Fehlerbehebung
Folgende Informationen sind für Administratoren gedacht, die für die Fehlerbehebung in Specops Password Reset zuständig sind. Bevor Sie die Aufgaben in dieser Anleitung ausführen, stellen Sie sicher, dass Sie Specops Password Reset korrekt installiert haben.
Meldung "Zugriff verweigert" auf der Helpdesk-Webseite
Mögliche Ursache
Der delegierte Helpdesk funktioniert nicht mit einem Alias: https://spr.domain.com/specopspassword/helpdesk. Sie müssen die Seite über den FQDN aufrufen.
Mögliche Lösung
Fügen Sie dem Zertifikat einen weiteren CN hinzu. "CN=hostname.domain.local", wenn Sie https://hostname.domain.local/specopspassword/helpdesk verwenden, oder "CN=hostname", wenn Sie nur den Servernamen https://hostname/specopspassword/helpdesk verwenden.
Beim Öffnen der Seite Helpdesk/Berichtswesen wird immer nach den Windows-Anmeldedaten gefragt
Mögliche Ursache
Sie haben den FQDN des Servers (oder *.mydomain.com) nicht über die GPO-Site-zu-Zonen-Zuweisung zur lokalen Intranetsite hinzugefügt.
Mögliche Lösung
Gehen Sie wie unter "Aktivieren der Authentifizierung beim Password Reset-Webserver" in der Specops Password Reset-Installationsanleitung beschrieben vor.
Meldung "Zugriff verweigert" bei der Anmeldung mit einem Admin-Konto
Mögliche Ursache
Administratorkonten sind von der Regel adminSDHolder betroffen, die alle 15 Minuten die Sicherheitsberechtigungen für privilegierte AD-Konten zurücksetzt.
Mögliche Lösung
Melden Sie sich mit einem Konto mit Domain-Administratorberechtigungen an. Mit dem Befehl dsacls können Berechtigungen für AdminSDHolder angepasst werden.
Beispiel:
dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G "EXAMPLE\sprsvc:CCDC;classStore;" "EXAMPLE\sprsvc:LC;;" "EXAMPLE\sprsvc:CA;Reset Password;" "EXAMPLE\sprsvc:RP;userAccountControl;" "EXAMPLE\sprsvc:RPWP;mobile;" "EXAMPLE\sprsvc:RPWP;pwdLastSet;" "EXAMPLE\sprsvc:RPWP;lockoutTime;"Ersetzen Sie <domainDN> und <serviceAccount> durch die Domain-Komponenten Ihrer Domain und den Namen des SPR-Servicekontos.
Wenn ein Benutzer dem Link zur Erinnerung an die Registrierung folgt, wird ihm mitgeteilt, dass er keine konfigurierte Registrierungsrichtlinie hat
Mögliche Ursache
Das Dienstkonto hat die Berechtigung zum Lesen des Specops Password Reset-Gruppenrichtlinienobjekts verloren.
Mögliche Lösung
Fügen Sie in der Gruppenrichtlinien-Verwaltungskonsole das Dienstkonto unter der Registerkarte Delegierung des Specops Password Reset-Gruppenrichtlinienobjekts mit Leserechten hinzu.
Der Benutzer erhält die Meldung "Der Server der Zertifikatswiderrufsliste konnte nicht erreicht werden", wenn er auf dem Anmeldebildschirm auf den Link zum Zurücksetzen des Kennworts klickt, aber nicht, wenn er die Seite zum Zurücksetzen aufruft, wenn er angemeldet ist.
Mögliche Ursache
Der Benutzer ist auf dem Anmeldebildschirm nicht mit dem Internet verbunden.
Mögliche Lösung
Versuchen Sie, dieses Problem mit einer der folgenden drei Optionen zu lösen:
- Fügen Sie eine neue Regel zu Ihrem Proxy hinzu, die es den Domain-Computern erlaubt, die CRL-Server im Internet zu erreichen. Diese Regel ähnelt folgendem Beispiel:
Quelle: Internes Netzwerk
Ziel: IP-Adresse des CRL-Servers
Port: 80
Zugriffsgruppe: "Domain-Computer" - Deaktivieren Sie die CRL-Prüfung auf dem Client.Dadurch wird die CRL-Prüfung für alle Zertifikate deaktiviert. Wenn Sie eine Website besuchen, deren Zertifikat widerrufen wurde, kann damit eine sichere Verbindung hergestellt werden, es sei denn, das Zertifikat ist abgelaufen.
- Wenn Sie ein internes Zertifizierungsstellensystem haben, verwenden Sie ein internes anstelle eines öffentlichen Zertifikats.Ein öffentliches Zertifikat ist eine gute Wahl, wenn Sie Benutzern die Möglichkeit geben wollen, ihre Kennwörter extern zurückzusetzen.
Der Link "Kennwort zurücksetzen" wird nach dem Neustart nicht auf der Anmeldeseite angezeigt
Mögliche Ursache
Der Computer wird gebootet, bevor der Netzwerkstack hochgefahren ist. Dies ist häufig der Fall, wenn Systeme mit drahtlosen oder Gigabit-verbundenen NICs verwendet werden.
