SceCli0x57パスワードポリシーイベント1202

これが発生する理由は2つあります。 1つはRequireLogonToChangePassword、2つは14を超える最小パスワード長です。

Microsoftは、Windows2003とWindows2008R2の間でRequireLogonToChangePasswordオプションを削除しました。この問題は、約18年前の私たちのような、このフラグを持っていた古いドメインに影響を与えるようです。

デフォルトのドメインポリシーのGPTTMPL.infファイルには「RequireLogonToChangePassword」エントリがありませんが、エラーは引き続き発生します。各メンバーサーバーは設定の元に戻す値を記憶しているだけでなく（以下に示すように）、「デフォルトのドメインポリシー」のパスワードポリシーの設定が「歪んでいる」ことがわかりました。

SciCliのデバッグを有効にすると（レジストリエントリExtensionDebugLevel = 2）、C：\ Windows\Security\logs\winlogon.logにエラーが表示されます。

----Configure Security Policy...
        Start processing undo values for 7 settings.
        There is already an undo value for group policy setting <MinimumPasswordLength>.
        Undo value for the undefined group policy setting <PasswordHistorySize> wasn't reset successfully (87).  Undo value was not removed.
        There is already an undo value for group policy setting <MaximumPasswordAge>.
        There is already an undo value for group policy setting <MinimumPasswordAge>.
        There is already an undo value for group policy setting <PasswordComplexity>.
        Undo value for the undefined group policy setting <RequireLogonToChangePassword> wasn't reset successfully (87).  Undo value was not removed.
        There is already an undo value for group policy setting <ClearTextPassword>.
Error 87: The parameter is incorrect.

元に戻す値のリセット中にエラーが発生しました。これを修正する方法は次のとおりです。

1. ドメインコントローラーにログインし、「グループポリシー管理エディター」から「デフォルトのドメインポリシー」GPOを編集します。
2. [コンピューターの構成]-> [ポリシー]-> [Windowsの設定]-> [セキュリティの設定]-> [アカウントポリシー]-> [パスワードポリシー]に移動します。
3. 右側のペインで6つのポリシー設定のそれぞれをクリックして設定を変更し、[適用]をクリックしてから、設定を元に戻し、もう一度[適用]をクリックします。
4. パスワードの最小長が14を超える場合は、14に設定します。
5. ドメインを同期させ、テストしているドメインメンバーでコマンドプロンプトから「gpupdate/force」を実行します。

これが機能する場合は、C：\ Windows\Security\logs\winlogon.logに表示されます。

----Configure Security Policy...
        Start processing undo values for 7 settings.
        There is already an undo value for group policy setting <MinimumPasswordLength>.
        Undo value for undefined group policy setting <PasswordHistorySize> was reset successfully and removed.
        There is already an undo value for group policy setting <MaximumPasswordAge>.
        There is already an undo value for group policy setting <MinimumPasswordAge>.
        There is already an undo value for group policy setting <PasswordComplexity>.
        Undo value for undefined group policy setting <RequireLogonToChangePassword> was reset successfully and removed.
        There is already an undo value for group policy setting <ClearTextPassword>.
    Configure password information.

「RequireLogonToChangePassword」に、正常にリセットされたことが示されていることに注意してください。

14を超えるパスワードが必要な場合は、「ファイングレインパスワードポリシー」を使用する必要があります。 https://blogs.technet.Microsoft.com/reference_point/2013/04/12/fine-grained-password -policies-gui-in-windows-server-2012-adac /

お詫びします...これがこの問題の答えです。

問題の概要•再起動後にセキュリティログが機能しなくなりました。 •アプリケーションログには、次の警告エラーが表示されます。セキュリティポリシーが警告とともに伝達されました。 0x57：パラメータが正しくありません。

問題の原因

セキュリティポリシーの設定GPOが新しいドメインに続きました。ドメインは2000年代以前に戻って何度もアップグレードされ、削除する必要があるこの残りの設定があります。 0x57エラーとエラー87の原因です：パラメーターが正しくありません。

検出問題のサーバーのRSoPの[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [アカウント]に6つのパスワードポリシー設定が表示されますポリシー->パスワードポリシーエラーあり

1. パスワード履歴を適用する
2. パスワードの最大有効期間
3. パスワードの最小有効期間
4. パスワードの最小長
5. パスワードは複雑さの要件を満たす必要があります
6. 可逆暗号化を使用してパスワードを保存する

