LAPS не удалось создать приемлемый новый пароль
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik. В прошлый раз мы с вами научились устанавливать пакеты обновлений в Windows Server 2012R2 после базовой поддержки со стороны вендора. Двигаемся дальше и сегодня мне днем попался интересный случай с компонентом Windows LAPS в задачи которого входит автоматическая смена пароля локального администратора. В какой-то момент данный функционал перестал исправно работать, и пароль оставался неизменным, в логах виднелась ошибка с кодом 0x800708C5. Давайте разбираться как все починить и главное научиться находить виновника.
Ошибка 0x800708C5 или почему перестал сбрасываться пароль в Windows LAPS
У меня в лесу Active Directory внедрен функционал Windows LAPS. Windows LAPS (Local Administrator Password Solution) — это инструмент от Microsoft, который предназначен для управления локальными администраторскими паролями на компьютерах под управлением Windows. LAPS автоматически генерирует, устанавливает и управляет уникальными случайными паролями для локальной учетной записи администратора на каждом компьютере в сети. Это позволяет повысить безопасность за счет регулярного изменения паролей и предотвращает использование общих или статических паролей на компьютерах.
Шатался я по структуре своих OU и решил посмотреть по вкладкам LAPS, как оно там работает. Какого же было мое удивление, что на многих серверах пароль локального администратора не обновлялся уже 20 дней, самое интересное, что через ручное обновление тоже не отрабатывало. Как видите для данной учетной записи компьютера пароль должен был измениться 7 апреля, а уже май.
в любых таких ситуациях вам необходимо подключиться по RDP к нужному серверу, где есть проблемы со сменой пароля через Windows LAPS, запустить логи системы и пройти в журнал:
Весь журнал был усеян ошибками с кодом ID 10027:
Код ошибки: 0x800708C5
В английской локализации это звучало вот так:
Error code: 0x800708C5
После следовало информационное событие ID 10005:
Как диагностировать проблему сбоя обработки политики LAPS
В самом сообщении об ошибке есть подсказка куда копать "что политика длины и сложности пароля LAPS совместима с настройками политики домена и локальной политики паролей." Исходя из этого делаем вывод, что есть еще какая-то политика, которая задает для сервера значения длины и сложности пароля и она выступает более приоритетной перед LAPS.
Первым делом откройте свою политику Windows LAPS и посмотрите ее настройки, мне нужны две метрики:
- Длина пароля - 12 символов
- Сложность - Комплексная
Зная эти параметры нам нужно найти вторую политику, для этого запустите cmd на сервере, где есть ошибки сбоя обработки политики LAPS. И выполните команду для выгрузки примененных объектов групповой политики:
Запустите полученный gp.html. Раскройте:
Как устранить ошибку 0x800708C5 на Widows LAPS
Все просто, вам нужно оставить, что то одно. Я уменьшил с 14 символов в минимальном пароле у политики задающей локальные настройки, но добавил в политике LAPS +2, и там стало 4. Теперь конфликта не будет. Первая политика говорит глобально, что минимум это 12, а LAPS генерирует из 14 символов.
Если все сделано правильно, то вы увидите в логах целый скоп событий, сообщающих вам, что политика LAPS вновь стала корректно работать.
Надеюсь, что вы тоже все починили. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
Популярные Похожие записи:
Ошибка при установке контроллера домена: Verification of prerequisites for Domain Controller promotion failed- Настройка пароля на Digi AnywhereUSB
- Обновление системы безопасности Windows 8.1 после 2023 года
- Ошибка запуска службы «error 1069 the service did not start»
- Ошибка The number of connections to this computer is limited
- Не открывается объект групповой политики gpedit.msc
