Dépannage
Les informations ci-dessous sont destinées aux administrateurs responsables du dépannage de Specops Password Reset. Avant d'effectuer les tâches de ce guide, veuillez vous assurer que vous avez correctement installé Specops Password Reset.
Message d'accès refusé sur la page web du service d'assistance
Cause possible
Le service d'assistance délégué ne fonctionne pas avec un alias: https://spr.domain.com/specopspassword/helpdesk. Vous devez accéder à la page via le FQDN.
Solution possible
Ajoutez un autre CN au certificat. « CN=hostname.domain.local » si vous utilisez https://hostname.domain.local/specopspassword/helpdesk; Ou « CN=hostname » si vous utilisez uniquement le nom du serveur https://hostname/specopspassword/helpdesk.
Toujours demander les informations d'identification Windows lors de l'ouverture de la page Helpdesk/Reporting
Cause possible
Vous n'avez pas ajouté le FQDN du serveur (ou *.mydomain.com) au site intranet local en utilisant le site GPO pour l'affectation de zone.
Solution possible
Vous devrez suivre les étapes sous « Activer l'authentification au serveur Web de Password Reset » dans le guide d'installation de Specops Password Reset.
Message « Accès refusé » lors de l'inscription avec un compte administrateur
Cause possible
Les comptes administrateur sont affectés par la règle adminSDHolder, qui réinitialise les autorisations de sécurité sur les comptes AD privilégiés toutes les 15 minutes.
Solution possible
Connectez-vous avec un compte disposant des autorisations d'administrateur de domaine. Avec la commande dsacls, les autorisations pour AdminSDHolder peuvent être ajustées.
Exemple:
dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
"EXAMPLE\sprsvc:CCDC;classStore;" "EXAMPLE\sprsvc:LC;;"
"EXAMPLE\sprsvc:CA;Reset Password;" "EXAMPLE\sprsvc:RP;userAccountControl;"
"EXAMPLE\sprsvc:RPWP;mobile;" "EXAMPLE\sprsvc:RPWP;pwdLastSet;"
"EXAMPLE\sprsvc:RPWP;lockoutTime;"
Remplacez <domainDN> et <serviceAccount> par les composants de domaine de votre domaine et le nom du compte de service SPR.
Remarque
Permettre à Specops Password Reset de fonctionner avec un compte disposant d'autorisations administratives n'est pas une bonne pratique pour des raisons de sécurité. Activez ces paramètres uniquement si cela est requis par la réalité pratique de votre organisation.
Lorsque l'utilisateur suit le lien de rappel d'inscription, il est informé qu'il n'a pas de politique d'inscription configurée
Cause possible
Le compte de service a perdu les autorisations pour lire l'objet de stratégie de groupe Specops Password Reset.
Solution possible
Depuis la console de gestion des stratégies de groupe, ajoutez le compte de service à l'onglet Délégation de l'objet de stratégie de groupe Specops Password Reset avec des droits de lecture.
L'utilisateur reçoit le message « le serveur de liste de révocation de certificat n'a pas pu être atteint » lorsqu'il clique sur le lien de réinitialisation du mot de passe à l'écran de connexion, mais pas lorsqu'il navigue vers la page de réinitialisation lorsqu'il est connecté
Cause possible
L'utilisateur n'est pas connecté à Internet à l'écran de connexion.
Solution possible
Vous pouvez utiliser l'une des trois options ci-dessous pour résoudre ce problème:
-
Ajoutez une nouvelle règle à votre proxy qui permet aux « ordinateurs de domaine » d'atteindre les serveurs CRL sur Internet. La règle ressemblera à l'exemple ci-dessous:
Source: réseau interne
Destination: adresse IP du serveur CRL
Port: 80
Groupe d'accès: « Ordinateurs de domaine »
-
Désactivez la vérification CRL sur le client.
Remarque
Cela désactivera la vérification CRL sur tous les certificats. Si vous visitez un site dont le certificat a été révoqué, cela permettrait la création d'une connexion sécurisée, sauf si le certificat a expiré.
-
Si vous avez un système d'autorité de certification interne, utilisez un certificat interne, au lieu d'un certificat public.
Remarque
Un certificat public est un bon choix si vous prévoyez de permettre aux utilisateurs de réinitialiser leurs mots de passe à l'extérieur.
