Problembehandlung bei SSPR_0029: Ihre organization hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

In diesem Artikel erfahren Sie, wie Sie den Fehler "SSPR_0029: Ihre organization hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet" beheben, der auftritt, nachdem der Benutzer oder Administrator ein neues Kennwort auf der Seite SSPR eingegeben und bestätigt hat.

Problembeschreibung

Ein Benutzer oder Administrator führt die folgenden Schritte aus und empfängt dann einen SSPR_0029 Fehler:

1. Auf einer Anmeldeseite für ein Microsoft-Konto oder auf der Microsoft Azure-Anmeldeseite in der https://login.microsoftonline.com Domäne wählt ein Benutzer oder Administrator Die Option Kann nicht auf Ihr Konto zugreifen?, Kennwort vergessen oder jetzt zurücksetzen aus.

2. Der Benutzer oder Administrator wählt den Kontotyp geschäfts-, schul- oder unikonto aus. Anschließend werden sie zur SSPR-Seite unter https://passwordreset.microsoftonline.com umgeleitet, um den Flow Zurück in Ihr Konto zu starten.

3. Auf dem Bildschirm Wer sind Sie? gibt der Benutzer oder Administrator seine Benutzer-ID ein, schließt eine Captcha-Sicherheitsaufforderung ab, bei der die Groß-/Kleinschreibung nicht beachtet wird, und wählt dann Weiter aus.

4. Auf dem Bildschirm Warum haben Sie Probleme bei der Anmeldung? wählt der Benutzer oder Administrator Ich habe mein Kennwort> vergessenAus.

5. Auf dem Bildschirm Neues Kennwort auswählen gibt der Benutzer oder Administrator eine neue Kennwortzeichenfolge ein, bestätigt diese und wählt dann Fertig stellen aus. Daraufhin wird der Bildschirm We're sorry (We're sorry) angezeigt, und es wird die folgende Meldung angezeigt:

   SSPR_0029: Ihre organization hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

   Wenn Sie ein Administrator sind, finden Sie weitere Informationen im Artikel Problembehandlung beim Kennwortrückschreiben. Wenn Sie kein Administrator sind, können Sie diese Informationen angeben, wenn Sie ihren Administrator kontaktieren.

Ursache 1: Kennwortrückschreiben kann nicht verwendet werden, um das Kennwort eines synchronisierten Windows Active Directory-Administrators zurückzusetzen.

Sie sind ein synchronisierter Windows Active Directory-Administrator, der zu einer lokales Active Directory geschützten Gruppe gehört (oder früher dazu gehörte), und Sie können SSPR und Kennwortrückschreiben nicht verwenden, um Ihr lokales Kennwort zurückzusetzen.

Lösung: Keine (Verhalten ist beabsichtigt)

Aus Sicherheitsgründen können Administratorkonten, die in einer lokalen geschützten Active Directory-Gruppe vorhanden sind, nicht zusammen mit dem Kennwortrückschreiben verwendet werden. Administratoren können ihr Kennwort in der Cloud ändern, aber kein vergessenes Kennwort zurücksetzen. Weitere Informationen finden Sie unter Funktionsweise des Self-Service-Kennwortzurückschreibens in Microsoft Entra ID.

Ursache 2: Das AD DS-Connectorkonto verfügt nicht über die richtigen Active Directory-Berechtigungen.

Dem synchronisierten Benutzer fehlen die richtigen Berechtigungen in Active Directory.

Lösung: Beheben von Problemen mit Active Directory-Berechtigungen

Informationen zum Beheben von Problemen, die sich auf Active Directory-Berechtigungen auswirken, finden Sie unter Zugriffsrechte und Berechtigungen für das Kennwortrückschreiben.

Problemumgehung: Ziel eines anderen Active Directory-Domänencontrollers

Hinweis

Das Kennwortrückschreiben ist von der Legacy-API NetUserGetInfo abhängig. Die NetUserGetInfo API erfordert einen komplexen Satz zulässiger Berechtigungen in Active Directory, die schwer zu identifizieren sein können, insbesondere wenn ein Microsoft Entra Connect-Server auf einem Domänencontroller ausgeführt wird. Weitere Informationen finden Sie unter Anwendungen, die NetUserGetInfo und ähnliche APIs verwenden, die auf Lesezugriff auf bestimmte Active Directory-Objekte angewiesen sind.

