Fehlerbehebung
Die unten stehenden Informationen sind für Administratoren gedacht, die für die Fehlerbehebung von Specops Password Reset verantwortlich sind. Bevor Sie die Aufgaben in diesem Leitfaden ausführen, stellen Sie bitte sicher, dass Sie Specops Password Reset korrekt installiert haben.
Zugriff verweigert Nachricht auf der Helpdesk-Webseite
Mögliche Ursache
Delegierter Helpdesk funktioniert nicht mit einem Alias: https://spr.domain.com/specopspassword/helpdesk
. Sie müssen die Seite über den FQDN aufrufen.
Mögliche Lösung
Fügen Sie ein weiteres CN zum Zertifikat hinzu. „CN=hostname.domain.local“ bei Verwendung von https://hostname.domain.local/specopspassword/helpdesk;
Oder „CN=hostname“ bei Verwendung nur des Servernamens https://hostname/specopspassword/helpdesk
.
Immer nach Windows-Anmeldeinformationen gefragt werden, wenn die Helpdesk/Reporting-Seite geöffnet wird
Mögliche Ursache
Sie haben den FQDN des Servers (oder *.mydomain.com) nicht zur lokalen Intranet-Site hinzugefügt, indem Sie die GPO-Site zur Zonen-Zuweisung verwenden.
Mögliche Lösung
Sie müssen die Schritte unter „Authentifizierung zum Password Reset Web Server aktivieren“ im Specops Password Reset Installationshandbuch abschließen.
„Zugriff verweigert“ Nachricht bei der Registrierung mit einem Admin-Konto
Mögliche Ursache
Admin-Konten sind von der adminSDHolder-Regel betroffen, die alle 15 Minuten die Sicherheitsberechtigungen für privilegierte AD-Konten zurücksetzt.
Mögliche Lösung
Melden Sie sich mit einem Konto mit Domain-Admin-Berechtigungen an. Mit dem dsacls-Befehl können Berechtigungen für AdminSDHolder angepasst werden.
Beispiel:
dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
"EXAMPLE\sprsvc:CCDC;classStore;" "EXAMPLE\sprsvc:LC;;"
"EXAMPLE\sprsvc:CA;Reset Password;" "EXAMPLE\sprsvc:RP;userAccountControl;"
"EXAMPLE\sprsvc:RPWP;mobile;" "EXAMPLE\sprsvc:RPWP;pwdLastSet;"
"EXAMPLE\sprsvc:RPWP;lockoutTime;"
Ersetzen Sie <domainDN>
und <serviceAccount>
durch die Domänenkomponenten Ihrer Domäne und den Namen des SPR-Dienstkontos.
Hinweis
Es ist aus Sicherheitsgründen nicht empfehlenswert, Specops Password Reset mit einem Konto mit administrativen Berechtigungen zu verwenden. Aktivieren Sie diese Einstellungen nur, wenn es die praktische Realität Ihrer Organisation erfordert.
Wenn der Benutzer dem Registrierungs-Erinnerungslink folgt, wird ihm mitgeteilt, dass er keine konfigurierte Registrierungsrichtlinie hat
Mögliche Ursache
Das Dienstkonto hat die Berechtigungen zum Lesen des Specops Password Reset Gruppenrichtlinienobjekts verloren.
Mögliche Lösung
Fügen Sie im Gruppenrichtlinienverwaltungs-Konsole das Dienstkonto zur Delegierungs-Registerkarte des Specops Password Reset Gruppenrichtlinienobjekts mit Leserechten hinzu.
Benutzer erhält die Nachricht „Der Server der Zertifikatsperrliste konnte nicht erreicht werden“, wenn er auf den Link zum Zurücksetzen des Passworts auf dem Anmeldebildschirm klickt, aber nicht, wenn er zur Zurücksetzseite navigiert, wenn er angemeldet ist
Mögliche Ursache
Benutzer ist am Anmeldebildschirm nicht mit dem Internet verbunden.