Le lien Reset Password n'apparaît pas sur la page de connexion après le redémarrage
Cause possible
L'ordinateur démarre avant que la pile réseau ne soit activée. Cela est courant lorsque les systèmes sont utilisés avec des NIC connectés sans fil ou gigabit.
Solution possible
- Vous pouvez désactiver l'optimisation de la connexion rapide. Vous pouvez le faire avec la stratégie de groupe, en utilisant le paramètre de stratégie Toujours attendre le réseau au démarrage et à la connexion de l'ordinateur. Vous pouvez trouver ce paramètre sous Configuration de l'ordinateur/Modèles d'administration/Système/Connexion.
- Si vous utilisez Windows 7, vous pouvez le faire avec la stratégie de groupe en utilisant le paramètre de stratégie Temps d'attente du traitement de la stratégie de démarrage. Vous pouvez trouver ce paramètre sous Configuration de l'ordinateur/Modèles d'administration/Système/Stratégie de groupe.
Erreur « Échec de la vérification de l'identité pour le message sortant » lors de l'accès à une page Web de Password Reset après une mise à niveau ou l'ouverture de l'outil de configuration
Le message complet est: « Échec de la vérification de l'identité pour le message sortant. L'identité DNS attendue du point de terminaison distant était 'servername.domain.com' mais le point de terminaison distant a fourni la revendication DNS 'webserveralias.domain.com.' Si c'est un point de terminaison légitime, vous pouvez résoudre le problème en spécifiant explicitement l'identité DNS 'webserveralias.domain.com' comme propriété d'identité de EndpointAddress lors de la création du proxy de canal. »
Cause possible
Lors de l'installation, vous avez peut-être utilisé le certificat du serveur Web lors de l'installation du composant « serveur » au lieu du composant « web ».
Solution possible
Le composant serveur nécessite un certificat avec un CN (nom commun) qui correspond au FQDN du serveur. Cela est nécessaire pour que Windows Identity Foundation fonctionne correctement. Un certificat auto-signé ou un certificat avec un CN, qu'il soit public ou privé, peut être utilisé pour cette fonction.
Journalisation des événements
Le composant serveur Specops Password Reset enregistre les opérations qui ont été effectuées dans le journal des applications sur le serveur approprié.
Trouvez les ID d'événement dans le tableau.
Événements du serveur Specops Password Reset
| Type d'événement | ID | Description |
|---|---|---|
| Information | 100 | Service démarrage. |
| Information | 101 | Service démarré. |
| Information | 103 | Service arrêté. |
| Information | 104 | Entrée de vérification de licence. Contient les informations de comptage de licence qui sont collectées chaque nuit. |
| Information | 105 | Migration de la base de données de reporting commencée. Enregistré uniquement si le service découvre une base de données existante stockée dans l'ancien format xml. |
| Information | 106 | Migration de la base de données de reporting terminée avec succès. Enregistré uniquement si le service découvre une base de données existante stockée dans l'ancien format xml. |
| Information | 110 | Inscription réussie. Enregistré chaque fois qu'un utilisateur s'inscrit. |
| Information | 111 | Réinitialisation réussie. Enregistré chaque fois qu'un utilisateur a réussi à réinitialiser son mot de passe. |
| Information | 112 | Déverrouillage réussi. Enregistré chaque fois qu'un utilisateur a réussi à déverrouiller son compte utilisateur. |
| Information | 113 | Changement réussi. Enregistré chaque fois qu'un utilisateur a réussi à changer son mot de passe. |
| Information | 114 | Échec du changement. Enregistré chaque fois qu'un utilisateur a essayé de changer son mot de passe, mais a échoué en raison des règles de la politique de mot de passe. |
| Avertissement | 202 | Trop de noms d'utilisateur échoués. Enregistré lorsque la fonctionnalité de limitation des appels a bloqué une demande de client. |
| Avertissement | 203 | Trop de demandes de code de vérification. |
| Avertissement | 205 | Ignorer les règles de mot de passe sur la réinitialisation trouvée dans la politique. Enregistré lorsque Specops Password Reset découvre un utilisateur avec une politique de mot de passe Specops configurée pour être ignorée lors des opérations de réinitialisation de mot de passe. Ce paramètre ne doit pas être activé dans un environnement où Specops Password Reset est utilisé car il permet aux utilisateurs de contourner leur politique de mot de passe. |
| Avertissement | 206 | Réinitialisation de mot de passe détectée par un utilisateur avec le drapeau mot de passe non requis activé. |