Mögliche Lösung
- Möglicherweise möchten Sie die Schnellanmeldeoptimierung deaktivieren. Sie können dies mit der Gruppenrichtlinie tun, indem Sie die Richtlinieneinstellung Bei Computerstart und Anmeldung immer auf das Netzwerk warten aktivieren. Sie finden diese Einstellung unter Computerkonfiguration/Verwaltungsvorlagen/System/Anmeldung.
- Wenn Sie Windows 7 verwenden, können Sie dies mit der Gruppenrichtlinie unter Verwendung der Einstellung Wartezeit für die Startrichtlinie tun. Sie finden diese Einstellung unter Computerkonfiguration/Verwaltungsvorlagen/System/Gruppenrichtlinie.
"Identitätsprüfung für ausgehende Nachricht fehlgeschlagen" beim Zugriff auf eine beliebige Password Reset-Webseite nach einem Upgrade oder beim Öffnen des Konfigurationstools.
Die vollständige Nachricht lautet: "Identitätsprüfung für ausgehende Nachricht fehlgeschlagen. Die erwartete DNS-Identität des Fern-Endpunkts war "servername.domain.com", aber der Fern-Endpunkt gab den DNS-Claim "webserveralias.domain.com" an. Wenn es sich um einen legitimen Endpunkt handelt, können Sie das Problem beheben, indem Sie bei der Erstellung des Kanalproxys explizit die DNS-Identität 'webserveralias.domain.com' als Identitätseigenschaft von EndpointAddress angeben."
Mögliche Ursache
Bei der Installation haben Sie möglicherweise das Webserver-Zertifikat verwendet, als Sie die Komponente "Server" statt der Komponente "Web" installiert haben.
Mögliche Lösung
Die Serverkomponente benötigt ein Zertifikat mit einem CN (Common Name), der mit dem FQDN des Servers übereinstimmt. Dies ist erforderlich, damit Windows Identity Foundation korrekt funktioniert. Für diese Funktion kann ein selbstsigniertes Zertifikat oder ein Zertifikat mit einem entweder öffentlichen oder privaten CN verwendet werden.
Ereignisprotokoll
Die Specops Password Reset-Serverkomponente protokolliert die durchgeführten Vorgänge im Anwendungsprotokoll auf dem passenden Server.
Verwenden Sie das unten dargestellte Such-Widget oder suchen Sie in der Tabelle nach Ereignis-IDs.
Specops Password Reset-Server-Ereignisse
| Art des Ereignisses | ID | Beschreibung |
|---|---|---|
| Information | 100 | Der Dienst startet. |
| Information | 101 | Dienst begonnen. |
| Information | 103 | Dienst gestoppt. |
| Information | 104 | Eingabe der Lizenzprüfung. Enthält die nächtlich gesammelten Informationen zur Anzahl der Lizenzen. |
| Information | 105 | Die Migration der Berichtsdatenbank hat begonnen. Wird nur protokolliert, wenn der Dienst eine bestehende Datenbank entdeckt, die im alten XML-Format gespeichert ist. |
| Information | 106 | Die Migration der Berichtsdatenbank wurde erfolgreich abgeschlossen. Wird nur protokolliert, wenn der Dienst eine bestehende Datenbank entdeckt, die im alten XML-Format gespeichert ist. |
| Information | 110 | Registrierung erfolgreich. Wird jedes Mal protokolliert, wenn sich ein Benutzer registriert. |
| Information | 111 | Zurücksetzen erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Kennwort erfolgreich zurückgesetzt hat. |
| Information | 112 | Freischaltung erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Benutzerkonto erfolgreich entsperrt. |
| Information | 113 | Änderung erfolgreich. Wird jedes Mal protokolliert, wenn ein Benutzer sein Kennwort erfolgreich ändert. |
| Information | 114 | Änderung fehlgeschlagen. Wird jedes Mal protokolliert, wenn ein Benutzer versucht hat, sein Kennwort zu ändern, dies aber aufgrund der Kennwortrichtlinienregeln fehlgeschlagen ist. |
| Warnung | 202 | Zu viele fehlgeschlagene Benutzernamen. Wird protokolliert, wenn die Anrufdrosselungsfunktion eine Client-Anfrage blockiert hat. |
| Warnung | 203 | Zu viele Verifizierungscode-Anfragen. |
| Warnung | 205 | Ignoriert die in der Richtlinie festgelegten Kennwortregeln beim Zurücksetzen. Wird aufgezeichnet, wenn Specops Password Reset einen Benutzer mit einer Specops-Kennwortrichtlinie erkennt, die so konfiguriert ist, dass sie bei Kennwortrücksetzvorgängen ignoriert wird. Diese Einstellung sollte nicht in Specops Password Reset-Umgebungen aktiviert werden, da die Nutzer damit ihre Kennwortrichtlinie umgehen können. |
| Warnung | 206 | Kennwortrücksetzung von einem Benutzer erkannt, bei dem das Kennzeichen "Kennwort nicht erforderlich" gesetzt ist. |
| Warnung | 207 | Kennzeichen "Kennwort nicht erforderlich" bei einem registrierten Benutzer entdeckt. |
