Solucionar problemas SSPR_0029 de erro: sua organização não configurou corretamente a configuração local para redefinição de senha

Este artigo ajuda você a solucionar problemas do erro de redefinição de senha de autoatendimento (SSPR) "SSPR_0029: sua organização não configurou corretamente a configuração local para redefinição de senha" que ocorre após a entrada do usuário ou administrador e confirma uma nova senha na página SSPR.

Sintomas

Um usuário ou administrador toma as seguintes etapas e, em seguida, recebe um SSPR_0029 erro:

1. Em uma página de entrada da conta Microsoft ou na página de entrada do https://login.microsoftonline.com Microsoft Azure no domínio, um usuário ou administrador seleciona Não é possível acessar sua conta?, esqueci minha senha ou redefini-la agora.

2. O usuário ou administrador seleciona o tipo de conta de conta de trabalho ou de estudante . Em seguida, eles são redirecionados para a página SSPR em https://passwordreset.microsoftonline.com para iniciar o fluxo De volta à sua conta .

3. Na tela Quem é você? O usuário ou administrador insere sua ID de usuário, conclui um desafio de segurança de captcha insensibilidade de maiúsculas de maiúsculas de minúsculas e, em seguida, seleciona Avançar.

4. Na tela Por que você está tendo problemas para entrar? O usuário ou administrador seleciona Eu esqueci minha senha>Avançar.

5. Na tela escolher uma nova senha , o usuário ou administrador insere e confirma uma nova cadeia de caracteres de senha e, em seguida, seleciona Concluir. Em seguida, uma tela Lamentamos é exibida e apresenta a seguinte mensagem:

   SSPR_0029: sua organização não configurou corretamente a configuração local para redefinição de senha.

   Se você for um administrador, poderá obter mais informações do artigo de write-back de solução de problemas de senha. Se você não for um administrador, poderá fornecer essas informações quando entrar em contato com o administrador.

Causa 1: não é possível usar o writeback de senha para redefinir a senha de um administrador sincronizado do Windows Active Directory

Você é um administrador sincronizado do Windows Active Directory que pertence (ou pertenceu) a um grupo protegido Active Directory local e não pode usar o write-back de SSPR e senha para redefinir sua senha local.

Solução: nenhum (o comportamento é por design)

Para segurança, as contas de administrador que existem em um grupo protegido do Active Directory local não podem ser usadas junto com write-back de senha. Os administradores podem alterar sua senha na nuvem, mas não podem redefinir uma senha esquecida. Para obter mais informações, consulte Como funciona o writeback de redefinição de senha de autoatendimento no Microsoft Entra ID.

Causa 2: A conta do Conector do AD DS não tem as permissões certas do Active Directory

O usuário sincronizado não tem as permissões corretas no Active Directory.

Solução: resolver problemas de permissão do Active Directory

Para resolve problemas que afetam as permissões do Active Directory, consulte Direitos e permissões de acesso do Writeback de Senha.

Solução alternativa: direcione um controlador de domínio do Active Directory diferente

Observação

O write-back de senha tem uma dependência da API herdada NetUserGetInfo. A NetUserGetInfo API requer um conjunto complexo de permissões permitidas no Active Directory que pode ser difícil de identificar, especialmente quando um servidor Microsoft Entra Connect está em execução em um controlador de domínio. Para obter mais informações, consulte Aplicativos que usam NetUserGetInfo e APIs semelhantes dependem do acesso de leitura a determinados objetos do Active Directory.

Você tem um cenário em que um servidor Microsoft Entra Connect está em execução em um controlador de domínio e não é possível resolve permissões do Active Directory? Nesse caso, recomendamos implantar Microsoft Entra servidor Connect em um servidor membro em vez de um controlador de domínio. Ou configure seu conector do Active Directory para usar somente controladores de domínio preferenciais usando as seguintes etapas:

1. No menu Iniciar, pesquise e selecione Sincronização Service Manager.

2. Na janela Sincronização Service Manager, selecione a guia Conectores.

3. Clique com o botão direito do mouse no conector do Active Directory na lista de conectores e selecione Propriedades.

4. No painel Conector Designer da caixa de diálogo Propriedades, selecione Configurar Partições de Diretório.

5. No painel Configurar Partições de Diretório , selecione a opção Usar somente controladores de domínio preferenciais e selecione Configurar.

6. Na caixa de diálogo Configurar DCs Preferenciais , adicione um ou mais nomes de servidor que apontem para um controlador de domínio diferente (ou controladores de domínio) do que o host local.

7. Para salvar suas alterações e retornar à janela main, selecione OK três vezes, inclusive na caixa de diálogo Aviso que mostra uma isenção de responsabilidade de configuração avançada.

Causa 3: os servidores não têm permissão para fazer chamadas remotas para o SAM (Gerenciador de Contas de Segurança)

Nesse caso, dois eventos de erro de aplicativo semelhantes são registrados: ID do evento 33004 e 6329. A ID do evento 6329 é diferente de 33004 porque contém um ERROR_ACCESS_DENIED código de erro no rastreamento de pilha quando o servidor tenta fazer uma chamada remota para SAM:

ERR_: MMS(#####): admaexport.cpp(2944): Falha ao adquirir informações do usuário: Contoso\MSOL_############. Código de Erro: ERROR_ACCESS_DENIED

Essa situação poderá ocorrer se o servidor Microsoft Entra Connect ou o controlador de domínio tiver ou tiver uma configuração de segurança de endurecimento aplicada com um GPO (Objeto Política de Grupo de Domínio) ou na Política de Segurança Local do servidor. Para marcar se esse é o caso, siga estas etapas:

1. Abra uma janela do Prompt de Comando administrativo e execute os seguintes comandos:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Abra o arquivo C:\Temp\gpresult.htm no navegador da Web e expandaPolíticas de Configurações>de Detalhes> do ComputadorConfigurações> doWindows Configurações>de Segurança Políticas>locais/Opções de Segurança Acesso>à Rede. Em seguida, marcar se você tem uma configuração chamada Acesso à rede: restrinja clientes autorizados a fazer chamadas remotas para SAM.

