ADFS の updatepassword ページで奇妙な問題が発生しています。ユーザーを一括作成しており、ユーザーはパスワードを変更しようとしています。しかし、アカウントの約 50% はパスワードを変更できず、次のイベントがログに記録されます。
次のユーザーのパスワード変更に失敗しました:
追加データ
ユーザー: DOMAIN\ユーザー名
デバイス証明書:
パスワード変更が試行されたサーバー: ad01.ad.domain エラーの詳細: NewPasswordHistConflict
エラーはパスワードが以前のものと同じであることを示しますが、いくつかの異なるパスワードをテストしましたが、それでも同じエラーが発生します。問題があるアカウントと問題がないアカウントの間には、特に共通する点は見つかりません。
ユーザーは、次の Powershell 行で作成されます。
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
何かアイデアはありますか? ドメイン コントローラーと ADFS は Windows 2012R2 です。
答え1
パスワードの最小有効期間ポリシーが原因で、このような問題が発生したことがあります (ただし、この特定の問題ではありません)。1 日に設定すると、ユーザーがパスワードを変更すると、1 日間は再度パスワードを変更できなくなります。
したがって、一括作成する場合はダミーのパスワードが必要です。ダミーのパスワードがないとユーザーを作成できず、ユーザーが同じ日にパスワードを変更するなどしてしまうからです。
答え2
私は ADFS を使用してパスワードを変更することにあまり詳しくありませんが、私の経験では、AD は新しいパスワードが拒否された理由をそれほど具体的には示しません。通常は、新しいパスワードがパスワード ポリシー (履歴、複雑さ、長さ、最小有効期間など) の一部に違反したというエラーです。
ただし、トラブルシューティングのために、パスワード ポリシーを一時的に変更してみることをお勧めします。まず、パスワードの記憶値を 0 に設定して、パスワード履歴が問題にならないようにします。それでも問題が解決しない場合は、失敗がなくなるまでポリシーの設定を 1 つずつ緩め続け、本当の問題にたどり着くようにしてください。