus diesem Grund ist nicht vorher bestimmbar, welcher DC-Agent für den Azure AD-Kennwortschutz auf welchem Domänencontroller die Daten zu einem bestimmten Zeitpunkt verschlüsselt.It is not possible to accurately predict the timing or symptoms of these failures given the nature of the security fix, and given that it is non-deterministic which Azure AD Password Protection DC Agent on which domain controller will encrypt data at a given time.

    Microsoft untersucht eine Lösung für dieses Problem, kann aber noch keine Aussagen zum Zeitpunkt der Verfügbarkeit machen.Microsoft is investigating a fix for this issue but no ETA is available yet. Als Problemumgehung kann in der Zwischenzeit nur empfohlen werden, keine Kombination dieser inkompatiblen Betriebssysteme in Ihrer Active Directory-Domäne auszuführen.In the meantime, there is no workaround for this issue other than to not run a mix of these incompatible operating systems in your Active Directory domain(s). Anders ausgedrückt: Sie sollten nur Windows Server 2012- und Windows Server 2012 R2-Domänencontroller oder nur Windows Server 2016-Domänencontroller (und höher) ausführen.In other words, you should run only Windows Server 2012 and Windows Server 2012 R2 domain controllers, OR you should only run Windows Server 2016 and above domain controllers.

Unsichere Kennwörter werden akzeptiert, obwohl dies nicht der Fall sein sollte.Weak passwords are being accepted but should not be

Dieses Problem kann mehrere Ursachen haben.This problem may have several causes.

  1. Auf Ihren DC-Agents wird eine öffentliche Vorschauversion der Software ausgeführt, die abgelaufen ist.Your DC agent(s) are running a public preview software version that has expired. Informationen dazu finden Sie unter Öffentliche Vorschauversion der DC-Agent-Software ist abgelaufen.See Public preview DC agent software has expired.

  2. Ihr(e) DC-Agent(s) kann bzw. können eine Richtlinie nicht herunterladen oder vorhandene Richtlinien nicht entschlüsseln.Your DC agent(s) cannot download a policy or is unable to decrypt existing policies. Überprüfen Sie in den obigen Abschnitten, ob eines der dort beschriebenen Probleme die Ursache ist.Check for possible causes in the above topics.

  3. Der Erwingungsmodus der Kennwortrichtlinie ist noch auf „Überwachung“ eingestellt.The password policy Enforce mode is still set to Audit. Wenn diese Konfiguration aktiv ist, konfigurieren Sie den Modus im Azure AD-Kennwortschutzportal neu, und legen Sie „Erzwingen“ fest.If this configuration is in effect, reconfigure it to Enforce using the Azure AD Password Protection portal. Siehe Aktivieren des Kennwortschutzes.See Enable Password protection.

  4. Die Kennwortrichtlinie wurde deaktiviert.The password policy has been disabled. Wenn diese Konfiguration aktiv ist, konfigurieren Sie die Richtlinie im Azure AD-Kennwortschutzportal neu, und legen Sie „Aktiviert“ fest.If this configuration is in effect, reconfigure it to enabled using the Azure AD Password Protection portal. Siehe Aktivieren des Kennwortschutzes.See Enable Password protection.

  5. Sie haben die DC-Agent-Software nicht auf allen Domänencontrollern in der Domäne installiert.You have not installed the DC agent software on all domain controllers in the domain. In diesem Fall ist es schwierig sicherzustellen, dass Windows-Remoteclients während einer Kennwortänderung einen bestimmten Domänencontroller als Ziel verwenden.In this situation, it is difficult to ensure that remote Windows clients target a particular domain controller during a password change operation. Wenn Sie der Meinung sind, dass Sie einen bestimmten Domänencontroller mit der DC-Agent-Software erfolgreich als Ziel festgelegt haben, können Sie dies im DC-Agent-Administratorereignisprotokoll nochmals überprüfen: Das Ergebnis der Kennwortüberprüfung wird unabhängig von seinem Wert in mindestens einem Ereignis dokumentiert.If you think you have successfully targeted a particular DC where the DC agent software is installed, you can verify by double-checking the DC agent admin event log: regardless of outcome, there will be at least one event to document the outcome of the password validation. Ist für den Benutzer, dessen Kennwort geändert wird, kein Ereignis vorhanden, wurde die Kennwortänderung wahrscheinlich von einem anderen Domänencontroller verarbeitet.If there is no event present for the user whose password is changed, then the password change was likely processed by a different domain controller.

