Es sieht so aus, als ob bei einigen mit unseren Benutzern verknüpften Benutzern ein Ereignis-ID-Fehler mit nicht nur einem, sondern zwei Passwort-Agenten aufgetreten ist. Es gibt eine Reihe von Faktoren, die dieses Problem verursachen können. Jetzt werde ich mich persönlich darum kümmern.
Überwachung und Berichterstellung werden definitiv wichtige Aufgaben nach der Bereitstellung von Azure AD-Kennwortsicherheitsmaßnahmen sein. In diesem Artikel werden die verschiedenen Überwachungsmethoden beschrieben, die verwendet werden, wo einzelne Dienste Informationen protokollieren, und wie Sie ihnen erlauben, den Azure AD-Kennwortschutz zu verwenden.
Überwachung und/oder Berichterstellung können entweder einfach durch Erstellen von Ereignisprotokollnachrichten oder mithilfe von PowerShell-Cmdlets erfolgen. Sowohl der DC-Agent als auch die Proxyanbieter schreiben Ereignisprotokollnachrichten. Alle unten beschriebenen PowerShell-Cmdlets sind nur im Proxy-Abschnitt verfügbar (siehe AzureADPasswordProtection PowerShell-Modul). Die DC-Agent-Software respektiert die Installation des PowerShell-Elements nicht.
Die Umstände des DC-Agenten dokumentieren
Auf jedem Domänencontroller zeichnet DC Agent Expert Services die Ergebnisse jeder einzelnen Sicherheitsprüfung (und anderer Status) und ein Distriktereignisprotokoll auf:
Das DC-Agenten-Administratorprotokoll ist die Hauptquelle für zusätzliche Informationen zum Softwareverhalten.
Ereignisse, die eine ganze Reihe von Agenten-DC-Komponenten enthalten, fallen in die folgenden Bereiche:
Komponente
Ereignis-ID-Bereich
DC-Agent-Passwortfilter-DLL
10000-19999
DC Agent Service Website-Hosting-Prozess
20000-29999
Logik zum Überprüfen von Agenten-DC-Dienstrichtlinien
30000-39999
Themenadministrator-Ereignisprotokoll
Ergebnisereignisse der Passwortüberprüfung
Auf jedem einzelnen Domänencontroller schreibt der feste DC-Dienstcomputer die Ergebnisse jeder einzelnen Codeüberprüfung in ein Protokoll jedes DC-Administratorteils des Agenten.
Fortect ist das weltweit beliebteste und effektivste PC-Reparaturtool. Millionen von Menschen vertrauen darauf, dass ihre Systeme schnell, reibungslos und fehlerfrei laufen. Mit seiner einfachen Benutzeroberfläche und leistungsstarken Scan-Engine findet und behebt Fortect schnell eine breite Palette von Windows-Problemen - von Systeminstabilität und Sicherheitsproblemen bis hin zu Speicherverwaltung und Leistungsengpässen.
1. Laden Sie Fortect herunter und installieren Sie es auf Ihrem Computer
2. Starten Sie das Programm und klicken Sie auf "Scannen"
3. Klicken Sie auf "Reparieren", um alle gefundenen Probleme zu beheben
Normalerweise wird ein erfolgreiches Kennwortvalidierungsereignis von der Kennwortfilter-DLL des Website-Controller-Agenten signiert. Fast jede fehlgeschlagene Kennwortvalidierungsfunktion protokolliert normalerweise zwei Ereignisse, eines vom DC-Agent-Dienst und eines von der DC-Agent-Kennwortfilter-DLL.
Diskrete Ereignisse, um diese Situationen herauszufinden, werden basierend auf einigen der folgenden Faktoren protokolliert:
Verwenden oder ändern Sie das sehr spezifische Passwort zum Fernsehen. Zur Kasse
Ob ein brandneues gültiges Passwort erfolgreich eingegeben wurde oder nicht.
Wenn die Validierung aufgrund einer globalen Richtlinie von Microsoft, einer Unternehmensrichtlinie oder einer Kombination aus beidem fehlschlägt.
Ob die Richtlinie “Nur Audit” derzeit vorhanden ist oder auf die aktuelle Kennwortrichtlinie des Benutzers zutrifft.