3. Para abrir o snap-in política de segurança local, selecione Iniciar, insira secpol.msc, pressione Enter e expanda Políticas> LocaisExpanda Opções de Segurança.

4. Na lista de políticas, selecione Acesso à rede: restrinja clientes autorizados a fazer chamadas remotas para SAM. A coluna Configuração de Segurança mostrará Não Definida se a configuração não estiver habilitada ou exibirá um O:BAG:... valor de descritor de segurança se a configuração estiver habilitada. Se a configuração estiver habilitada, você também poderá selecionar o ícone Propriedades para ver a ACL (Lista de Controle de Acesso) aplicada no momento.

   Observação

   Por padrão, essa configuração de política está desativada. Quando essa configuração é aplicada em um dispositivo por meio de um GPO ou uma configuração de Política Local, um valor de registro chamado RestrictRemoteSam é criado no caminho do registroHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . No entanto, essa configuração de registro pode ser difícil de limpar depois de definida e aplicada ao servidor. Desabilitar a configuração de Política de Grupo ou limpar a opção Definir essa configuração de política no GPMC (Console de Gerenciamento Política de Grupo) não remove a entrada do registro. Portanto, o servidor ainda restringe quais clientes podem fazer chamadas remotas para SAM.

   Como você verifica com precisão se o servidor Microsoft Entra Connect ou o controlador de domínio ainda está restringindo chamadas remotas ao SAM? Você marcar se a entrada do registro permanece presente executando o cmdlet Get-ItemProperty no PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

A saída do PowerShell mostra que uma entrada de registro RestrictRemoteSam ainda está presente? Nesse caso, você tem duas soluções possíveis.

Solução 1: adicionar a conta do Conector do AD DS à lista de usuários permitidos

Manter o acesso à rede: restrinja os clientes autorizados a fazer chamadas remotas à configuração de política sam habilitadas e aplicadas no servidor Microsoft Entra Connect, mas adicione a conta do Conector Active Directory Domain Services (AD DS) (MSOL_ conta) à lista de usuários permitidos. Para obter instruções, confira as seguintes etapas:

1. Se você não souber o nome da sua conta do Conector do AD DS, consulte Identificar a conta do Conector do AD DS.

2. No snap-in GPMC ou Política de Segurança Local, volte para a caixa de diálogo da propriedade para essa configuração de política.

3. Selecione Editar Segurança para exibir a caixa de diálogo Configurações de Segurança para Acesso Remoto ao SAM .

4. Na lista Nomes de grupo ou de usuário , selecione Adicionar para exibir a caixa de diálogo Selecionar Usuários ou Grupos . Na caixa Inserir os nomes de objeto a serem selecionados , insira o nome da conta do Conector do AD DS (MSOL_ conta) e selecione OK para sair dessa caixa de diálogo.

5. Selecione a conta do Conector do AD DS na lista. Em Permissões para <o nome> da conta, na linha Acesso Remoto, selecione Permitir.

6. Selecione OK duas vezes para aceitar as alterações de configuração de política e retornar à lista de configurações de política.

7. Abra uma janela do Prompt de Comando administrativo e execute o comando gpupdate para forçar uma atualização Política de Grupo:

   gpupdate /force
   

Solução 2: remova o acesso à rede: restrinja os clientes autorizados a fazer chamadas remotas para a configuração da política sam e exclua manualmente a entrada do registro RestrictRemoteSam

1. Se a configuração de segurança for aplicada a partir da Política de Segurança Local, vá para a etapa nº 4.

2. Abra o snap-in do GPMC de um Controlador de Domínio e edite o respectivo GPO de Domínio.

3. ExpandaPolíticas deConfiguração> doComputador Configurações> do WindowsConfigurações> de segurançaConfigurações> de computadorOpções>de segurança de políticas> locais.

4. Na lista de opções de segurança, selecione Acesso à rede: restrinja os clientes autorizados a fazer chamadas remotas para SAM, abra Propriedades e desabilite Definir essa configuração de política.

5. Abra uma janela do Prompt de Comando administrativo e execute o comando gpupdate para forçar uma atualização Política de Grupo:

   gpupdate /force
   

6. Para gerar uma nova Política de Grupo relatório de resultados (GPreport.htm), execute o comando gpresult e abra o novo relatório em um navegador da Web:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Verifique o relatório para verificar se a configuração da política para acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM não está definida.

8. Abra um console administrativo do PowerShell.

9. Para remover a entrada do registro RestrictRemoteSam , execute o cmdlet Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Observação

   Se você excluir a entrada do registro RestrictRemoteSam sem remover a configuração de GPO do Domínio, essa entrada do registro será recriada no próximo ciclo de atualização Política de Grupo e o SSPR_0029 erro será recorrente.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.