| Avertissement | 207 | Drapeau mot de passe non requis découvert sur un utilisateur inscrit. |
| Avertissement | 208 | Échec de l'usurpation d'identité de l'utilisateur. |
| Avertissement | 210 | Échec de l'inscription. |
| Avertissement | 212 | Échec du déverrouillage. |
| Avertissement | 214 | Mauvaise réponse soumise lors de l'authentification de l'utilisateur. |
| Avertissement | 215 | Mauvais code de vérification soumis lors de l'authentification de l'utilisateur. |
| Avertissement | 216 | L'utilisateur a été verrouillé hors de Specops Password Reset. |
| Avertissement | 220 | Avertissement de licence. Enregistré lorsque la licence est sur le point d'être dépassée. |
| Avertissement | 221 | L'utilisateur n'a pas réussi à réinitialiser son mot de passe. |
| Avertissement | 222 | L'utilisateur n'a pas réussi à changer son mot de passe. |
| Avertissement | 241 | Échec de l'analyse du temps de sondage à partir du registre. |
| Avertissement | 245 | Échec de la connexion au domaine. |
| Avertissement | 277 | Échec de l'envoi du rappel d'inscription. |
| Erreur | 300 | Échec du démarrage du service. Enregistré si le composant serveur échoue à démarrer. |
| Erreur | 301 | Échec de l'arrêt du service. |
| Erreur | 305 | Aucune politique Specops Password Reset trouvée. |
| Erreur | 306 | Nombre incorrect de questions. |
| Erreur | 310 | Échec de la migration de la base de données de reporting. Enregistré si le service échoue à migrer une base de données existante stockée dans l'ancien format xml. |
| Erreur | 320 | Erreur de licence détectée. |
| Erreur | 332 | Échec de l'obtention du package de réinitialisation de mot de passe. |
| Erreur | 334 | Échec de l'envoi du code de vérification mobile. |
| Erreur | 335 | Échec de l'obtention de la question secrète suivante. |
| Erreur | 336 | Échec de l'obtention de la politique de mot de passe pour l'utilisateur. |
| Erreur | 337 | Échec du serveur pour déverrouiller le compte utilisateur. |
| Erreur | 338 | Échec du serveur pour réinitialiser le mot de passe de l'utilisateur. |
| Erreur | 346 | Échec de l'envoi de l'email. |
| Erreur | 348 | Échec de l'envoi du code de vérification mobile depuis l'outil d'assistance. |
| Erreur | 349 | Échec de l'envoi du nouveau mot de passe utilisateur depuis le service d'assistance. |
| Erreur | 385 | Échec de l'ajout de données à la base de données de reporting. |
| Erreur | 386 | Échec de la suppression des données utilisateur de la base de données de reporting. |
Journalisation de débogage
Vous pouvez configurer les composants de Specops Password Reset pour enregistrer leur activité interne dans un journal de débogage détaillé. Le journal de débogage vous permet de suivre les événements menant à l'erreur. La journalisation de débogage est activée en changeant la clé de registre pertinente de « 0 » à « 1 ». Une journalisation supplémentaire sera renvoyée en utilisant les niveaux de débogage plus élevés « 2 » ou « 3 ».
Voir aussi Débogage client
| Clé de registre | Description |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Administration\Debug | Active et désactive la journalisation de débogage pour l'outil d'administration Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Administration\LogFilePath | Spécifie le chemin du fichier journal pour le journal de l'outil d'administration Specops Password. Valeur par défaut = %USERPROFILE%\Local Settings\Application Data\SpecopsSoft\SpecopsPasswordReset.log Remarque: Cette valeur n'existe pas dans le registre par défaut. Si vous souhaitez la modifier, ajoutez LogFilePath comme reg_sz [valeur de chaîne]. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug | Active et désactive la journalisation de débogage pour le serveur Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath | Spécifie le chemin du fichier journal pour le journal du serveur Specops Password Reset. Valeur par défaut = C:\SpecopspasswordResetServer.log |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\Debug | Active et désactive la journalisation de débogage pour le Web Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\LogFilePath | Spécifie le chemin du fichier journal pour le journal du serveur Specops Password Reset. Valeur par défaut = C:\Temp\SpecopspasswordResetWeb.log |
Remarque
Ne laissez pas la journalisation de débogage activée à moins que vous n'en ayez besoin. Une journalisation détaillée sur une longue période peut créer de gros fichiers journaux qui ont le potentiel de remplir votre partition de disque système.