有一个奇怪和混乱(对我和用户)问题困扰authentication。 我不知道发生了多久,但我相信这是相当长的一段时间。 直到最近,通过使用帐户locking工具,我才意识到这些身份validation问题有时是由系统中的小故障引起的,而不是用户错误。
会发生什么是用户authentication正确,但系统拒绝他们的密码。 我想重复一遍:他们使用正确的用户名,密码和域login。 这不是胖胖的; 这不是客户问题; 这不是用户错误; 它不是一个过期的密码; 它不是特定于任何服务。
用户正确authentication的行为是DC将“失败的login”计数重置为0.当它们失败时,它将增加它并设置“最后失败”时间。 但是当这个故障发生时,两个都不会发生。 authentication尝试被拒绝,但计数不会增加1,也不会重置,并且最后的失败时间不会改变。
这个问题发生在多个设备和服务上。 今天,我有一个学生无法login多台电脑,以及networking邮箱。 我比较了计算机和DC的事件日志; 当用户错误地被拒绝(而且失败次数没有增加)以及当她被正确拒绝时,我认为没有什么区别,因为我有意错误input密码。
我自己做了这个,尝试login到学生刚创build的帐户(使用已知的密码scheme)。 我曾遇到许多通过AD进行身份validation的服务的用户。 这发生在工作人员,教师和学生。 据我所知,这是直接在区议会上的authentication问题; 有些东西不能用帐号,但不是过期密码,禁用等典型的罪魁祸首。
重置密码可以解决问题。 问题就此消失。 但是这个问题的发生频率(本周只有8-10个例子,最多100个networking密码重置)导致我认为这是一个严重的问题。
我不知道这个问题发生了多久。 如果不使用帐户locking工具,我将永远不会看到错误计数未能增加,因此认为用户错误地知道密码。 我发生过很多用户发誓他们知道他们的login事件,而且“昨天工作”。 如果有的话,我不知道有多less次是真的。 即使拿到了这个工具,也已经发生了多起事件,几个月之后,我才相信这是一个真正的问题。 直到我真的遇到了这种情况,input了学生的初始密码,看到失败数字没有上升,我真的相信了。
我们的AD环境大多在Windows Server 2008上。一些DC仍然是Server 2003.环境是单个域。 如果还有任何其他相关的技术细节需要排除故障,请让我知道。
编辑 :正如接受的答案显示,它确实是用户错误 。 事实certificate,这是一个真正的问题,当我login到一个新创build的帐户,它没有增加错误的密码计数失败。 我们有新帐户的标准以及重置密码的标准。 有可能另一个pipe理员忽略了标准,并将此用户的密码重置为其他内容。 当我试图login到新用户,并且错误的密码未能增加(但我被拒绝),我认为这是一个问题的certificate。 很多谷歌search未能find一个页面描述的情况下,密码错误计数不能上升…希望这个答案将有助于未来的其他人。
你有密码logging启用? 如果input的密码与帐户的最后两个密码中的任何一个匹配,则authentication将被拒绝,但badPwdCount将不会增加。 我试图围绕您的描述的其余部分,但这至less会解释“缺less”错误的密码增量。
重读你的问题,这听起来像pipe理重置密码总是有积极的结果,是正确的? 还想知道你的PDCe是在什么操作系统(2003,2008)。 有没有防火墙可能阻止访问PDCe(或任何其他区议会)? 请记住,尽pipe通过kpasswd协议(TCP / 464)从客户端传输到本地DC的最终用户密码更改,但是密码更改的PDCe通知是通过RPC调用进行的。 目的地港口将从2003年到2008年发生变化。
这听起来像是复制或具有PDC模拟器angular色的DC的问题。
你可以在每个DC上运行netdom query fsmo并比较每个结果吗? 确保他们都认为相同的服务器保存PDC模拟器angular色。 接下来,看看dcdiag的输出,看看它有什么要说的。 另外,针对每个DC,使用repadmin /showreplvalidation复制。
如果我必须完全盲目地猜测,我想说的是,DC认为PDC模拟器的angular色是不一致的,或者是曾经持有PDC模拟器angular色的服务器被不正确地停用,angular色从未被移动。