Я вижу странную проблему со страницей обновления паролей ADFS. Мы создаем пользователей пакетно, и они пытаются изменить свои пароли. Однако примерно 50% учетных записей не могут изменить свой пароль, регистрируется следующее событие:
Не удалось изменить пароль для следующего пользователя:
Дополнительная информация
Пользователь: ДОМЕН\имя_пользователя
Сертификат устройства:
Сервер, на котором была предпринята попытка смены пароля: ad01.ad.domain Сведения об ошибке: NewPasswordHistConflict
Ошибка будет означать, что пароль тот же, что и предыдущий, но мы протестировали несколько разных паролей, и все равно получаем ту же ошибку. Я не могу найти ничего особенно общего между учетными записями, у которых есть проблемы, и теми, у которых их нет.
Пользователи создаются с помощью следующей строки Powershell:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
Есть идеи? Контроллеры домена и ADFS — Windows 2012R2.
решение1
Я видел такие типы проблем (хотя и не такие конкретные) из-за политики минимального срока действия пароля. Если установлено значение 1 день, это означает, что как только пользователь меняет свой пароль, он не может сделать это снова в течение 1 дня.
Поэтому при массовом создании вам понадобится фиктивный пароль, поскольку вы не сможете создать пользователя без него, а затем пользователь в тот же день изменит пароль и т. д.
решение2
Я не очень хорошо знаком с использованием ADFS для смены паролей, но по моему опыту, AD не дает точных сведений о том, почему был отклонен новый пароль. Обычно это просто ошибка, что новый пароль нарушает какой-то аспект политики паролей (история, сложность, длина, минимальный возраст и т. д.).
В интересах устранения неполадок я бы, пожалуй, попробовал временно изменить вашу политику паролей. Начните с установки значения запоминаемых паролей на 0, чтобы история паролей больше не была проблемой. Если это не решит проблему, продолжайте ослаблять политику по одной настройке за раз, пока ваши сбои не исчезнут, и вы, надеюсь, не доберетесь до настоящей проблемы.