    Alternativ können Sie folgenden Test durchführen: Versuchen Sie, Kennwörter festzulegen bzw. zu ändern, während Sie direkt bei einem Domänencontroller angemeldet sind, auf dem die DC-Agent-Software installiert ist.As an alternative test, try setting\changing passwords while logged in directly to a DC where the DC agent software is installed. Diese Vorgehensweise wird nicht für Active Directory-Produktionsdomänen empfohlen.This technique is not recommended for production Active Directory domains.

    Die inkrementelle Bereitstellung der DC-Agent-Software wird zwar unterstützt (mit den obigen Einschränkungen), Microsoft empfiehlt jedoch ausdrücklich, die DC-Agent-Software so bald wie möglich auf allen Domänencontrollern in einer Domäne zu installieren.While incremental deployment of the DC agent software is supported subject to these limitations, Microsoft strongly recommends that the DC agent software is installed on all domain controllers in a domain as soon as possible.

  6. Möglicherweise funktioniert der Kennwortüberprüfungsalgorithmus wie erwartet.The password validation algorithm may actually be working as expected. Siehe Auswerten von Kennwörtern.See How are passwords evaluated.

Fehler beim Festlegen eines unsicheren DSRM-Kennworts über „Ntdsutil.exe“Ntdsutil.exe fails to set a weak DSRM password

Active Directory führt für ein neues DSRM-Kennwort (Directory Services Repair Mode, Reparaturmodus für Verzeichnisdienste) stets eine Überprüfung durch, um sicherzustellen, dass es die Kennwortkomplexitätsanforderungen der Domäne erfüllt. Bei dieser Überprüfung werden auch Kennwortfilter-DLLs wie z.B. der Azure AD-Kennwortschutz einbezogen.Active Directory will always validate a new Directory Services Repair Mode password to make sure it meets the domain's password complexity requirements; this validation also calls into password filter dlls like Azure AD Password Protection. Wenn das neue DSRM-Kennwort abgelehnt wird, wird die folgende Fehlermeldung angezeigt:If the new DSRM password is rejected, the following error message results:

C:\>ntdsutil.exe
ntdsutil: set dsrm password
Reset DSRM Administrator Password: reset password on server null
Please type password for DS Restore Mode Administrator Account: ********
Please confirm new password: ********
Setting password failed.
        WIN32 Error Code: 0xa91
        Error Message: Password doesn't meet the requirements of the filter dll's

Für die vom Azure AD-Kennwortschutz erfassten Ereignisprotokolle zur Kennwortüberprüfung für ein Active Directory-DSRM-Kennwort wird erwartet, dass die Ereignisprotokollmeldungen keinen Benutzernamen enthalten.When Azure AD Password Protection logs the password validation event log event(s) for an Active Directory DSRM password, it is expected that the event log messages will not include a user name. Dieses Verhalten tritt auf, weil das DSRM-Konto ein lokales Konto ist, das nicht der eigentlichen Active Directory-Domäne angehört.This behavior occurs because the DSRM account is a local account that is not part of the actual Active Directory domain.

