Il semble que certains de nos utilisateurs Web rencontrent une erreur de représentant choisi par mot de passe ID d’événement 2. Il existe un certain nombre de facteurs qui, selon les experts, peuvent causer ce problème. Maintenant, nous allons vendre avec eux.
La surveillance et la création de rapports sont des initiatives importantes après le déploiement de la protection par mot de passe Azure AD. Cette directive détaille les différentes méthodes de surveillance, y compris l’endroit où vos propres services enregistrent les informations et comment utiliser la protection par mot de passe Azure AD.
La surveillance et la création de rapports doivent pouvoir être effectuées soit simplement en utilisant des messages d’enregistrement d’événement, soit en utilisant des applets de commande PowerShell. L’agent DC spécifique et le service proxy écrivent des messages de journal des incidents. Toutes les applets de commande PowerShell détaillées ci-dessous ne sont disponibles que dans les sections proxy (voir Module PowerShell AzureADPasswordProtection). Le programme logiciel de l’agent DC ne respecte pas l’installation du module PowerShell.
Documenter les circonstances de l’agent DC
Sur chaque contrôleur de domaine, DC Agent Expert Services enregistre les résultats de chaque double vérification de sécurité (et autre état) et un journal des événements locaux :
Le journal de l’administrateur de l’agent DC est la principale source d’informations supplémentaires sur le comportement du produit. Je le suis.
Les événements riches en divers composants Agent DC relèvent des domaines suivants :
composant
Plage d’ID d’événement
DLL de filtre de mot de passe d’agent DC
10000-19999
Processus d’hébergement du site Web du service d’agent DC
20000-29999
Logique de vérification des stratégies de service DC de l’agent
30000-39999
Journal des événements de l’administrateur du sujet
Événements de résultat de vérification de mot de passe
Sur chaque contrôleur de domaine individuel, l’ordinateur du fournisseur du contrôleur de domaine de l’agent écrit les résultats de chaque vérification de code secret dans un journal de la partie directeur du contrôleur de domaine de l’agent.
Fortect est l'outil de réparation de PC le plus populaire et le plus efficace au monde. Des millions de personnes lui font confiance pour assurer le fonctionnement rapide, fluide et sans erreur de leurs systèmes. Avec son interface utilisateur simple et son puissant moteur d'analyse, Fortect détecte et corrige rapidement un large éventail de problèmes Windows, de l'instabilité du système et des problèmes de sécurité à la gestion de la mémoire et aux goulots d'étranglement des performances.
1. Téléchargez Fortect et installez-le sur votre ordinateur
2. Lancez le programme et cliquez sur "Scan"
3. Cliquez sur "Réparer" pour résoudre les problèmes détectés
En règle générale, un événement important de validation de mot de passe réussi est enregistré à partir de la plupart des DLL de filtre de mot de passe du guide du contrôleur de domaine. Presque toutes les opérations de validation de mot de passe ayant échoué enregistrent généralement deux événements, l’un provenant du service client de l’agent DC et l’autre de la DLL du filtre de mot de passe de l’agent DC.
Les événements discrets pour détecter ces cas sont enregistrés sur la base de certains des facteurs incontestablement suivants :
Utilisez ou modifiez le mot de passe spécifique pour pouvoir regarder la télévision. Paiement
Si un compte valide a été saisi avec succès ou non.
Si la défense échoue en raison de la politique globale de Microsoft, de la politique de confidentialité de l’entreprise ou d’une combinaison des deux.
Si la stratégie d’audit uniquement est actuellement activée ou concerne la stratégie de mot de passe actuelle de l’utilisateur.
