Det ser ut som att lite av våra användare upplever ett event ID -lösenordsagentfel. Det finns ett nej. faktorer som kan orsaka detta problem. Nu ska vi ta itu med dem.
Godkänd: Fortect
- 12 min att läsa.
Övervakning och exponering är viktiga uppgifter efter implementering av Azure AD -användarnamn och lösenordsskydd. Den här artikeln beskriver de olika övervakningsrutinerna, inklusive var enskilda tjänster loggar information och information om hur du använder Azure AD -lösenordsskydd.
Övervakning och rapportering kan göras antingen enkelt och även med hjälp av händelseloggmeddelanden eller med PowerShell -cmdletar. Både DC -agenten och proxyservicen skriver händelseloggmeddelanden. Alla dess PowerShell -cmdletar som beskrivs nedan är endast tillgängliga här i proxysektionen (se AzureADPasswordProtection PowerShell -modul). DC -agentprogramvaran respekterar inte installationen av PowerShell -modulen.
Dokumentera DC -agentens omständigheter
På varje domänregulator registrerar DC Agent Expert Services resultaten angående varje säkerhetskontroll (och annan status) och alla typer av lokala händelseloggar:
DC Agent Administrator Log är den primära källan till ytterligare information om programvarans beteende.
Händelser som är rika från olika Agent DC -komponenter faller in i områdena:
| komponent | Händelse -ID -område |
|---|---|
| DC Agent Password Filter Filter DLL | 10000-19999 |
| DC Agent Service Webbplatsvärdprocess | 20000-29999 |
| Logik för kontroll av DC -policyer för arbetstagare | 30000-39999 |
Händelselogg för ämnesadministratör
Resultathändelser för lösenordsverifiering
På varje enskild domänkontrollant skriver den viktigaste agent -DC -servicedatorn resultaten som länkade varje enskild kodkontroll till en logg angående DC -administratörsdelen av agenten.
Godkänd: Fortect
Fortect är världens mest populära och effektiva PC-reparationsverktyg. Det litar på miljontals människor för att hålla sina system igång snabbt, smidigt och felfritt. Med sitt enkla användargränssnitt och kraftfulla skanningsmotor hittar och fixar Fortect snabbt ett brett utbud av Windows-problem – från systeminstabilitet och säkerhetsproblem till minneshantering och prestandaflaskhalsar.
Vanligtvis kan en lyckad lösenordsvalideringshändelse loggas från lösenordsfiltret DLL för den exakta domänkontrollantagenten. Nästan varje misslyckad lösenordsinmatningsoperation loggar vanligtvis två händelser, en från hela DC Agent -tjänsten och en från DC Agent Password Filter Filter DLL.
Diskreta händelser som skulle upptäcka dessa situationer loggas baserat på valda av följande faktorer:
- Använd eller ändra det specifika specifika lösenordet för att titta på TV. Kassa
- Om ett giltigt lösenord har angetts eller inte.
- Om valideringen misslyckas på grund av Microsofts elementpolicy, företagspolicy eller en kombination av var och en av.
- Om policyn Endast granskning nu är aktiverad eller gäller för användarens nuvarande kontopolicy.
| händelse | Ändra lösenord | Lösenord har ställts in |
|---|---|---|
| Hoppa över | 10014 | 10015 |
| Fel (på grund av klientkontopolicy) | 10016, 30002 | 10017, 30003 |
| Fel (på grund av återkoppling till Microsofts informationspolicy) | 10016, 30004 | 10017, 30005 |
| Fel (på grund av kombinerad policy för Microsoft och kundisolering) | 10016, 30026 | 10017, 30027 |
| Fel (på grund av användarnamn) | 10016, 30021 | 10017, 30022 |
| Endast granskning (misslyckas om klientens användarnamn och lösenordspolicy misslyckades) | 10024, 30008 | 10025, 30007 |
| Flytta endast granskning (misslyckades, Microsofts lösenordspolicy trädde i kraft) | 10024, 30010 | 10025, 30009 |
| Granska verkligen (skulle misslyckas om Microsoft och klientändringspolicyer har slagits samman) | 10024, 30028 | 10025, 30029 |
| Audit-only-Pass (funktionen fungerar inte på grund av användarnamnet) | 10016, 30024 | 10017, 30023 |
Utrymmena i tabellen ovan som hänvisar till som kan “kombinationspolicyer” hänvisar till situationer där en kunds lösenord kan bestå av minst ett uttryck från en specificerad lista över Microsoft -nekade lösenord och en nekad lösenordslista för nya besökare.