Fehler beim Höherstufen des Domänencontrollerreplikats aufgrund eines unsicheren DSRM-KennwortsDomain controller replica promotion fails because of a weak DSRM password

Beim Höherstufen des Domänencontrollers wird das neue DSRM-Kennwort zur Überprüfung an einen vorhandenen Domänencontroller in der Domäne übermittelt.During the DC promotion process, the new Directory Services Repair Mode password will be submitted to an existing DC in the domain for validation. Wenn das neue DSRM-Kennwort abgelehnt wird, wird die folgende Fehlermeldung angezeigt:If the new DSRM password is rejected, the following error message results:

Install-ADDSDomainController : Verification of prerequisites for Domain Controller promotion failed. The Directory Services Restore Mode password does not meet a requirement of the password filter(s). Supply a suitable password.

Ebenso wie beim Problem oben enthält das ausgegebene Ereignis der Überprüfung durch den Azure AD-Kennwortschutz für dieses Szenario leere Benutzernamen.Just like in the above issue, any Azure AD Password Protection password validation outcome event will have empty user names for this scenario.

Fehler beim Herabstufen des Domänencontrollers aufgrund eines unsicheren lokalen AdministratorkennwortsDomain controller demotion fails due to a weak local Administrator password

Dies wird unterstützt, um einen Domänencontroller herabzustufen, der noch die DC-Agent-Software ausführt.It is supported to demote a domain controller that is still running the DC agent software. Administratoren sollten jedoch bedenken, dass die DC-Agent-Software während der Herabstufung weiterhin die Durchsetzung der aktuellen Kennwortrichtlinie erzwingt.Administrators should be aware however that the DC agent software continues to enforce the current password policy during the demotion procedure. Das neue lokale Kennwort des Administratorkontos (angegeben als Teil des Herabstufungsvorgangs) wird wie jedes andere Kennwort überprüft.The new local Administrator account password (specified as part of the demotion operation) is validated like any other password. Microsoft empfiehlt im Rahmen der Herabstufung eines Domänencontrollers die Auswahl sicherer Kennwörter für lokale Administratorkonten.Microsoft recommends that secure passwords be chosen for local Administrator accounts as part of a DC demotion procedure.

Wenn die Herabstufung erfolgreich abgeschlossen, der Domänencontroller neu gestartet wurde und wieder als normaler Mitgliedsserver ausgeführt wird, kehrt die DC-Agent-Software zur Ausführung im passiven Modus zurück.Once the demotion has succeeded, and the domain controller has been rebooted and is again running as a normal member server, the DC agent software reverts to running in a passive mode. Sie kann dann zu einem beliebigen Zeitpunkt deinstalliert werden.It may then be uninstalled at any time.

Start im Reparaturmodus für VerzeichnisdiensteBooting into Directory Services Repair Mode

Wenn der Domänencontroller im Reparaturmodus für Verzeichnisdienste gestartet wird, erkennt dies die DC-Agent-Kennwortfilter-DLL und veranlasst unabhängig von der derzeit aktiven Richtlinienkonfiguration die Deaktivierung aller Kennwortüberprüfungs- oder Erzwingungsaktivitäten.If the domain controller is booted into Directory Services Repair Mode, the DC agent password filter dll detects this condition and will cause all password validation or enforcement activities to be disabled, regardless of the currently active policy configuration. Die DC-Agent-Kennwortfilter-DLL protokolliert ein Warnungsereignis vom Typ „10023“ im Administratorereignisprotokoll. Beispiel:The DC agent password filter dll will log a 10023 warning event to the Admin event log, for example:

The password filter dll is loaded but the machine appears to be a domain controller that has been booted into Directory Services Repair Mode. All password change and set requests will be automatically approved. No further messages will be logged until after the next reboot.

