windoo
Goto Top

Das Benutzerkennwort muss vor der Anmeldung geändert werden

Hallo zusammen,

ich habe seit kurzer Zeit ein komisches Problem mit unserem Windows Server 2019 Standard mit AD.
Für die Domäne sind die Standardwerte für die Kennwortrichtlinien aktiv, somit müssen die Benutzer ja alle 42 Tage das Kennwort ändern.

Und genau da liegt mein Problem: Sobald ein Kennwort abgelaufen ist wird der User aufgefordert dies zu ändern. Soweit so gut. Altes Passwort steht ganz oben und darunter muss nun zwei mal das neue eingegeben werden. Nach dem bestätigen sollte man sich ja jetzt mit den neuen Zugangsdaten anmelden können.

Jetzt ist es aber plötzlich so, dass diese Meldung erscheint und die Änderung nicht funktioniert: "Das Benutzerkennwort muss vor der Anmeldung geändert werden."
Nun beginnt das selbe Spiel von vorne. Altes PW eingeben, zwei mal neues und bestätigen. Wieder die Meldung "Das Benutzerkennwort muss vor der Anmeldung geändert werden." Und so geht das in Dauerschleife weiter.
Der Fehler tritt auf allen Windows 10 Clients auf.

Workaround war, dass ich das Passwort zurückgesetzt habe. Nun kann sich der Benutzer wieder anmelden aber sobald das Passwort wieder abläuft geht es wieder los.

Auch mit einen Test-User konnte ich das ganze Reproduzieren indem ich den Haken bei: "Benutzer muss Kennwort bei der nächsten Anmeldung ändern", gesetzt habe.

Auf dem Clients finde ich nichts im Ereignisprotokoll und auch auf dem Server sind keine Fehler aufgetreten.

Windows Updates sind auf dem aktuellen Stand.

Content-ID: 2326239985

Url: https://administrator.de/forum/das-benutzerkennwort-muss-vor-der-anmeldung-geaendert-werden-2326239985.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

emeriks
emeriks 29.03.2022 aktualisiert um 14:29:45 Uhr
Goto Top
Hi,
Teste mal folgendes:
Ändere das Passwort mit diesem Dialog. Wenn er dann wieder meldet, das Passwort müsse geändert werden, dann prüfe parallel an einem anderen Rechner, ob am Benutzerkonto jetzt der betreffende Haken gesetzt ist. Und/oder, ob man sich an diesem anderen Computer (z.B. beim "Ausführen als ...") mit diesem Benutzer und dem neuen Passwort anmelden kann.

E.
ArnoNymous
ArnoNymous 29.03.2022 um 14:35:42 Uhr
Goto Top
Moin,

eventuell ein Problem mit der Replizierung der DCs? Wie viele habt ihr denn im Einsatz?

Gruß
Windoo
Windoo 29.03.2022 um 15:14:01 Uhr
Goto Top
Moin,

nur einen im Moment.
NordicMike
NordicMike 29.03.2022 um 15:18:13 Uhr
Goto Top
...im Moment? Sind die anderen noch im DNS?
vossi31
vossi31 29.03.2022 um 15:24:27 Uhr
Goto Top
Moin,

geht es um die Anmeldung an einem Terminalserver?

Henning
Hubert.N
Hubert.N 29.03.2022 um 15:31:25 Uhr
Goto Top
Moin

Zitat von @Windoo:
nur einen im Moment.

Die Frage wäre tatsächlich wichtig zu klären...

Sollte der PDC-Emulator nicht erreichbar sein, so wird die Kennwortänderung nicht sofort repliziert. In der Theorie sollte es aber über die normale Replikation funktionieren. Das kann aber nun einmal einen Moment dauern.
Also: Prüfe bitte mal die Erreichbarkeit des PDC-Emulators und grundsätzlich auch die Fehlerfreiheit der Replikationstopologie.

Gruß
Windoo
Windoo 29.03.2022 um 15:36:55 Uhr
Goto Top
Moin,

nur einen im Moment, werde ich aber bald erweitern.
Zitat von @vossi31:

Moin,

geht es um die Anmeldung an einem Terminalserver?

