LAPS не удалось создать приемлемый новый пароль

18.05.2024 Active directory, GPO, CA No comments

Обновлено 18.05.2024

security LAPS

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik. В прошлый раз мы с вами научились устанавливать пакеты обновлений в Windows Server 2012R2 после базовой поддержки со стороны вендора. Двигаемся дальше и сегодня мне днем попался интересный случай с компонентом Windows LAPS в задачи которого входит автоматическая смена пароля локального администратора. В какой-то момент данный функционал перестал исправно работать, и пароль оставался неизменным, в логах виднелась ошибка с кодом 0x800708C5. Давайте разбираться как все починить и главное научиться находить виновника.

Ошибка 0x800708C5 или почему перестал сбрасываться пароль в Windows LAPS

У меня в лесу Active Directory внедрен функционал Windows LAPS. Windows LAPS (Local Administrator Password Solution) — это инструмент от Microsoft, который предназначен для управления локальными администраторскими паролями на компьютерах под управлением Windows. LAPS автоматически генерирует, устанавливает и управляет уникальными случайными паролями для локальной учетной записи администратора на каждом компьютере в сети. Это позволяет повысить безопасность за счет регулярного изменения паролей и предотвращает использование общих или статических паролей на компьютерах.

Шатался я по структуре своих OU и решил посмотреть по вкладкам LAPS, как оно там работает. Какого же было мое удивление, что на многих серверах пароль локального администратора не обновлялся уже 20 дней, самое интересное, что через ручное обновление тоже не отрабатывало. Как видите для данной учетной записи компьютера пароль должен был измениться 7 апреля, а уже май.

в любых таких ситуациях вам необходимо подключиться по RDP к нужному серверу, где есть проблемы со сменой пароля через Windows LAPS, запустить логи системы и пройти в журнал:

Microsoft-Windows-LAPS/Operational

Весь журнал был усеян ошибками с кодом ID 10027:

LAPS не удалось создать приемлемый новый пароль. Убедитесь, что политика длины и сложности пароля LAPS совместима с настройками политики домена и локальной политики паролей.

Код ошибки: 0x800708C5

В английской локализации это звучало вот так:

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings.

Error code: 0x800708C5

После следовало информационное событие ID 10005:

Сбой обработки политики LAPS с кодом ошибки ниже. Код ошибки: 0x800708C5

Как диагностировать проблему сбоя обработки политики LAPS

В самом сообщении об ошибке есть подсказка куда копать "что политика длины и сложности пароля LAPS совместима с настройками политики домена и локальной политики паролей." Исходя из этого делаем вывод, что есть еще какая-то политика, которая задает для сервера значения длины и сложности пароля и она выступает более приоритетной перед LAPS.

Первым делом откройте свою политику Windows LAPS и посмотрите ее настройки, мне нужны две метрики:

Длина пароля - 12 символов
Сложность - Комплексная

Зная эти параметры нам нужно найти вторую политику, для этого запустите cmd на сервере, где есть ошибки сбоя обработки политики LAPS. И выполните команду для выгрузки примененных объектов групповой политики:

gpresult /scope:computer /f /h c:\temp\gp.html

Запустите полученный gp.html. Раскройте:

Сведения о компьютере - Политики - Конфигурация Windows - Параметры безопасности - Политики учетных записей - Политика паролей - Минимальная длина пароля

Как видите на скриншоте ниже, стоит минимально 14 символов в пароле, и оно приоритетнее. Поэтому Windows LAPS и сыпется с ошибками, что вступила в резонанс с данной настройкой.

Как устранить ошибку 0x800708C5 на Widows LAPS

Все просто, вам нужно оставить, что то одно. Я уменьшил с 14 символов в минимальном пароле у политики задающей локальные настройки, но добавил в политике LAPS +2, и там стало 4. Теперь конфликта не будет. Первая политика говорит глобально, что минимум это 12, а LAPS генерирует из 14 символов.