Mögliche Lösung
Sie können eines der folgenden drei Optionen verwenden, um dieses Problem zu lösen:
-
Fügen Sie eine neue Regel zu Ihrem Proxy hinzu, die „Domänencomputer“ erlaubt, die CRL-Server im Internet zu erreichen. Die Regel sieht ähnlich wie das untenstehende Beispiel aus:
Quelle: internes Netzwerk
Ziel: IP-Adresse des CRL-Servers
Port: 80
Zugriffsgruppe: „Domänencomputer“
-
Deaktivieren Sie die CRL-Prüfung auf dem Client.
Hinweis
Dies deaktiviert die CRL-Prüfung für alle Zertifikate. Wenn Sie eine Seite besuchen, deren Zertifikat widerrufen wurde, würde dies die Erstellung einer sicheren Verbindung ermöglichen, es sei denn, das Zertifikat ist abgelaufen.
-
Wenn Sie ein internes Zertifizierungsstellen-System haben, verwenden Sie ein internes Zertifikat anstelle eines öffentlichen Zertifikats.
Hinweis
Ein öffentliches Zertifikat ist eine gute Wahl, wenn Sie planen, Benutzern zu erlauben, ihre Passwörter extern zurückzusetzen.
Der Link zum Zurücksetzen des Passworts erscheint nach dem Neustart nicht auf der Anmeldeseite
Mögliche Ursache
Der Computer startet, bevor der Netzwerk-Stack hochgefahren wurde. Dies ist häufig der Fall, wenn Systeme mit drahtlosen oder gigabit-verbundenen NICs verwendet werden.
Mögliche Lösung
- Sie möchten möglicherweise die Schnellstartoptimierung deaktivieren. Sie können dies mit Gruppenrichtlinien tun, indem Sie die Richtlinieneinstellung Immer auf das Netzwerk beim Computerstart und bei der Anmeldung warten verwenden. Diese Einstellung finden Sie unter Computerkonfiguration/Administrative Vorlagen/System/Anmeldung.
- Wenn Sie Windows 7 verwenden, können Sie dies mit Gruppenrichtlinien tun, indem Sie die Richtlinieneinstellung Wartezeit für Startverarbeitung verwenden. Diese Einstellung finden Sie unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinie.
„Identitätsprüfung für ausgehende Nachricht fehlgeschlagen“ Fehler beim Zugriff auf eine Password Reset Webseite nach einem Upgrade oder beim Öffnen des Konfigurationstools
Die vollständige Nachricht lautet: „Identitätsprüfung für ausgehende Nachricht fehlgeschlagen. Die erwartete DNS-Identität des entfernten Endpunkts war ‚servername.domain.com‘, aber der entfernte Endpunkt lieferte DNS-Anspruch ‚webserveralias.domain.com‘. Wenn dies ein legitimer Endpunkt ist, können Sie das Problem beheben, indem Sie die DNS-Identität ‚webserveralias.domain.com‘ explizit als Identitätseigenschaft von EndpointAddress angeben, wenn Sie den Kanal-Proxy erstellen.“
Mögliche Ursache
Während der Installation haben Sie möglicherweise das Webserver-Zertifikat bei der Installation der „Server“-Komponente anstelle der „Web“-Komponente verwendet.
Mögliche Lösung
Die Server-Komponente erfordert ein Zertifikat mit einem CN (Common Name), das mit dem FQDN des Servers übereinstimmt. Dies ist erforderlich, damit Windows Identity Foundation korrekt funktioniert. Ein selbstsigniertes Zertifikat oder ein Zertifikat mit einem CN, entweder öffentlich oder privat, kann für diese Funktion verwendet werden.
Ereignisprotokollierung
Die Specops Password Reset Server-Komponente protokolliert die durchgeführten Operationen im Anwendungsprotokoll auf dem entsprechenden Server.
