ADFS 업데이트 비밀번호 페이지에 이상한 문제가 있습니다. 우리는 사용자를 일괄 생성하고 있으며 사용자가 비밀번호를 변경하려고 합니다. 그러나 계정의 약 50%는 비밀번호를 변경할 수 없으며 다음 이벤트가 기록됩니다.
다음 사용자의 비밀번호 변경에 실패했습니다:
추가 자료
사용자: DOMAIN\사용자 이름
장치 인증서:
비밀번호 변경이 시도된 서버: ad01.ad.domain 오류 세부정보: NewPasswordHistConflect
오류는 비밀번호가 이전 비밀번호와 동일하다는 것을 나타내지만, 여러 가지 다른 비밀번호를 테스트했지만 여전히 동일한 오류가 발생합니다. 문제가 있는 계정과 그렇지 않은 계정 사이에 특별한 공통점을 찾을 수 없습니다.
사용자는 다음 Powershell 라인을 사용하여 생성됩니다.
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
어떤 아이디어가 있나요? 도메인 컨트롤러와 ADFS는 Windows 2012R2입니다.
답변1
최소 비밀번호 사용 기간 정책으로 인해 이러한 유형의 문제(특별한 문제는 아니지만)를 본 적이 있습니다. 1일로 설정하면 사용자가 비밀번호를 변경하면 1일 동안 다시 비밀번호를 변경할 수 없음을 의미합니다.
따라서 대량 생성 시 더미 비밀번호가 없으면 사용자를 생성할 수 없고 사용자가 같은 날 비밀번호를 변경하기 때문에 더미 비밀번호가 필요합니다.
답변2
나는 ADFS를 사용하여 암호를 변경하는 데 별로 익숙하지 않지만 내 경험에 따르면 AD는 새 암호가 거부된 이유를 구체적으로 파악하지 못합니다. 일반적으로 새 비밀번호가 비밀번호 정책의 일부 측면(기록, 복잡성, 길이, 최소 사용 기간 등)을 위반한 오류일 뿐입니다.
하지만 문제 해결을 위해 일시적으로 비밀번호 정책을 수정해 보시기 바랍니다. 비밀번호 기억 값을 0으로 설정하여 시작하면 비밀번호 기록이 더 이상 문제가 되지 않습니다. 그래도 문제가 해결되지 않으면 실패가 사라질 때까지 한 번에 하나씩 정책 설정을 느슨하게 하여 실제 문제에 도달할 수 있기를 바랍니다.