Öffentliche Vorschauversion der DC-Agent-Software ist abgelaufenPublic preview DC agent software has expired

Während der öffentlichen Vorschauphase des Azure AD-Kennwortschutzes war die DC-Agent-Software hartcodiert, um die Verarbeitung von Kennwortüberprüfungsanforderungen an den folgenden Terminen zu beenden:During the Azure AD Password Protection public preview period, the DC agent software was hard-coded to stop processing password validation requests on the following dates:

  • Version 1.2.65.0 beendet die Verarbeitung von Kennwortüberprüfungsanforderungen am 1. September 2019.Version 1.2.65.0 will stop processing password validation requests on September 1 2019.
  • Version 1.2.25.0 und frühere Versionen haben die Verarbeitung von Kennwortüberprüfungsanforderungen am 1. Juli 2019 beendet.Version 1.2.25.0 and prior stopped processing password validation requests on July 1 2019.

Bei Näherrücken des Termins geben alle zeitlich begrenzten DC-Agent-Versionen zum Startzeitpunkt ein Ereignis von Typ „10021“ im DC-Agent-Administratorereignisprotokoll aus, das Folgendem ähnelt:As the deadline approaches, all time-limited DC agent versions will emit a 10021 event in the DC agent Admin event log at boot time that looks like this:

The password filter dll has successfully loaded and initialized.

The allowable trial period is nearing expiration. Once the trial period has expired, the password filter dll will no longer process passwords. Please contact Microsoft for an newer supported version of the software.

Expiration date:  9/01/2019 0:00:00 AM

This message will not be repeated until the next reboot.

Nach Ablauf des Termins geben alle zeitlich begrenzten DC-Agent-Versionen zum Startzeitpunkt ein Ereignis von Typ „10022“ im DC-Agent-Administratorereignisprotokoll aus, das Folgendem ähnelt:Once the deadline has passed, all time-limited DC agent versions will emit a 10022 event in the DC agent Admin event log at boot time that looks like this:

The password filter dll is loaded but the allowable trial period has expired. All password change and set requests will be automatically approved. Please contact Microsoft for a newer supported version of the software.

No further messages will be logged until after the next reboot.

Da der Ablauftermin nur beim ersten Start geprüft wird, werden diese Ereignisse möglicherweise erst lange nach Ablauf der Frist angezeigt.Since the deadline is only checked on initial boot, you may not see these events until long after the calendar deadline has passed. Wenn der Ablauf der Frist erkannt wird, treten keine negativen Auswirkungen für den Domänencontroller oder die größere Umgebung auf, außer dass alle Kennwörter automatisch genehmigt werden.Once the deadline has been recognized, no negative effects on either the domain controller or the larger environment will occur other than all passwords will be automatically approved.

Wichtig

Microsoft empfiehlt, für abgelaufene DC-Agents in der öffentlichen Vorschauversion sofort ein Upgrade auf die neueste Version durchzuführen.Microsoft recommends that expired public preview DC agents be immediately upgraded to the latest version.

Eine einfache Möglichkeit, um DC-Agents in Ihrer Umgebung zu ermitteln, für die ein Upgrade durchgeführt werden muss, ist das Ausführen des Cmdlets Get-AzureADPasswordProtectionDCAgent. Beispiel:An easy way to discover DC agents in your environment that need to be upgrade is by running the Get-AzureADPasswordProtectionDCAgent cmdlet, for example:

PS C:\> Get-AzureADPasswordProtectionDCAgent

ServerFQDN            : bpl1.bpl.com
SoftwareVersion       : 1.2.125.0
Domain                : bpl.com
Forest                : bpl.com
PasswordPolicyDateUTC : 8/1/2019 9:18:05 PM
HeartbeatUTC          : 8/1/2019 10:00:00 PM
AzureTenant           : bpltest.onmicrosoft.com

In diesem Zusammenhang enthält das Feld „SoftwareVersion“ natürlich die wichtigste Eigenschaft.For this topic, the SoftwareVersion field is obviously the key property to look at. Sie können auch die PowerShell-Filterung verwenden, um DC-Agents herauszufiltern, die bereits über mindestens die erforderliche Basisversion verfügen. Beispiel:You can also use PowerShell filtering to filter out DC agents that are already at or above the required baseline version, for example:

PS C:\> $LatestAzureADPasswordProtectionVersion = "1.2.125.0"
PS C:\> Get-AzureADPasswordProtectionDCAgent | Where-Object {$_.SoftwareVersion -lt $LatestAzureADPasswordProtectionVersion}

Die Azure AD-Kennwortschutz-Proxysoftware ist in keiner Version zeitlich begrenzt.The Azure AD Password Protection Proxy software is not time-limited in any version. Microsoft empfiehlt dennoch, dass sowohl für DC- als auch Proxy-Agents ein Upgrade auf die neuesten Versionen durchgeführt wird, sobald diese veröffentlicht werden.Microsoft still recommends that both DC and proxy agents be upgraded to the latest versions as they are released. Mithilfe des Cmdlets Get-AzureADPasswordProtectionProxy kann nach Proxy-Agents gesucht werden, für die ein Upgrade erforderlich ist, ähnlich wie im Beispiel oben für DC-Agents.The Get-AzureADPasswordProtectionProxy cmdlet may be used to find Proxy agents that require upgrades, similar to the example above for DC agents.

Weitere Informationen zu bestimmten Upgradeverfahren finden Sie unter Upgrade des DC-Agents und Upgrade des Proxy-Agents.Refer to Upgrading the DC agent and Upgrading the Proxy agent for more details on specific upgrade procedures.

NotfallbereinigungEmergency remediation

Wenn der DC-Agent-Dienst Probleme verursacht, kann er sofort heruntergefahren werden.If a situation occurs where the DC agent service is causing problems, the DC agent service may be immediately shut down. Die DC-Agent-Kennwortfilter-DLL versucht weiterhin, den nicht ausgeführten Dienst aufzurufen, und protokolliert die Warnungsereignisse (10012, 10013), aber alle eingehenden Kennwörter werden währenddessen akzeptiert.The DC agent password filter dll still attempts to call the non-running service and will log warning events (10012, 10013), but all incoming passwords are accepted during that time. Der DC-Agent-Dienst kann dann auch bei Bedarf über den Dienststeuerungs-Manager von Windows mit dem Starttyp „Disabled“ konfiguriert werden.The DC agent service may then also be configured via the Windows Service Control Manager with a startup type of “Disabled” as needed.

Als weitere Problembehandlungsmaßnahme könnten Sie im Azure AD-Kennwortschutzportal den Aktivierungmodus auf „Nein“ festlegen.Another remediation measure would be to set the Enable mode to No in the Azure AD Password Protection portal. Nachdem die aktualisierte Richtlinie heruntergeladen wurde, wechseln alle DC-Agent-Dienste in einen Ruhemodus, in dem alle Kennwörter unverändert akzeptiert werden.Once the updated policy has been downloaded, each DC agent service will go into a quiescent mode where all passwords are accepted as-is. Weitere Informationen finden Sie unter Erzwingungsmodus.For more information, see Enforce mode.

EntfernenRemoval

Wenn die Software des Azure AD-Kennwortschutzes deinstalliert und alle zugehörigen Zustandsdaten in den Domänen und der Gesamtstruktur bereinigt werden sollen, gehen Sie wie folgt vor:If it is decided to uninstall the Azure AD password protection software and cleanup all related state from the domain(s) and forest, this task can be accomplished using the following steps:

Wichtig

Es ist wichtig, diese Schritte der Reihe nach auszuführen.It is important to perform these steps in order. Wenn eine Instanz des Proxydiensts weiterhin ausgeführt wird, wird sie ihr „serviceConnectionPoint“-Objekt regelmäßig neu erstellen.If any instance of the Proxy service is left running it will periodically re-create its serviceConnectionPoint object. Wenn eine Instanz des DC-Agent-Diensts weiterhin ausgeführt wird, wird sie ihr „serviceConnectionPoint“-Objekt und den „sysvol“-Status regelmäßig neu erstellen.If any instance of the DC agent service is left running it will periodically re-create its serviceConnectionPoint object and the sysvol state.