黄色の警告サインが表示されたRSoPで、そのプロパティ（コンピューターの構成）をクリックすると、エラー情報にエラーの原因が表示されます。

セキュリティは、ポリシー設定を再度処理するように要求しました。これは、ポリシーの前の処理中に発生した重大ではないエラーが原因である可能性があります。追加情報：セキュリティポリシーは警告とともに伝播されました。 0x57：パラメータが正しくありません。

特定のエラーを特定するために、winlogon.log（以下を参照）を有効にすると、gpupdate/forceの実行後にADGPOの詳細が表示されます。

To create it, go to regedit and track following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

Click the key ExtensionDebugLevel and enter 2 as a Data.

C：\ Windows\security\logs\winlogon.logを開くと、GPOに関連するエラーの詳細が表示されます。次に、RSoPのエラーに関連するエラーを示します。----セキュリティポリシーの構成... 7つの設定の取り消し値の処理を開始します。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。エラー87：パラメータが正しくありません。パスワード情報の構成中にエラーが発生しました。 3つの設定の取り消し値の処理を開始します。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。グループポリシー設定には、元に戻す値が既にあります。アカウント強制ログオフ情報を構成します。

このGPO上記のセキュリティセキュリティポリシーに関連付けられているGPOは、winlogon.logファイルに表示されます。

this is the last GPO.
**************************

Make a local copy of \\**YOUR DOMAIN**\sysvol\**YOUR DOMAIN**\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

SysvolのgptTmp.infファイルの内部を見ると（この場所をブラウザーに配置するか、メモ帳で開くだけ）、次の情報が含まれており、特に興味深いのはRequireLogonToChangePassword = 0キーと値。 AD GPO Management、およびマシンのRSoPには次の6つの値があります。

1. パスワード履歴を適用する
2. パスワードの最大有効期間
3. パスワードの最小有効期間
4. パスワードの最小長
5. パスワードは複雑さの要件を満たす必要があります
6. 可逆暗号化を使用してパスワードを保存する

しかし、RequireLogonToChangePassword = 0はそれらの1つではありません。この設定をGPTTMP.INFから削除することにより、これが解決されることは直感的です。

[Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 1
MaximumPasswordAge = 90
MinimumPasswordLength = 15
PasswordComplexity = 1
PasswordHistorySize = 9
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = 30
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
ClearTextPassword = 0
[Version]
signature="$CHICAGO$"
Revision=1
[Kerberos Policy]
MaxTicketAge = 10
MaxRenewAge = 7
MaxServiceAge = 600
MaxClockSkew = 5
TicketValidateClient = 1
[Service General Setting]
"SharedAccess",4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
[Registry Values]
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic=4,2
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain=4,7
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1

ソリューション

GPTTMP.infから値RequireLogonToChangePassword = 0を削除します。必ずこれらの指示に従ってください。 https://social.technet.Microsoft.com/Forums/windows/en-US/09270ae3-264d-4e4a-9cd3-9657139e58e8/manually-edit-the-gpttmplinf-file-settings-からの情報によるnot-visible-in-gpmc-settings-report？forum = winserverGP

GptTmpl.infファイルを手動で編集した後、GPOバージョンをインクリメントして、ポリシーの変更が保持されていることを確認してください。これを行うには、次のいずれかの方法を使用します。

方法1：グループポリシーオブジェクトエディターを使用する1.グループポリシーオブジェクトエディターを開きます。 2.変更を加えます。 3.グループポリシーオブジェクトエディターを閉じます。

方法2：Gpt.iniファイルを手動で編集する

手動でGPOバージョンを増やすには、グループポリシーテンプレートのバージョン番号を制御するGpt.iniファイルを編集します。これを行う：

1. Open the Gpt.ini file with a text editor, such as Notepad. 
2. Increase the version number to a number that is large enough to guarantee that normal replication will not make the new version number become outdated before the policy can be reset. It is better to increment the number by either adding the number "0" to the end of the version number, or the number "1" to the beginning of the version number.
3. Save the Gpt.ini file, and then close it.

さらに、Seceditツールを使用して新しいGPOを適用し、GPOを手動で更新します。これを行うには、コマンドプロンプトでsecedit/refreshpolicy machine_policy/enforceと入力し、Enterキーを押します。次に、イベントビューアのアプリケーションログでイベント1704を確認して、ポリシーの伝達が成功したことを確認します