Problembehandlung bei Fehlern SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

  • Artikel
  • 7 Minuten Lesedauer

Dieser Artikel hilft Ihnen bei der Problembehandlung bei der Self-Service-Kennwortzurücksetzungsfehler (SSPR) "SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet", die auftritt, nachdem der Benutzer oder Administrator ein neues Kennwort auf der SSPR-Seite eingegeben und bestätigt hat.

Problembeschreibung

Ein Benutzer oder Administrator führt die folgenden Schritte aus und erhält dann eine SSPR_0029 Fehlermeldung:

  1. Auf einer Anmeldeseite für ein Microsoft-Konto oder Microsoft Azure Anmeldeseite in der https://login.microsoftonline.com Domäne wählt ein Benutzer oder Administrator "Kann nicht auf Ihr Konto zugreifen?", habe mein Kennwort vergessen oder es jetzt zurückgesetzt.

  2. Der Benutzer oder Administrator wählt den Kontotyp "Geschäfts-, Schul- oder Unikonto " aus. Anschließend werden sie zur SSPR-Seite https://passwordreset.microsoftonline.com umgeleitet, um den Fluss "Zurück in Ihren Kontoablauf" zu starten.

  3. Auf dem Bildschirm Wer Sind Sie?, gibt der Benutzer oder Administrator seine Benutzer-ID ein, schließt eine Groß-/Kleinschreibung ohne Groß-/Kleinschreibung sicherheitsrelevante Herausforderung ab und wählt dann "Weiter" aus.

  4. Auf dem Bildschirm "Warum treten Probleme bei der Anmeldung auf? " wählt der Benutzer oder Administrator "Ich habe mein PasswordNext vergessen > " aus.

  5. Auf dem Bildschirm "Neues Kennwort auswählen " gibt der Benutzer oder Administrator eine neue Kennwortzeichenfolge ein und bestätigt sie und wählt dann " Fertig stellen" aus. Dann wird ein Bildschirm " Wir bedauern " angezeigt und zeigt die folgende Meldung an:

    SSPR_0029: Ihre Organisation hat die lokale Konfiguration für die Kennwortzurücksetzung nicht ordnungsgemäß eingerichtet.

    Wenn Sie ein Administrator sind, erhalten Sie weitere Informationen aus dem Artikel "Kennwortrückschreiben zur Problembehandlung". Wenn Sie kein Administrator sind, können Sie diese Informationen angeben, wenn Sie sich an Ihren Administrator wenden.

Ursache 1: Das Kennwortrückschreiben kann nicht zum Zurücksetzen des Kennworts eines synchronisierten Windows Active Directory-Administrators verwendet werden.

Sie sind ein synchronisierter Windows Active Directory-Administrator, der zu einer lokales Active Directory geschützten Gruppe gehört (oder dazu gehörte), und Sie können SSPR und Kennwortrückschreiben nicht verwenden, um Ihr lokales Kennwort zurückzusetzen.

Lösung: Keine (Verhalten ist beabsichtigt)

Aus Sicherheitsgründen können Administratorkonten, die in einer lokalen Active Directory-geschützten Gruppe vorhanden sind, nicht zusammen mit dem Kennwortrückschreiben verwendet werden. Administratoren können ihr Kennwort in der Cloud ändern, aber ein vergessenes Kennwort nicht zurücksetzen. Weitere Informationen finden Sie unter Wie funktioniert das Zurücksetzen von Self-Service-Kennwörtern in Azure Active Directory?

Ursache 2: Das AD DS Connector-Konto verfügt nicht über die richtigen Active Directory-Berechtigungen

Dem synchronisierten Benutzer fehlen die richtigen Berechtigungen in Active Directory.

Lösung: Beheben von Active Directory-Berechtigungsproblemen

Informationen zum Beheben von Problemen, die sich auf Active Directory-Berechtigungen auswirken, finden Sie unter "Kennwortrückschreiben"-Zugriffsrechte und -berechtigungen.

Problemumgehung: Ziel eines anderen Active Directory-Domänencontrollers

Hinweis

Das Kennwortrückschreiben ist von der legacy-API NetUserGetInfo abhängig. Die NetUserGetInfo API erfordert einen komplexen Satz zulässiger Berechtigungen in Active Directory, der schwer zu identifizieren sein kann, insbesondere wenn ein Azure AD Verbinden-Server auf einem Domänencontroller ausgeführt wird. Weitere Informationen finden Sie unter Anwendungen mit NetUserGetInfo und ähnlichen APIs, die auf Lesezugriff auf bestimmte Active Directory-Objekte angewiesen sind.