Fallen “användarnamn” som diskuteras ovan är grundläggande relaterade till situationer där användarnamnet och ett innehåller antingen kundens kontonamn eller kundens visningsnamn. Båda dessa scenarier eftersom användarens lösenord som ska avvisas efter att allmän policy har konfigurerats för att verkställa eller realiseras när policyn är i granskningsläge.
Om händelserna i ett par blötläggs mot varandra är de två händelserna anmärkningsvärt relaterade, vilket kräver samma CorrelationId.
Sammanfattning av lösenordsverifieringsrapporter Slutresultatet i PowerShell
cmdlet Get-AzureADPasswordProtectionSummaryReport kan sättas på plats för att få en sammanfattning av lösenordsverifieringen. Exempel på utdata från denna cmdlet för fakta ser ungefär ut så här:
Get -AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2Domänkontrollant: bplrootdc2Lösenordsändring bekräftad: 6677Bekräftat lösenord: 9Lösenordsändring nekad: 10868Lösenfras avvisad: 34AuditOnly password change error: 213PasswordSetAudit Endast avslag: 3PasswordChangeErrors. ... ... 0PasswordSetErrors: 1
Rapportkapaciteten för denna cmdlet kan påverkas av olika strategier för Forest, Domain eller Domain Controller. Frånvaron av en parameter kan betyda – Skog.
Get-AzureADPasswordProtectionSummaryReport cmdlet frågar efter sektorhanteringsleverantörens adminhändelselogg och numrerar sedan det totala antalet händelser som matchar ensamt visat resultat kategori. Följande kalkylblad innehåller mina mellanliggande tilldelningar för varje resultat och tillhörande händelse -ID:
| Get-AzureADPasswordProtectionSummaryReport Property | Associerat prestanda-ID |
|---|---|
| Lösenordsändringar demonstrerade | 10014 |
| Lösenord bekräftat | 10015 |
| Lösenordsändring nekad | 10016 |
| Lösenfras avvisad | 10017 |
| PasswordChangeAuditOnlyFailures | 10024 |
| PasswordSetAuditOnlyFailures | 10025 |
| Lösenordsändringsfel | 10012 |
| PasswordSetErrors | 10013 |
Observera att en Get-AzureADPasswordProtectionSummaryReport cmdlet tillhandahålls till din familj som ett PowerShell-skript och kan rekommenderas direkt på följande plats om det behövs:
Exempel på händelseloggmeddelande för händelse -ID 10014 (lösenordsändring lyckades)
Det förbättrade lösenordet som krävs för den angivna användaren har verifierats mot den aktuella Azure -lösenordspolicyn. Användarnamn: BPL_02885102771 Efternamn och förnamn:
Exempel på händelseloggmeddelande för händelse -ID: n 10017 och 30003 (privat sparning misslyckades)
Återställning av kontoinformation för den angivna användaren avvisades vanligtvis för afterHowever, det uppfyllde inte den nuvarande Azure -lösenordspolicyn. Mer information finns i meddelandet om kommunikationshändelselogg. Användarnamn: BPL_03283841185 Efternamn och förnamn:
En lösenordsåterställning på grund av endast den angivna användaren avvisades eftersom mer än en av brudparet matchade lösenordet för varje kund i just den aktuella Azure -lösenordspolicyn. Användarnamn: BPL_03283841185 Efternamn och förnamn:
Exempel på händelseloggmeddelande för händelse -ID 30001 (lösenord accepterades eftersom den tillämpliga policyn helt enkelt inte var tillgänglig)
Snabba upp din dators prestanda nu med denna enkla nedladdning.