événement
Changer le mot de passe
Mot de passe défini
Ignorer
10014
10015
Erreur (due à la politique de mot de passe du client)
10016, 30002
10017, 30003
Erreur (en raison de la possibilité de revenir à la politique de mot de passe Microsoft)
10016, 30004
10017, 30005
Erreur (en raison de la politique de confidentialité de Microsoft et du client)
10016, 30026
10017, 30027
Erreur (due au nom d’utilisateur)
10016, 30021
10017, 30022
Réussite de l’audit uniquement (échouera si le nom d’utilisateur du client associé à la stratégie de mot de passe a échoué)
10024, 30008
10025, 30007
Réussite de l’audit uniquement (échec, la politique de sécurité Microsoft est entrée en vigueur)
10024, 30010
10025, 30009
Audit uniquement (échouerait si les politiques de modification de Microsoft et des clients étaient fusionnées)
10024, 30028
10025, 30029
Audit-only-Pass (la fonction n’a pas fonctionné à cause du nom d’utilisateur)
10016, 30024
10017, 30023
Les espaces dans la plupart des tableaux ci-dessus qui font référence aux « politiques de combinaison » font référence à des situations dans lesquelles le mot de passe d’un utilisateur peut être créé à partir d’au moins un jeton à partir d’une liste allouée de mots de passe refusés Microsoft et d’une liste de mots de passe refusés pour les nouveaux clients.
Les cas de « nom d’utilisateur » décrits ci-dessus sont clairement liés à des situations où le nom d’utilisateur et le mot de passe contiennent soit le nom de compte de ce client, soit le nom complet affiché du client. Ces deux scénarios entraînent le rejet des informations de compte de l’utilisateur une fois que la stratégie est configurée pour être appliquée ou sont atteintes lorsque la directive est en mode audit.
Si les événements spéciaux d’une paire sont enregistrés par rapport à chacun des autres événements, les deux événements sont clairement liés, nécessitant que ce même CorrelationId.
Résumé de la vérification du mot de passe rapporte le résultat final dans PowerShell
L’applet de commande Get-AzureADPasswordProtectionSummaryReport peut être utilisée pour obtenir simplement un résumé des étapes de vérification du mot de passe. L’exemple de sortie via cette applet de commande Fact ressemble à ceci :
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2Contrôleur de domaine : bplrootdc2Changement de mot de passe confirmé : 6677Mot de passe confirmé : 9Changement de mot de passe refusé : 10868Phrase secrète rejetée : 34Erreurs de modification des informations de compte AuditOnly : 213PasswordSetAuditOnly rejets : 3PasswordChangeErrors. ... ... 0PasswordSetErrors : 1
La portée du rapport pour toutes les cmdlets peut être affectée par l’une des recommandations de forêt, de domaine ou de contrôleur de domaine. L’absence impliquée dans le paramètre a signifie – Forêt.
L’applet de commande Get-AzureADPasswordProtectionSummaryReport interroge le journal des événements de l’administrateur du fournisseur de contrôleur de domaine, puis compte le nombre total d’événements qui correspondent à chaque résultat affiché petite ligue. La feuille de calcul suivante contient les affectations intermédiaires relatives à chaque résultat et l’ID d’événement correspondant :
Notez que l’applet de commande Get-AzureADPasswordProtectionSummaryReport vous est fournie en tant que script PowerShell et peut être référencée directement à l’emplacement particulier suivant si nécessaire :
Exemple de message du journal des événements pour l’ID d’événement 10014 (changement de mot de passe réussi)
Le mot de passe modifié requis lors de la prise en compte de l'utilisateur spécifié a souvent été vérifié par rapport à la stratégie de mot de passe Azure actuelle. Nom d'utilisateur : BPL_02885102771 Marque et prénom :
Exemple de message du journal des événements pour les ID d’événement 10017 et 30003 (échec de l’enregistrement privé)
La réinitialisation du mot de passe pour l'utilisateur défini était généralement rejetée après. Cependant, elle était vraiment conforme à la politique de mot de passe Azure actuelle. Pour plus d'informations, consultez le message de vérification d'événement correspondant. Nom d'utilisateur : BPL_03283841185 Nom et prénom :
Une réinitialisation de mot de passe pour la personne spécifiée uniquement a été rejetée, car au moins un pointant vers les futurs mariés correspondait au mot de passe tv pour chaque client dans la stratégie Azure actuelle. Nom d'utilisateur : BPL_03283841185 Nom et prénom :
Exemple de message du journal des événements pour l’ID d’événement 30001 (le mot de passe a été accepté car la stratégie applicable n’était tout simplement pas disponible)