Haben Sie ein Szenario, in dem ein Azure AD Verbinden-Server auf einem Domänencontroller ausgeführt wird und es nicht möglich ist, Active Directory-Berechtigungen aufzulösen? In diesem Fall wird empfohlen, Azure AD Verbinden Server auf einem Mitgliedsserver anstelle eines Domänencontrollers bereitzustellen. Oder konfigurieren Sie Ihren Active Directory-Connector so, dass nur bevorzugte Domänencontroller verwendet werden, indem Sie die folgenden Schritte ausführen:

  1. Suchen Sie im Startmenü nach Synchronisierungs-Service Manager, und wählen Sie sie aus.

  2. Wählen Sie im Fenster "Synchronisierung Service Manager" die Registerkarte "Connectors" aus.

  3. Klicken Sie in der Liste der Connectors mit der rechten Maustaste auf den Active Directory-Connector, und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie im Connector-Designer-Bereich des Dialogfelds "Eigenschaften " die Option "Verzeichnispartitionen konfigurieren" aus.

  5. Wählen Sie im Bereich "Verzeichnispartitionen konfigurieren " die Option " Nur bevorzugte Domänencontroller verwenden " und dann " Konfigurieren" aus.

  6. Fügen Sie im Dialogfeld "Bevorzugte DCs konfigurieren " einen oder mehrere Servernamen hinzu, die auf einen anderen Domänencontroller (oder Domänencontroller) als den lokalen Host verweisen.

  7. Um Ihre Änderungen zu speichern und zum Hauptfenster zurückzukehren, wählen Sie dreimal OK aus, einschließlich im Dialogfeld "Warnung ", in dem ein erweiterter Konfigurationsausschluss angezeigt wird.

Ursache 3: Server dürfen keine Remoteaufrufe an den Security Accounts Manager (SAM) tätigen.

In diesem Fall werden zwei ähnliche Anwendungsfehlerereignisse protokolliert: Ereignis-ID 33004 und 6329. Die Ereignis-ID 6329 unterscheidet sich von 33004, da sie einen ERROR_ACCESS_DENIED Fehlercode in der Stapelablaufverfolgung enthält, wenn der Server versucht, einen Remoteaufruf an SAM durchzuführen:

ERR_: MMS(#####): admaexport.cpp(2944): Fehler beim Abrufen von Benutzerinformationen: Contoso\MSOL_############# Fehlercode: ERROR_ACCESS_DENIED

Dieser Fall kann auftreten, wenn auf dem Azure AD Verbinden-Server oder dem Domänencontroller eine Härtungssicherheitseinstellung mit einem Domänen-Gruppenrichtlinie-Objekt (Domain Gruppenrichtlinie Object, GPO) oder in der lokalen Sicherheitsrichtlinie des Servers angewendet wurde. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dies der Fall ist:

  1. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie die folgenden Befehle aus:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start GPreport.htm

  2. Öffnen Sie die dateiC:\Temp\gpresult.htm in Ihrem Webbrowser, und erweitern Sie Computerdetails > Einstellungen > Policies > Windows Einstellungen > Security Einstellungen > Local Policies/Security OptionsNetwork > Access. Überprüfen Sie dann, ob Sie über eine Einstellung mit dem Namen "Netzwerkzugriff" verfügen: Einschränken von Clients, die Remoteaufrufe an SAM tätigen dürfen.

  3. Um das Snap-In "Lokale Sicherheitsrichtlinie" zu öffnen, wählen Sie "Start", geben Sie "secpol.msc" ein, drücken Sie die EINGABETASTE, und erweitern Sie dann "Lokale RichtlinienExpand-Sicherheitsoptionen > ".

  4. Wählen Sie in der Liste der Richtlinien den Netzwerkzugriff aus: Einschränken von Clients, die Remoteaufrufe an SAM tätigen dürfen. In der Spalte "Sicherheitseinstellung" wird " Nicht definiert " angezeigt, wenn die Einstellung nicht aktiviert ist, oder wenn die Einstellung aktiviert ist, wird ein O:BAG:... Sicherheitsdeskriptorwert angezeigt. Wenn die Einstellung aktiviert ist, können Sie auch das Eigenschaftensymbol auswählen, um die derzeit angewendete Access Control Liste (ACL) anzuzeigen.

    Hinweis

    Diese Richtlinieneinstellung ist standardmäßig deaktiviert. Wenn diese Einstellung über ein Gruppenrichtlinienobjekt oder eine lokale Richtlinieneinstellung auf ein Gerät angewendet wird, wird ein Registrierungswert namens RestrictRemoteSam im HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Registrierungspfad erstellt. Diese Registrierungseinstellung kann jedoch schwierig zu löschen sein, nachdem sie definiert und auf den Server angewendet wurde. Durch das Deaktivieren der Gruppenrichtlinie-Einstellung oder das Deaktivieren der Option "Diese Richtlinieneinstellung definieren" in Gruppenrichtlinie Verwaltungskonsole (GPMC) wird der Registrierungseintrag nicht entfernt. Daher schränkt der Server weiterhin ein, welche Clients Remoteaufrufe an SAM tätigen dürfen.

