Похоже, что некоторые из наших участников столкнулись с ошибкой агента по продаже паролей с идентификатором 2. Существует ряд факторов, которые могут вызвать эту проблему. Сейчас мы их упакуем.
Одобрено: Fortect
- 12 минут на чтение.
Мониторинг и отчетность – важные цели после развертывания защиты паролем Azure AD. В этом обзоре подробно описаны различные методы мониторинга, в том числе информация о том, где женские службы регистрируют информацию и как использовать защиту паролем Azure AD.
Мониторинг и отчетность можно выполнять либо просто с помощью сообщений проверки событий, либо с помощью командлетов PowerShell. И конкретный агент DC, и прокси-служба записывают сообщения журнала эпизодов. Все командлеты PowerShell, известные как ниже, доступны только в области прокси (см. Модуль AzureADPasswordProtection PowerShell). Использование агента DC не учитывает установку модуля PowerShell.
Документирование обстоятельств действия агента DC
На каждом контроллере домена DC Agent Expert Services записывает результаты каждой проверки безопасности (и другое состояние) и индикатор локального события:
Журнал администратора агента DC в настоящее время является основным источником дополнительной информации о поведении программного приложения.
События, богатые различными компонентами Agent DC, подразделяются на следующие области:
| компонент | Диапазон идентификаторов событий |
|---|---|
| DLL фильтра паролей агента DC | 10000–19999 |
| Процесс хостинга веб-сайта службы агента DC | 20000–29999 |
| Логика проверки сервисных покрытий DC агента | 30000–39999 |
Журнал событий администратора темы
События результатов проверки пароля
На каждом отдельном контроллере домена вспомогательный компьютер агента DC записывает результаты каждой отдельной проверки кода скидки в журнал части агента, управляющего контроллером домена.
Одобрено: Fortect
Fortect — самый популярный и эффективный в мире инструмент для ремонта ПК. Миллионы людей доверяют ему обеспечение быстрой, бесперебойной и безошибочной работы своих систем. Благодаря простому пользовательскому интерфейсу и мощному механизму сканирования Fortect быстро находит и устраняет широкий спектр проблем Windows — от нестабильности системы и проблем с безопасностью до проблем с управлением памятью и производительностью.
Как правило, их успешное событие проверки пароля регистрируется, из которого выполняется фильтрация паролей DLL рабочего контроллера домена. Почти каждая неудачная операция проверки пароля обычно регистрирует два события, одно из которых связано с удовлетворением агента DC, а другое – из библиотеки DLL фильтра паролей агента DC.
Дискретные события для обнаружения этих непредвиденных событий регистрируются на основе некоторых из обычно следующих факторов:
- Используйте или измените конкретный пароль для просмотра телевизора. Оформить заказ
- Был ли введен действительный код успешно или нет.
- Если авторизация не удалась из-за глобальной политики Microsoft, компания подготовит или и то, и другое.
- Включена ли в настоящее время политика “Только аудит” или соответствует ли текущая политика паролей пользователя.
| событие | Изменить пароль | Пароль установлен |
|---|---|---|
| Пропустить | 10014 | 10015 |
| Ошибка (из-за политики паролей клиента) | 10016, 30002 | 10017, 30003 |
| Ошибка (из-за которой возможен возврат к политике паролей Microsoft) | 10016, 30004 | 10017, 30005 |
| Ошибка (из-за тщательно продуманной политики конфиденциальности Microsoft и клиентов) | 10016, 30026 | 10017, 30027 |
| Ошибка (из-за имени пользователя справки) | 10016, 30021 | 10017, 30022 |
| Только аудит (завершится неудачно, если не удалось выполнить политику паролей и имени пользователя клиента) | 10024, 30008 | 10025, 30007 |
| Пройден только аудит (не удалось, вступила в силу политика в отношении информации учетной записи Microsoft) | 10024, 30010 | 10025, 30009 |
| Только аудит (не удалось бы, если бы политики изменения Microsoft и клиента были объединены) | 10024, 30028 | 10025, 30029 |
| Audit-only-Pass (функция определенно не работает из-за имени пользователя) | 10016, 30024 | 10017, 30023 |
Пробелы в приведенной выше таблице, относящиеся к «комбинированным политикам», рекламируют ситуации, когда пароль пользователя может состоять по крайней мере из одного токена из списка запрещенных паролей Microsoft и списка запрещенных паролей для новых клиентов.
Обсуждаемые выше случаи «имени пользователя» явно относятся к случаям, когда имя пользователя и пароль содержат либо имя учетной записи клиента, либо распознаваемое дисплеем клиента. Оба этих сценария приводят к тому, что безопасность пользователя отклоняется после того, как политика настроена на принудительное применение, или достигается, когда подготовка находится в режиме аудита.
Если представления пары регистрируются для каждого следующего, эти два события явно связаны между собой, и для этого требуется один и тот же CorrelationId.
Сводка проверки пароля сообщает о конечном результате в PowerShell
Командлет Get-AzureADPasswordProtectionSummaryReport можно использовать для получения сводки шагов проверки пароля. Пример вывода, полученного с помощью этого командлета Fact, выглядит следующим образом:
Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2Контроллер домена: bplrootdc2Подтверждена смена пароля: 6677Подтвержденный пароль: 9В смене пароля отказано: 10868Кодовая фраза отклонена: 34AuditOnly подробно описывает ошибки изменения: 213PasswordSetAuditOnly отклонений: 3PasswordChangeErrors. ... ... 0PasswordSetErrors: 1
На объем отчета для этого командлета с инструкциями могут влиять любые рекомендации по лесу, домену или контроллеру домена. Отсутствие параметра означает – Лес.
Командлет Get-AzureADPasswordProtectionSummaryReport запрашивает журнал событий администрирования поставщика контроллера домена, а затем подсчитывает общее количество событий, соответствующих каждому отображается концепция результата. Следующая таблица содержит промежуточные назначения для каждого результата и соответствующего идентификатора события:
| Свойство Get-AzureADPasswordProtectionSummaryReport | Связанный идентификатор производительности |
|---|---|
| Изменения пароля подтверждены | 10014 |
| Пароль подтвержден | 10015 |
| Изменение пароля отклонено | 10016 |
| Кодовая фраза отклонена | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| Ошибки изменения пароля | 10012 |
| PasswordSetErrors | 10013 |
Обратите внимание, что командлет Get-AzureADPasswordProtectionSummaryReport предоставляется вам в виде сценария PowerShell, и при необходимости на него можно ссылаться непосредственно в наиболее важном месте:
Пример сообщения журнала событий для события с идентификатором 10014 (пароль изменен успешно)
Измененный пароль, требуемый для указанного пользователя, был проверен на соответствие его текущей политике паролей Azure. Имя пользователя: BPL_02885102771 Фамилия и имя:
Пример сообщения журнала событий для событий с идентификаторами 10017 и 30003 (сбой частного сохранения)
Сброс пароля для предварительно определенного пользователя обычно отклонялся после того, как, однако, это не обязательно полностью соответствовало текущей политике паролей Azure. Для получения дополнительной информации см. Соответствующее сообщение о событии. Имя пользователя: BPL_03283841185 Фамилия и имя:
Сброс пароля только для указанного работника был отклонен, поскольку по крайней мере один для жениха и невесты соответствовал предустановленному паролю для каждого клиента в текущей политике изменения Azure. Имя пользователя: BPL_03283841185 Фамилия и невероятно имя:
Пример сообщения журнала событий для события с идентификатором 30001 (пароль был принят, поскольку применимая политика была просто недоступна)
Повысьте производительность вашего компьютера с помощью этой простой загрузки. г.
г.
