Ich sehe ein seltsames Problem mit der ADFS-Updatepassword-Seite. Wir erstellen Benutzer im Stapelbetrieb und sie versuchen, ihre Passwörter zu ändern. Ungefähr 50 % der Konten können ihr Passwort jedoch nicht ändern. Das folgende Ereignis wird protokolliert:
Die Kennwortänderung ist für folgenden Benutzer fehlgeschlagen:
Zusätzliche Daten
Benutzer: DOMAIN\Benutzername
Gerätezertifikat:
Server, auf dem versucht wurde, das Passwort zu ändern: ad01.ad.domain Fehlerdetails: NewPasswordHistConflict
Der Fehler würde darauf hinweisen, dass das Passwort dasselbe ist wie das vorherige, aber wir haben mehrere verschiedene Passwörter getestet und erhalten immer noch denselben Fehler. Ich kann keine besonderen Gemeinsamkeiten zwischen den Konten mit und ohne Probleme feststellen.
Die Benutzer werden mit dieser Powershell-Zeile erstellt:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
Irgendwelche Ideen? Die Domänencontroller und ADFS sind Windows 2012R2.
Antwort1
Ich habe diese Art von Problemen (allerdings nicht dieses spezielle) aufgrund der Richtlinie zum Mindestalter von Passwörtern gesehen. Wenn es auf 1 Tag eingestellt ist, bedeutet dies, dass der Benutzer sein Passwort einen Tag lang nicht erneut ändern kann.
Wenn Sie also eine Massenerstellung durchführen, benötigen Sie ein Dummy-Passwort, da Sie ohne ein solches Passwort keinen Benutzer erstellen können und der Benutzer dann am selben Tag das Passwort ändert usw.
Antwort2
Ich bin nicht besonders vertraut mit der Verwendung von ADFS zum Ändern von Passwörtern, aber meiner Erfahrung nach wird AD nicht so konkret, warum ein neues Passwort abgelehnt wurde. Normalerweise liegt es nur an einem Fehler, dass das neue Passwort gegen einen Aspekt der Passwortrichtlinie (Verlauf, Komplexität, Länge, Mindestalter usw.) verstoßen hat.
Im Interesse der Fehlerbehebung würde ich jedoch wahrscheinlich versuchen, Ihre Kennwortrichtlinie vorübergehend zu ändern. Setzen Sie zunächst den Wert für gespeicherte Kennwörter auf 0, damit der Kennwortverlauf kein Problem mehr darstellt. Wenn das das Problem dadurch nicht löst, lockern Sie die Richtlinie Schritt für Schritt, bis Ihre Fehler behoben sind und Sie hoffentlich das eigentliche Problem finden.