Veranstaltung
Benutzername und Passwort ändern
Passwort gesetzt
Überspringen
10014
10015
Fehler (aufgrund der Kundenkontorichtlinie)
10016, 30002
10017, 30003
Fehler (wegen Fallback auf die Microsoft-Passwortrichtlinie)
10016, 30004
10017, 30005
Fehler (aufgrund der kombinierten Datenschutzrichtlinie von Microsoft und Kunden)
10016, 30026
10017, 30027
Fehler (aufgrund des Benutzernamens)
10016, 30021
10017, 30022
Nur Audit bestanden (fehlt, wenn Ihre Benutzernamen- und Passwortrichtlinie fehlgeschlagen ist)
10024, 30008
10025, 30007
Nur Geschwindigkeit prüfen von (fehlgeschlagen, Microsoft-Passwortrichtlinie wurde wirksam)
10024, 30010
10025, 30009
Nur Audit (würde zusammenbrechen, wenn Microsoft- und Client-Änderungsrichtlinien ursprünglich zusammengeführt wurden)
10024, 30028
10025, 30029
Audit-only-Pass (Funktion funktioniert nicht aufgrund des Benutzernamens)
10016, 30024
10017, 30023
Die Unterbrechungen in der obigen Tabelle, die sich auf eindeutig “Kombinationsrichtlinien” beziehen, beziehen sich auf Situationen, in denen das Konto eines Benutzers aus mindestens einem Token einer bestimmten Liste von Microsoft-Passwörtern verweigert und darüber hinaus einer Liste verweigerter Passwörter für Neukunden bestehen kann.
Die oben erörterten Fälle von „Benutzernamen“ ergänzen eindeutig Situationen, in denen der Benutzername und das Kennwort entweder den Kontonamen des Kunden oder den Anzeigenamen des Verbrauchers enthalten. Beide Szenarien führen dazu, dass ich sagen würde, dass das Kennwort des Benutzers abgelehnt wird, nachdem die Datenschutzrichtlinie konfiguriert wurde, um durchzusetzen, oder erreicht wird, wenn sich die Richtlinie im Überwachungsmodus befindet.
Wenn die Ereignisse eines Paares nebeneinander protokolliert werden, sind die beiden Ereignisse eindeutig miteinander verknüpft und erfordern dieselbe CorrelationId.
Zusammenfassung der Passwortüberprüfungah meldet das Endergebnis in PowerShell
Das Cmdlet Get-AzureADPasswordProtectionSummaryReport kann verwendet werden, um eine Zusammenfassung der Schritte zur Kennwortüberprüfung abzurufen. Die Beispielausgabe dieses Fact-Cmdlets sieht wie folgt aus:
Der Umfang des Berichts, um dieses Cmdlet zu erhalten, kann durch alle mit den Gesamtstruktur-, Domänen- oder Domänencontroller-Empfehlungen verknüpften Empfehlungen beeinflusst werden. Das Fehlen des Parameters a bedeutet – Wald.
Das Cmdlet Get-AzureADPasswordProtectionSummaryReport fragt das Admin-Ereignisprotokoll des Domänen-Gamecontroller-Anbieters ab und zählt dann jede Gesamtanzahl von Ereignissen, die mit jedem geladenen übereinstimmen Ergebniskategorie. Das folgende Arbeitsblatt enthält die Zuweisungen des zweiten Mal für Anfänger zu jedem Ergebnis und die entsprechende Angelegenheits-ID:
Beachten Sie, dass das gesamte Cmdlet Get-AzureADPasswordProtectionSummaryReport Ihnen in Form eines PowerShell-Skripts zur Verfügung gestellt wird und bei Bedarf sofort an folgendem Speicherort referenziert werden kann:
Beispiel-Ereignisprotokollnachricht für Ereignis-ID 10014 (Kennwortänderung erfolgreich)
Der für den angegebenen Benutzer erforderliche geänderte Code wurde gegen die aktuelle Azure-Kennwortrichtlinie bestätigt. Benutzername: BPL_02885102771 Nachname und Vorname:
Beispiel-Ereignisprotokollnachricht für Ereignis-IDs 10017 und 30003 (privates Speichern fehlgeschlagen)
Das Zurücksetzen des Kennworts in Bezug auf den angegebenen Benutzer wurde normalerweise danach abgelehnt. Dies entspricht jedoch nicht der aktuellen Azure-Sicherheitsrichtlinie. Weitere Informationen finden Sie in der entsprechenden Zweckprotokollnachricht. Benutzername: BPL_03283841185 Nachname und primär Name:
Ein Zurücksetzen des Kennworts nur für jeden angegebenen Benutzer wurde abgelehnt, weil in der hochmodernen Azure-Kennwortrichtlinie für jeden Kunden mindestens eines der Kennwörter von Braut und Bräutigam übereinstimmte. Benutzername: BPL_03283841185 Nachname zusätzlich zum Vornamen:
Beispiel-Ereignisprotokollnachricht für Ereignis-ID 30001 (Passwort wurde akzeptiert, weil die geltende Richtlinie einfach nicht verfügbar war)