Gibt es ein Szenario, in dem ein Microsoft Entra Connect-Server auf einem Domänencontroller ausgeführt wird und es nicht möglich ist, Active Directory-Berechtigungen aufzulösen? In diesem Fall wird empfohlen, Microsoft Entra Connect-Server auf einem Mitgliedsserver anstelle eines Domänencontrollers bereitzustellen. Oder konfigurieren Sie Ihren Active Directory-Connector so, dass nur bevorzugte Domänencontroller verwendet werden, indem Sie die folgenden Schritte ausführen:

1. Suchen Sie im Menü Start nach Synchronisierungs-Service Manager, und wählen Sie diese Option aus.

2. Wählen Sie im Fenster Synchronisierung Service Manager die Registerkarte Connectors aus.

3. Klicken Sie in der Liste der Connectors mit der rechten Maustaste auf den Active Directory-Connector, und wählen Sie dann Eigenschaften aus.

4. Wählen Sie im Bereich Connector Designer des Dialogfelds Eigenschaften die Option Verzeichnispartitionen konfigurieren aus.

5. Wählen Sie im Bereich Verzeichnispartitionen konfigurieren die Option Nur bevorzugte Domänencontroller verwenden und dann Konfigurieren aus.

6. Fügen Sie im Dialogfeld Bevorzugte Domänencontroller konfigurieren einen oder mehrere Servernamen hinzu, die auf einen anderen Domänencontroller (oder Domänencontroller) als den lokalen Host verweisen.

7. Um Ihre Änderungen zu speichern und zum fenster Standard zurückzukehren, wählen Sie dreimal OK aus, einschließlich im Dialogfeld Warnung, in dem ein erweiterter Konfigurationsausschluss angezeigt wird.

Ursache 3: Server dürfen keine Remoteaufrufe an Security Accounts Manager (SAM) tätigen.

In diesem Fall werden zwei ähnliche Anwendungsfehlerereignisse protokolliert: Ereignis-ID 33004 und 6329. Ereignis-ID 6329 unterscheidet sich von 33004, da sie einen ERROR_ACCESS_DENIED Fehlercode in der Stapelüberwachung enthält, wenn der Server versucht, einen Remoteaufruf an SAM zu tätigen:

ERR_: MMS(####): admaexport.cpp(2944): Fehler beim Abrufen von Benutzerinformationen: Contoso\MSOL_############. Fehlercode: ERROR_ACCESS_DENIED

Diese Situation kann auftreten, wenn auf dem Microsoft Entra Connect-Server oder dem Domänencontroller eine Härtungssicherheitseinstellung mit einem Domain Gruppenrichtlinie Object (GPO) oder in der lokalen Sicherheitsrichtlinie des Servers angewendet wurde. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dies der Fall ist:

1. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie die folgenden Befehle aus:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Öffnen Sie die C:\Temp\gpresult.htm-Datei in Ihrem Webbrowser, und erweitern Sie Computerdetails>Einstellungen Richtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien/Sicherheitsoptionen>Netzwerkzugriff. Überprüfen Sie dann, ob Sie über eine Einstellung mit dem Namen Netzwerkzugriff verfügen: Clients einschränken, die Remoteaufrufe an SAM durchführen dürfen.

3. Um das Snap-In Lokale Sicherheitsrichtlinie zu öffnen, wählen Sie Start aus, geben Sie secpol.msc ein, drücken Sie die EINGABETASTE, und erweitern Sie dann Lokale Richtlinien>Sicherheitsoptionen erweitern.

4. Wählen Sie in der Liste der Richtlinien die Option Netzwerkzugriff: Clients einschränken aus, die Remoteaufrufe an SAM durchführen dürfen. In der Spalte Sicherheitseinstellung wird Nicht definiert angezeigt, wenn die Einstellung nicht aktiviert ist, oder es wird ein O:BAG:... Sicherheitsbeschreibungswert angezeigt, wenn die Einstellung aktiviert ist. Wenn die Einstellung aktiviert ist, können Sie auch das Symbol Eigenschaften auswählen, um die derzeit angewendete Access Control List (ACL) anzuzeigen.

   Hinweis

   Diese Richtlinieneinstellung ist standardmäßig deaktiviert. Wenn diese Einstellung auf ein Gerät über ein Gruppenrichtlinienobjekt oder eine lokale Richtlinieneinstellung angewendet wird, wird im HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Registrierungspfad ein Registrierungswert mit dem Namen RestrictRemoteSam erstellt. Diese Registrierungseinstellung kann jedoch schwierig zu löschen sein, nachdem sie definiert und auf den Server angewendet wurde. Wenn Sie die einstellung Gruppenrichtlinie deaktivieren oder die Option Diese Richtlinieneinstellung definieren in Gruppenrichtlinie Management Console (GPMC) deaktivieren, wird der Registrierungseintrag nicht entfernt. Daher schränkt der Server weiterhin ein, welche Clients Remoteaufrufe an SAM durchführen dürfen.

