L'authentication di Active Directory è stata rifiutata e il count della password non è incrementato o resettato

C'è uno strano e confuso (per me e per gli utenti) che rilasciano l'authentication. Non so quanto tempo sta avvenendo, ma credo che sia un po 'più a lungo. Solo di recente, con l'utilizzo dello strumento Account Lockout, ho capito che questi problemi di authentication sono talvolta causati da un errore nel sistema piuttosto che dall'errore dell'utente.

Ciò che accade è che un utente autentica correttamente, ma il sistema rifiuta la propria password. Vorrei ripetere: si accede con il nome utente corretto, la password e il dominio. Questo non è un dito; non è un problema del cliente; non è errore dell'utente; non è una password scaduta; non è specifico per alcun servizio.

  • Linux Admin richiede l'accesso a Windows Server PDC
  • Il file MSI funziona bene quando viene eseguito localmente, ma non quando viene spinto dalla politica di gruppo
  • Accedi l'impronta digitale, il dominio è ampio
  • Eseguire il backup e ripristinare la password di Active Directory per utente
  • Rimozione e collegamento di workstation a AD
  • Il controller di dominio Standard New Server 2012 non si avvia dopo l'interruzione dell'alimentazione (STOP: 0xc00002e2)
  • Il comportmento quando un utente autenticato correttamente è che il DC reimposta il count di "login fallito" a 0. Quando non riescono, esso incrementa e imposta l'ora di ultima guasta. Ma quando questo inconveniente si verifica, non accade; il tentativo di authentication viene rifiutato, ma il count non aumenta di 1, né viene ripristinato e l'ultimo tempo di fallimento non cambia.

    Il problema si verifica su più dispositivi e servizi. Oggi ho avuto uno studente a non accedere a più computer, così come webmail. Ho confrontato i registri events dal computer e dalla DC; Non vedo alcuna differenza tra gli events quando l'utente è stato erroneamente rifiutato (e il numero di guasti non è salito) e quando è stata correttamente rifiutata perché ho avuto il suo errore la password in proposito.

    Lo ho fatto io stesso, cercando di accedere all'account appena creato di un studente (utilizzando uno schema di password noto). Ho avuto a che fare con gli utenti di molti dei servizi che autenticano tramite AD. È accaduto al personale, alla facoltà e agli studenti. Per quanto posso dire, questo è un problema di authentication direttamente sui DC; qualcosa di vago con l'account, ma non uno dei tipici colpevoli della password scaduta, disabilitata, ecc.

    La reimpostazione della password corregge il problema. Il problema va via. Ma la frequenza del problema (circa 8-10 casi solo questa settimana, al massimo di 100 password di networking ripristina) mi port a credere che sia un problema serio.

    Non so quanto tempo questo problema sta avvenendo. Senza utilizzare lo strumento Blocco account, non avrei mai visto che il numero di errori non fosse in grado di incrementare e quindi ha assunto che l'utente era sbagliato nel conoscere la password. Ho avuto molte occasioni in cui gli utenti giurano che sapevano il loro login, e 'funzionava ieri'. Non so quante volte fosse vero, se mai. Anche dopo avere ottenuto lo strumento, ha avuto molteplici avvenimenti e diversi mesi di problemi si sono verificati prima di credere che fosse un vero problema. Non finché non mi sono accaduto, digitando la password iniziale dello studente, e visto che il count di fallimento non è aumentato, lo credevo veramente.

    Il nostro ambiente AD è principalmente sul server Windows 2008. Alcuni DC sono ancora Server 2003. L'ambiente è un singolo dominio. Se ci sono altri dettagli tecnici necessari per la risoluzione dei problemi, per favore fatecelo sapere.

    Modifica : come mostra la risposta accettata, è stato davvero un errore dell'utente . L'evento che mi è stato dimostrato che è stato un problema reale quando ho eseguito l'accesso a un account appena creato e che non è riuscito senza aumentare il count della password ctriggers. Abbiamo standard per nuovi account e cosa ripristinare le password. Probabilmente un altro amministratore ha ignorato la norma e resettato la password di questo utente a qualcos'altro. Quando ho tentato di accedere al nuovo utente e la ctriggers password non è rioutput ad aumentare (anche se sono stata respinta), ho pensato che fosse una prova di un problema. Molto Googling non è riuscito a trovare una pagina che descrive le situazioni in cui il Bad Password Count non riesce a crescere … speriamo che questa risposta aiuterà qualcun altro in futuro.

    2 Solutions collect form web for “L'authentication di Active Directory è stata rifiutata e il count della password non è incrementato o resettato”

    Hai abilitato la cronologia delle password? Se la password immessa corrisponde a una delle due ultime password per l'account, l'authentication verrà rifiutata ma badPwdCount non verrà incrementato. Sto cercando di avvolgere la testa intorno al resto della tua descrizione, ma questo spiegherebbe alless l'incremento negativo della password "mancante".

    EDIT

    Rilasciare la tua domanda, sembra reimpostare amministrativamente le password sempre ha risultati positivi, corretto? Ti chiedi anche cosa sia il tuo PDCe (2003, 2008). Ci sono firewall che potenzialmente bloccano l'accesso al PDCe (o ad altri DC per quella materia)? Tieni presente che mentre le modifiche di password dell'utente finale comunicate dal client alla DC locale tramite il protocollo kpasswd (TCP / 464), la notifica PDCe delle modifiche di password avviene tramite una chiamata RPC. Le porte di destinazione saranno cambiate dal 2003 al 2008.

    Questo odore come un problema con la tua replica o con la DC che ha il ruolo dell'emulatore PDC.

    Puoi eseguire netdom query fsmo su each DC e confrontare i risultati di ciascuno? Assicurarsi che tutti pensino che lo stesso server detiene il ruolo dell'emulatore PDC. Poi, dare un'occhiata all'output di dcdiag e vedere cosa ha da dire. Inoltre, verificare la replica con repadmin /showrepl nei confronti di each DC.

    Se wheressi prendere una ipotesi assolutamente cieca, direi che c'è una incoerenza nei quali i Dc pensano di tenere il ruolo del PDC Emulator, o il server che una volta lo ha tratto è stato distriggersto in modo improprio e il ruolo non è mai stato spostato.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.