Verwenden von Windows LAPS-Ereignisprotokollen
Windows Local Administrator Password Solution (Windows LAPS) verfügt über einen dedizierten Ereignisprotokollkanal. Alle Windows LAPS-Vorgänge werden mit umfangreicher Ereignisverwaltung nachverfolgt. Erfahren Sie mehr über wichtige Ereignisse und das Anzeigen des Protokolls.
Anzeigen des Ereignisprotokolls
Um den Windows LAPS-Ereignisprotokollkanal anzuzeigen, wechseln Sie in der Windows Server-Ereignisanzeige zu Anwendungen und Dienste>Protokolle>Microsoft>Windows>LAPS>Betrieb.
Wichtige Ereignisse
Es ist wichtig, dass Sie einige wichtige Windows LAPS-Ereignisse kennen und wissen, wie Sie sie in den Ereignisprotokollen anzeigen können:
- Ereignisse zum Starten und Beenden der Richtlinienverarbeitung
- Details zur Richtlinienkonfiguration
- Ereignisse zur Bestätigung der Kennwortaktualisierung
- Blockierte Anforderung einer externen Kennwortänderung
- Auf Aktionen nach Authentifizierung bezogene Ereignisse
Start und Ende des Richtlinienverarbeitungszyklus
Wenn Windows LAPS einen Hintergrundzyklus zur Richtlinienverarbeitung beginnt, wird der Status des Vorgangs im Ereignisprotokoll protokolliert. Wenn Sie die spezifischen Ereignisse kennen, die Start und Ende eines jeden Zyklus angeben, können Sie das Ereignisprotokoll einfacher lesen und die Ereignisse verstehen.
Jeder Hintergrundzyklus zur Richtlinienverarbeitung beginnt mit dem Ereignis 10003:
LAPS policy processing is now starting.
Auf jedes Ereignis 10003 folgen mehrere andere Ereignisse, die das Geschehen beschreiben. Wenn der Zyklus abgeschlossen ist, markiert das letzte Ereignis den Vorgang als erfolgreich oder fehlgeschlagen.
Ein erfolgreicher Zyklus wird mit dem Ereignis 10004 nachverfolgt. Hier ist ein Beispiel des Ereignisses 10004:
LAPS policy processing succeeded.
Ein nicht erfolgreicher Zyklus wird mit dem Ereignis 10005 nachverfolgt. Hier ist ein Beispiel des Ereignisses 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
Wenn ein Fehler auftritt, können Sie anhand des Fehlercodes eine Problembehandlung vornehmen. Sie können sich auch die dazwischen liegenden Ereignisse ansehen, um detaillierte Informationen zu erhalten.
Details zur Richtlinienkonfiguration
Wenn die Kennwortsicherung aktiviert ist, wird bei jedem Hintergrundzyklus zur Verarbeitung von Windows LAPS-Richtlinien ein Ereignis zur Richtlinienkonfiguration ausgegeben. Das Ereignis protokolliert für jede Zyklusiteration den spezifischen Richtlinieneinstellungswert.
Wenn die Richtlinie für das Sichern des Kennworts in Windows Server Active Directory konfiguriert ist, wird das Ereignis 10021 protokolliert. Hier ist ein Beispiel des Ereignisses 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Wenn die Richtlinie für das Sichern des Kennworts in Microsoft Entra ID konfiguriert ist, wird das Ereignis 10022 protokolliert. Hier ist ein Beispiel des Ereignisses 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Wenn Windows LAPS für die Verwendung einer Legacy-Microsoft LAPS-Richtlinie konfiguriert ist, wird das Ereignis 10023 protokolliert. Hier ist ein Beispiel des Ereignisses 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Diese spezifischen Richtlinieneinstellungswerte sind Beispiele und sollten nicht als Empfehlungen betrachtet werden.
Ereignisse zur Bestätigung der Kennwortaktualisierung
Wenn Windows LAPS das konfigurierte Verzeichnis (Windows Server Active Directory oder Microsoft Entra ID) erfolgreich mit einem neuen Kennwort aktualisiert, wird ein Erfolgsereignis protokolliert: 10018 für Kennwortaktualisierungen in Windows Server Active Directory und 10029 für Kennwortaktualisierungen in Microsoft Entra ID.
Hier ist ein Beispiel des Ereignisses 10018:
LAPS successfully updated Active Directory with the new password.
Hier ist ein Beispiel des Ereignisses 10029:
LAPS successfully updated Azure Active Directory with the new password.
Bei Aktualisierung des Verzeichnisse mit dem neuen Kennwort aktualisiert Windows LAPS auch das verwaltete lokale Konto. Bei Erfolg wird das Ereignis 10020 protokolliert.
Hier ist ein Beispiel des Ereignisses 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Blockierte Anforderung einer externen Kennwortänderung
Wenn Windows LAPS aktiviert ist, schützt es das Kennwort für das angegebene verwaltete Konto vor Änderungen durch eine andere Entität als Windows LAPS. Das Ereignis 10031 wird protokolliert, wenn ein Versuch der Kennwortänderung blockiert wird.
Hier ist ein Beispiel des Ereignisses 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Ereignisse für Aktionen nach Authentifizierung
Wenn Aktionen nach Authentifizierung konfiguriert sind, überwacht Windows LAPS erfolgreiche Authentifizierungen durch das angegebene verwaltete Konto. Bei Erkennen einer Authentifizierung wird das Ereignis 10041 protokolliert.
Hier ist ein Beispiel des Ereignisses 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Wenn der im Ereignis 10041 aufgeführte Termin erreicht ist, protokolliert Windows LAPS das Ereignis 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS versucht dann, das Kennwort zu rotieren und alle angegebenen Aktionen nach Authentifizierung auszuführen. Das Ereignis 10044 wird protokolliert, wenn die Kennwortrotation erfolgreich ist.
Hier ist ein Beispiel des Ereignisses 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Wenn die Kennwortrotation fehlschlägt, wird das Ereignis 10043 protokolliert. Hier ist ein Beispiel des Ereignisses 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Clientereignisprotokoll im Vergleich zum Ereignisprotokoll des AD-Domänencontrollers
Der Windows LAPS-Ereignisprotokollkanal enthält Ereignisse im Zusammenhang mit dem lokalen Computer, der als Client fungiert. Der Windows LAPS-Ereignisprotokollkanal auf einem Active Directory-Domänencontroller enthält nur Ereignisse im Zusammenhang mit der Verwaltung des lokalen DSRM-Kontos (sofern aktiviert). Er enthält niemals Ereignisse im Zusammenhang mit dem Verhalten des in die Domäne eingebundenen Clients.