   Wie überprüfen Sie genau, ob der Microsoft Entra Connect-Server oder der Domänencontroller weiterhin Remoteaufrufe an SAM einschränkt? Sie überprüfen, ob der Registrierungseintrag weiterhin vorhanden ist, indem Sie das Cmdlet Get-ItemProperty in PowerShell ausführen:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

Zeigt die PowerShell-Ausgabe, dass ein RestrictRemoteSam-Registrierungseintrag noch vorhanden ist? Wenn ja, haben Sie zwei mögliche Lösungen.

Lösung 1: Hinzufügen des AD DS-Connectorkontos zur Liste der zulässigen Benutzer

Netzwerkzugriff beibehalten: Beschränken Sie die Richtlinieneinstellung Clients, die Remoteaufrufe an SAM durchführen dürfen, aktiviert und auf den Microsoft Entra Connect-Server angewendet, aber fügen Sie der Liste der zulässigen Benutzer das Active Directory Domain Services (AD DS) Connector-Konto (MSOL_-Konto) hinzu. Anweisungen finden Sie in den folgenden Schritten:

1. Wenn Sie den Namen Ihres AD DS-Connectorkontos nicht kennen, finden Sie weitere Informationen unter Identifizieren des AD DS-Connectorkontos.

2. Wechseln Sie im GPMC- oder Lokalen Sicherheitsrichtlinien-Snap-In zurück zum Eigenschaftendialogfeld für diese Richtlinieneinstellung.

3. Wählen Sie Sicherheit bearbeiten aus, um das Dialogfeld Sicherheitseinstellungen für den Remotezugriff auf SAM anzuzeigen.

4. Wählen Sie in der Liste Gruppen- oder Benutzernamendie Option Hinzufügen aus, um das Dialogfeld Benutzer oder Gruppen auswählen anzuzeigen. Geben Sie im Feld Geben Sie die auszuwählenden Objektnamen ein den Namen des AD DS-Connectorkontos (MSOL_ Konto) ein, und wählen Sie dann OK aus, um das Dialogfeld zu beenden.

5. Wählen Sie das AD DS Connector-Konto in der Liste aus. Wählen Sie unter Berechtigungen für <Kontoname> in der Zeile Remotezugriff die Option Zulassen aus.

6. Wählen Sie zweimal OK aus, um die Richtlinieneinstellungsänderungen zu übernehmen und zur Liste der Richtlinieneinstellungen zurückzukehren.

7. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den Befehl gpupdate aus, um ein Gruppenrichtlinie Update zu erzwingen:

   gpupdate /force
   

Lösung 2: Entfernen des Netzwerkzugriffs: Beschränken Sie die Richtlinieneinstellung Clients, die Remoteaufrufe an SAM ausführen dürfen , und löschen Sie dann den Registrierungseintrag RestrictRemoteSam manuell.

1. Wenn die Sicherheitseinstellung über die lokale Sicherheitsrichtlinie angewendet wird, fahren Sie mit Schritt 4 fort.

2. Öffnen Sie das GPMC-Snap-In über einen Domänencontroller, und bearbeiten Sie das entsprechende Domänen-GPO.

3. Erweitern Sie Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Computerkonfiguration>Lokale Richtlinien>Sicherheitsoptionen.

4. Wählen Sie in der Liste der Sicherheitsoptionen Netzwerkzugriff: Clients einschränken aus, die Remoteaufrufe an SAM ausführen dürfen, öffnen Sie Eigenschaften, und deaktivieren Sie dann Die Richtlinieneinstellung definieren.

5. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den Befehl gpupdate aus, um ein Gruppenrichtlinie Update zu erzwingen:

   gpupdate /force
   

6. Um einen neuen Gruppenrichtlinie Ergebnisbericht (GPreport.htm) zu generieren, führen Sie den Befehl gpresult aus, und öffnen Sie dann den neuen Bericht in einem Webbrowser:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Überprüfen Sie den Bericht, um sicherzustellen, dass die Richtlinieneinstellung für Netzwerkzugriff: Einschränken von Clients, die Remoteaufrufe an SAM durchführen dürfen , nicht definiert ist.

8. Öffnen Sie eine PowerShell-Konsole.

9. Um den Registrierungseintrag RestrictRemoteSam zu entfernen, führen Sie das Cmdlet Remove-ItemProperty aus:

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Hinweis

   Wenn Sie den Registrierungseintrag RestrictRemoteSam löschen, ohne die Einstellung Domänen-GPO zu entfernen, wird dieser Registrierungseintrag im nächsten Gruppenrichtlinie Aktualisierungszyklus neu erstellt, und der SSPR_0029 Fehler tritt erneut auf.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.