| Warnung | 208 | Benutzer konnten nicht identifiziert werden. |
| Warnung | 210 | Registrierung fehlgeschlagen. |
| Warnung | 212 | Entriegelung fehlgeschlagen. |
| Warnung | 214 | Bei der Benutzerauthentifizierung wurde eine falsche Antwort übermittelt. |
| Warnung | 215 | Bei der Benutzerauthentifizierung wurde ein falscher Verifizierungscode übermittelt. |
| Warnung | 216 | Benutzer wurde aus Specops Password Reset ausgesperrt. |
| Warnung | 220 | Lizenz-Warnung. Wird protokolliert, wenn die Lizenz kurz vor der Überschreitung steht. |
| Warnung | 221 | Der Benutzer konnte sein Kennwort nicht zurücksetzen. |
| Warnung | 222 | Der Benutzer hat sein Kennwort nicht geändert. |
| Warnung | 241 | Die Abfragezeit aus der Registry konnte nicht analysiert werden. |
| Warnung | 245 | Domain konnte nicht kontaktiert werden. |
| Warnung | 277 | Registrierungserinnerung konnte nicht gesendet werden. |
| Fehler | 300 | Der Dienst konnte nicht gestartet werden. Wird protokolliert, wenn der Start der Serverkomponente fehlschlägt. |
| Fehler | 301 | Der Dienst konnte nicht gestoppt werden. |
| Fehler | 305 | Keine Specops Password Reset-Richtlinie gefunden. |
| Fehler | 306 | Falsche Anzahl Fragen. |
| Fehler | 310 | Die Migration der Berichtsdatenbank ist fehlgeschlagen. Wird protokolliert, wenn der Dienst eine bestehende, im alten xml-Format gespeicherte Datenbank nicht migrieren kann. |
| Fehler | 320 | Lizenzfehler erkannt. |
| Fehler | 332 | Das Paket zum Zurücksetzen des Kennworts konnte nicht abgerufen werden. |
| Fehler | 334 | Senden des Mobil-Verifizierungscodes ist fehlgeschlagen. |
| Fehler | 335 | Die nächste geheime Frage konnte nicht abgerufen werden. |
| Fehler | 336 | Die Kennwortrichtlinie für den Benutzer konnte nicht abgerufen werden. |
| Fehler | 337 | Der Server konnte das Benutzerkonto nicht entsperren. |
| Fehler | 338 | Der Server konnte das Benutzerkennwort nicht zurücksetzen. |
| Fehler | 346 | Das Senden der E-Mail ist fehlgeschlagen |
| Fehler | 348 | Der Verifizierungscode für Mobiltelefone konnte vom Helpdesk-Tool nicht gesendet werden. |
| Fehler | 349 | Das Senden eines neuen Benutzerkennworts vom Helpdesk ist fehlgeschlagen. |
| Fehler | 385 | Daten konnten nicht zur Berichtsdatenbank hinzugefügt werden. |
| Fehler | 386 | Die Benutzerdaten konnten nicht aus der Berichtsdatenbank gelöscht werden. |
Debug-Protokollierung
Sie können die Komponenten von Specops Password Reset so konfigurieren, dass sie ihre internen Aktivitäten in einem ausführlichen Debug-Protokoll protokollieren. In diesem Debug-Protokoll können Sie die Ereignisse verfolgen, die zum jeweiligen Fehler geführt haben. Die Debug-Protokollierung wird aktiviert, indem der entsprechende Registry-Schlüssel von "0" auf "1" geändert wird Eine zusätzliche Protokollierung wird durch die Verwendung der höheren Debug-Ebenen "2" oder "3" erreicht.
Informationen zum Debuggen von Clients finden Sie unter https://specopssoft.com/Support/Password-Policy/client-debugging.htm
| Registry-Schlüssel | Beschreibung |
|---|---|
| HKLM\Software\Specopssoft\Specops Kennwort Reset\Administration\Debug |
Aktiviert und deaktiviert die Debug-Protokollierung für Specops Password Reset-Verwaltungstool. |
| HKLM\Software\Specopssoft\Specops Kennwort Reset\Administration\LogFilePath |
Gibt den Pfad zur Protokolldatei für den Specops Password Verwaltungstool an. Standardwert = %USERPROFILE%\Local Settings\Application Data\SpecopsSoft\SpecopsPasswordReset.log Hinweis: Dieser Wert ist in der Registrierung standardmäßig nicht vorhanden. Wenn Wenn Sie die ändern möchten, fügen Sie LogFilePath als reg_sz [string value] hinzu. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug |
Aktiviert und deaktiviert die Debug-Protokollierung für Specops Password Reset-Server. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath |
Gibt den Pfad zur Protokolldatei für den Specops Password Reset-Server an. Standardwert = C:\SpecopspasswordResetServer.log |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\Debug |
Aktiviert und deaktiviert die Debug-Protokollierung für Specops Password Reset-Web. |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\LogFilePath |
Gibt den Pfad zur Protokolldatei für den Specops Password Reset-Server an. Standardwert = C:\Temp\SpecopspasswordResetWeb.log |