Finden Sie Ereignis-IDs in der Tabelle.
Specops Password Reset Server-Ereignisse
Ereignistyp | ID | Beschreibung |
---|---|---|
Information | 100 | Dienst wird gestartet. |
Information | 101 | Dienst gestartet. |
Information | 103 | Dienst gestoppt. |
Information | 104 | Lizenzüberprüfungseintrag. Enthält die Lizenzanzahlinformationen, die jede Nacht gesammelt werden. |
Information | 105 | Berichterstattungsdatenbankmigration gestartet. Wird nur protokolliert, wenn der Dienst eine vorhandene Datenbank im alten XML-Format entdeckt. |
Information | 106 | Berichterstattungsdatenbankmigration erfolgreich abgeschlossen. Wird nur protokolliert, wenn der Dienst eine vorhandene Datenbank im alten XML-Format entdeckt. |
Information | 110 | Registrierung erfolgreich. Wird jedes Mal protokolliert, wenn sich ein Benutzer registriert. |
Information | 111 | Zurücksetzen erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Passwort erfolgreich zurückgesetzt hat. |
Information | 112 | Entsperren erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Benutzerkonto erfolgreich entsperrt hat. |
Information | 113 | Änderung erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Passwort erfolgreich geändert hat. |
Information | 114 | Änderung fehlgeschlagen. Wird jedes Mal protokolliert, wenn ein Benutzer versucht hat, sein Passwort zu ändern, aber aufgrund der Passwortrichtlinienregeln gescheitert ist. |
Warnung | 202 | Zu viele fehlgeschlagene Benutzernamen. Wird protokolliert, wenn die Anrufdrosselungsfunktion eine Clientanfrage blockiert hat. |
Warnung | 203 | Zu viele Anfragen nach Bestätigungscodes. |
Warnung | 205 | Passwortregeln bei Zurücksetzung in der Richtlinie ignorieren. Wird protokolliert, wenn Specops Password Reset einen Benutzer mit einer Specops Password Policy entdeckt, die bei Passwortzurücksetzungsoperationen ignoriert werden soll. Diese Einstellung sollte in Umgebungen, in denen Specops Password Reset verwendet wird, nicht aktiviert werden, da sie Benutzern erlaubt, ihre Passwortrichtlinie zu umgehen. |
Warnung | 206 | Passwortzurücksetzung von Benutzer mit gesetztem Passwort-nicht-erforderlich-Flag erkannt. |
Warnung | 207 | Passwort-nicht-erforderlich-Flag bei einem registrierten Benutzer entdeckt. |
Warnung | 208 | Benutzer konnte nicht nachgeahmt werden. |
Warnung | 210 | Registrierung fehlgeschlagen. |
Warnung | 212 | Entsperren fehlgeschlagen. |
Warnung | 214 | Falsche Antwort während der Benutzerauthentifizierung eingereicht. |
Warnung | 215 | Falscher Bestätigungscode während der Benutzerauthentifizierung eingereicht. |
Warnung | 216 | Benutzer wurde von Specops Password Reset gesperrt. |
Warnung | 220 | Lizenzwarnung. Wird protokolliert, wenn die Lizenz kurz davor ist, überschritten zu werden. |
Warnung | 221 | Benutzer konnte sein Passwort nicht zurücksetzen. |
Warnung | 222 | Benutzer konnte sein Passwort nicht ändern. |
Warnung | 241 | Polling-Zeit konnte nicht aus der Registrierung geparst werden. |
Warnung | 245 | Domäne konnte nicht kontaktiert werden. |
Warnung | 277 | Erinnerung zur Registrierung konnte nicht gesendet werden. |
Fehler | 300 | Dienst konnte nicht gestartet werden. Wird protokolliert, wenn die Serverkomponente nicht startet. |
Fehler | 301 | Dienst konnte nicht gestoppt werden. |