  1. Deinstallieren Sie die Proxysoftware von allen Computern.Uninstall the Proxy software from all machines. Dieser Schritt erfordert keinen Neustart.This step does not require a reboot.

  2. Deinstallieren Sie die DC-Agent-Software von allen Domänencontrollern.Uninstall the DC Agent software from all domain controllers. Dieser Schritt erfordert einen Neustart.This step requires a reboot.

  3. Entfernen Sie manuell alle Proxydienst-Verbindungspunkte in jedem Domänennamenkontext.Manually remove all Proxy service connection points in each domain naming context. Der Speicherort dieser Objekte kann möglicherweise mit dem folgenden Active Directory-PowerShell-Befehl erkannt werden:The location of these objects may be discovered with the following Active Directory PowerShell command:

    $scp = "serviceConnectionPoint"
    $keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    Lassen Sie nicht das Sternchen („*“) am Ende des Variablenwerts „$keywords“ aus.Do not omit the asterisk (“*”) at the end of the $keywords variable value.

    Die mit dem Befehl Get-ADObject gefundenen Ergebnisobjekte können dann an Remove-ADObject weitergeleitet oder manuell gelöscht werden.The resulting object(s) found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

  4. Entfernen Sie manuell alle DC-Agent-Verbindungspunkte in jedem Domänennamenkontext.Manually remove all DC agent connection points in each domain naming context. Je nachdem, wie umfassend die Software bereitgestellt wurde, kann pro Domänencontroller in der Gesamtstruktur eines dieser Objekte vorhanden sein.There may be one these objects per domain controller in the forest, depending on how widely the software was deployed. Der Speicherort dieser Objekte kann möglicherweise mit dem folgenden Active Directory-PowerShell-Befehl erkannt werden:The location of that object may be discovered with the following Active Directory PowerShell command:

    $scp = "serviceConnectionPoint"
    $keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    Die mit dem Befehl Get-ADObject gefundenen Ergebnisobjekte können dann an Remove-ADObject weitergeleitet oder manuell gelöscht werden.The resulting object(s) found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

    Lassen Sie nicht das Sternchen („*“) am Ende des Variablenwerts „$keywords“ aus.Do not omit the asterisk (“*”) at the end of the $keywords variable value.

  5. Entfernen Sie manuell den Konfigurationsstatus auf Gesamtstrukturebene.Manually remove the forest-level configuration state. Der Konfigurationsstatus der Gesamtstruktur wird in einem Container im Active Directory-Konfigurationsnamenskontext beibehalten.The forest configuration state is maintained in a container in the Active Directory configuration naming context. Er kann wie folgt ermittelt und gelöscht werden:It can be discovered and deleted as follows:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
    Remove-ADObject -Recursive $passwordProtectionConfigContainer
    
  6. Entfernen Sie manuell den gesamten auf SYSVOL bezogenen Status durch manuelles Löschen des folgenden Ordners und seines gesamten Inhalts:Manually remove all sysvol related state by manually deleting the following folder and all of its contents:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    Falls erforderlich, kann auch lokal auf einem bestimmten Domänencontroller auf diesen Pfad zugegriffen werden; der Standardspeicherort entspräche etwa dem folgenden Pfad:If necessary, this path may also be accessed locally on a given domain controller; the default location would be something like the following path:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    Dieser Pfad ist anders, wenn die SYSVOL-Freigabe an einem nicht standardmäßigen Speicherort konfiguriert wurde.This path is different if the sysvol share has been configured in a non-default location.

Nächste SchritteNext steps

Häufig gestellte Fragen zum Azure AD-KennwortschutzFrequently asked questions for Azure AD Password Protection

Weitere Informationen zu der Liste global gesperrter und benutzerdefinierter gesperrter Kennwörter finden Sie im Artikel Beseitigen falscher Kennwörter in Ihrer OrganisationFor more information on the global and custom banned password lists, see the article Ban bad passwords