    Wie können Sie genau überprüfen, ob der Azure AD Verbinden-Server oder der Domänencontroller Remoteaufrufe an SAM weiterhin einschränkt? Sie überprüfen, ob der Registrierungseintrag vorhanden bleibt, indem Sie das Cmdlet "Get-ItemProperty " in PowerShell ausführen:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

Zeigt die PowerShell-Ausgabe an, dass noch ein RestrictRemoteSam-Registrierungseintrag vorhanden ist? Wenn ja, haben Sie zwei mögliche Lösungen.

Lösung 1: Hinzufügen des AD DS Connector-Kontos zur Liste der zulässigen Benutzer

Behalten Sie den Netzwerkzugriff bei: Beschränken Sie Clients, die Remoteaufrufe an SAM-Richtlinieneinstellungen vornehmen dürfen, die auf dem Azure AD Verbinden-Server aktiviert und angewendet werden, fügen Sie jedoch das Active Directory Domain Services (AD DS)-Connectorkonto (MSOL_ Konto) zur Liste der zulässigen Benutzer hinzu. Anweisungen finden Sie in den folgenden Schritten:

  1. Wenn Sie den Namen Ihres AD DS Connector-Kontos nicht kennen, lesen Sie "Identifizieren des AD DS-Connectorkontos".

  2. Wechseln Sie im Snap-In für gruppenrichtlinien- oder lokale Sicherheitsrichtlinien zurück zum Eigenschaftendialogfeld für diese Richtlinieneinstellung.

  3. Wählen Sie "Sicherheit bearbeiten" aus, um das Dialogfeld "Sicherheit Einstellungen für Remotezugriff auf SAM" anzuzeigen.

  4. Wählen Sie in der Liste "Gruppen- oder Benutzernamen " die Option "Hinzufügen " aus, um das Dialogfeld "Benutzer oder Gruppen auswählen " anzuzeigen. Geben Sie im Feld "Objektnamen eingeben" den Namen des AD DS Connector-Kontos (MSOL_ Konto) ein, und wählen Sie dann OK aus, um das Dialogfeld zu beenden.

  5. Wählen Sie das AD DS Connector-Konto in der Liste aus. Wählen Sie unter "Berechtigungen für <account name>" in der Zeile " Remotezugriff " die Option "Zulassen" aus.

  6. Wählen Sie zweimal OK aus, um die Richtlinieneinstellungsänderungen zu akzeptieren und zur Liste der Richtlinieneinstellungen zurückzukehren.

  7. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den Befehl gpupdate aus, um eine Gruppenrichtlinie Aktualisierung zu erzwingen:

    gpupdate /force

Lösung 2: Entfernen des Netzwerkzugriffs: Einschränken von Clients, die Remoteaufrufe an SAM-Richtlinieneinstellung ausführen dürfen , und manuelles Löschen des Registrierungseintrags "RestrictRemoteSam"

  1. Wenn die Sicherheitseinstellung aus der lokalen Sicherheitsrichtlinie angewendet wird, fahren Sie mit Schritt 4 fort.

  2. Öffnen Sie das GPMC-Snap-In von einem Domänencontroller, und bearbeiten Sie das entsprechende Domänen-GPO.

  3. Erweitern Sie Computer ConfigurationPolicies > > Windows Einstellungen > Security Einstellungen > Computer ConfigurationLocal > PoliciesSecurity > Options.

  4. Wählen Sie in der Liste der Sicherheitsoptionen den Netzwerkzugriff aus: Einschränken von Clients, die Remoteaufrufe an SAM ausführen dürfen, Öffnen von Eigenschaften und deaktivieren Sie dann "Diese Richtlinieneinstellung definieren".

  5. Öffnen Sie ein administratives Eingabeaufforderungsfenster, und führen Sie den Befehl gpupdate aus, um eine Gruppenrichtlinie Aktualisierung zu erzwingen:

    gpupdate /force

  6. Um einen neuen Gruppenrichtlinie Ergebnisbericht (GPreport.htm) zu generieren, führen Sie den Befehl gpresult aus, und öffnen Sie den neuen Bericht dann in einem Webbrowser:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start GPreport.htm

  7. Überprüfen Sie den Bericht, um sicherzustellen, dass die Richtlinieneinstellung für den Netzwerkzugriff: Einschränken von Clients, die Remoteaufrufe an SAM tätigen dürfen , nicht definiert ist.

  8. Öffnen Sie eine PowerShell-Konsole.

  9. Führen Sie das Cmdlet Remove-ItemProperty aus, um den Registrierungseintrag "RestrictRemoteSam" zu entfernen:

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Hinweis

    Wenn Sie den Registrierungseintrag "RestrictRemoteSam" löschen, ohne die Einstellung für das Domänen-GPO zu entfernen, wird dieser Registrierungseintrag im nächsten Gruppenrichtlinie Aktualisierungszyklus erneut erstellt, und der SSPR_0029 Fehler tritt erneut auf.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support.