Fehler | 305 | Keine Specops Password Reset Richtlinie gefunden. |
Fehler | 306 | Falsche Anzahl von Fragen. |
Fehler | 310 | Berichterstattungsdatenbankmigration fehlgeschlagen. Wird protokolliert, wenn der Dienst eine vorhandene Datenbank im alten XML-Format nicht migrieren kann. |
Fehler | 320 | Lizenzfehler erkannt. |
Fehler | 332 | Passwortzurücksetzungspaket konnte nicht abgerufen werden. |
Fehler | 334 | Mobiler Bestätigungscode konnte nicht gesendet werden. |
Fehler | 335 | Nächste Sicherheitsfrage konnte nicht abgerufen werden. |
Fehler | 336 | Passwortrichtlinie für Benutzer konnte nicht abgerufen werden. |
Fehler | 337 | Server konnte Benutzerkonto nicht entsperren. |
Fehler | 338 | Server konnte Benutzerpasswort nicht zurücksetzen. |
Fehler | 346 | E-Mail konnte nicht gesendet werden. |
Fehler | 348 | Mobiler Bestätigungscode konnte nicht vom Helpdesk-Tool gesendet werden. |
Fehler | 349 | Neues Benutzerpasswort konnte nicht vom Helpdesk gesendet werden. |
Fehler | 385 | Daten konnten nicht zur Berichterstattungsdatenbank hinzugefügt werden. |
Fehler | 386 | Benutzerdaten konnten nicht aus der Berichterstattungsdatenbank gelöscht werden. |
Debug-Protokollierung
Sie können die Komponenten von Specops Password Reset so konfigurieren, dass sie ihre internen Aktivitäten in ein ausführliches Debug-Protokoll aufzeichnen. Das Debug-Protokoll ermöglicht es Ihnen, die Ereignisse bis zum Fehler zu verfolgen. Die Debug-Protokollierung wird aktiviert, indem der entsprechende Registrierungsschlüssel von „0“ auf „1“ geändert wird. Zusätzliche Protokollierung wird durch die Verwendung der höheren Debug-Stufen „2“ oder „3“ zurückgegeben.
Siehe auch Client-Debugging
Registrierungsschlüssel | Beschreibung |
---|---|
HKLM\Software\Specopssoft\Specops Password Reset\Administration\Debug | Aktiviert und deaktiviert die Debug-Protokollierung für das Specops Password Reset Administration Tool. |
HKLM\Software\Specopssoft\Specops Password Reset\Administration\LogFilePath | Gibt den Protokolldateipfad für das Specops Password Administration Tool-Protokoll an. Standardwert= %USERPROFILE%\Local Settings\Application Data\SpecopsSoft\SpecopsPasswordReset.log Hinweis: Dieser Wert existiert standardmäßig nicht in der Registrierung. Wenn Sie ihn ändern möchten, fügen Sie LogFilePath als reg_sz [String-Wert] hinzu. |
HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug | Aktiviert und deaktiviert die Debug-Protokollierung für den Specops Password Reset Server. |
HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath | Gibt den Protokolldateipfad für das Specops Password Reset Server-Protokoll an. Standardwert = C:\SpecopspasswordResetServer.log |
HKLM\Software\Specopssoft\Specops Password Reset\Web\Debug | Aktiviert und deaktiviert die Debug-Protokollierung für das Specops Password Reset Web. |
HKLM\Software\Specopssoft\Specops Password Reset\Web\LogFilePath | Gibt den Protokolldateipfad für das Specops Password Reset Server-Protokoll an. Standardwert = C:\Temp\SpecopspasswordResetWeb.log |
Hinweis
Lassen Sie die Debug-Protokollierung nicht aktiviert, es sei denn, Sie benötigen sie. Ausführliche Protokollierung über einen längeren Zeitraum kann große Protokolldateien erstellen, die das Potenzial haben, Ihre Systemfestplattenpartition zu füllen.