Henning

Hallo, nein um normale WS im Netzwerk.
Windoo
Windoo 29.03.2022 um 15:38:20 Uhr
Goto Top
Nur einen DC im Moment, möchten das aber in der Zukunft ändern.
Windoo
Windoo 29.03.2022 um 15:43:24 Uhr
Goto Top
Zitat von @Hubert.N:

Moin

Zitat von @Windoo:
nur einen im Moment.

Die Frage wäre tatsächlich wichtig zu klären...

Sollte der PDC-Emulator nicht erreichbar sein, so wird die Kennwortänderung nicht sofort repliziert. In der Theorie sollte es aber über die normale Replikation funktionieren. Das kann aber nun einmal einen Moment dauern.
Also: Prüfe bitte mal die Erreichbarkeit des PDC-Emulators und grundsätzlich auch die Fehlerfreiheit der Replikationstopologie.

Gruß

Moin, wie kann ich prüfen ob der PDC-Emulator erreichbar ist?
Hubert.N
Hubert.N 29.03.2022 um 16:59:58 Uhr
Goto Top
Moin, wie kann ich prüfen ob der PDC-Emulator erreichbar ist?

Wenn Du immer nur den einen hattest, sollte das nicht das Problem sein. Der erste installierte DC der Domäne wird automatisch zum PDC. Es hörte sich ein wenig so an, als ob es mal mehr als nur der eine gewesen wäre...
Hast Du das Problem mit allen Konten an allen APs?

Zum Nachschauen: netdom query fsmo

Und wenn Du schon dabei bist: dcdiag /q

Gruß
Windoo
Windoo 30.03.2022 um 09:56:54 Uhr
Goto Top
Zitat von @Hubert.N:

Moin, wie kann ich prüfen ob der PDC-Emulator erreichbar ist?

Wenn Du immer nur den einen hattest, sollte das nicht das Problem sein. Der erste installierte DC der Domäne wird automatisch zum PDC. Es hörte sich ein wenig so an, als ob es mal mehr als nur der eine gewesen wäre...
Hast Du das Problem mit allen Konten an allen APs?

Zum Nachschauen: netdom query fsmo

Und wenn Du schon dabei bist: dcdiag /q

Gruß

Moin,

danke schon mal für Deine Hilfe.

netdom query fsmo --> Zeigt alles auf den richtigen Server
dcdiag /q --> "Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben."
......................... Der Test DFSREvent für XXX ist fehlgeschlagen.

Hier haben wir also ein Problem. Im Ereignislog habe ich einen Fehler gefunden aber dieser ist nur einmal aufgetreten. Seitdem finde ich keine Fehler mehr.

Ereignislog DFS-Replikation:
"Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.

Weitere Informationen:
Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)"

Grüße W
Support2022
Support2022 01.04.2022 um 08:58:26 Uhr
Goto Top
Moin,
wie ich deinem Post entnehmen kann haben wir aktuell beide das gleiche Problem face-sad
Bist du schon weitergekommen? Ich habe das letzte Windows Update in Verdacht...

LG
Windoo
Windoo 01.04.2022 um 09:17:45 Uhr
Goto Top
Zitat von @Support2022:

Moin,
wie ich deinem Post entnehmen kann haben wir aktuell beide das gleiche Problem face-sad
Bist du schon weitergekommen? Ich habe das letzte Windows Update in Verdacht...

LG

Hey,

ja ich vermute auch die Updates KB5010351 oder KB5011551. Werde die über das WE evtl. mal deinstallieren.

Übergangsweise habe ich die Passwortänderung über GPO ausgesetzt.

Grüße W
kgborn
Lösung kgborn 05.04.2022 um 06:31:40 Uhr
Goto Top
Nach einem Leserhinweis habe ich einen Beitrag dazu gemacht - Update KB5011551 scheint der Übeltäter. Es gibt eine Reihe Betroffene.

Windows Server 2019: Update KB5011551 blockiert Passwortänderung
Support2022
Support2022 19.04.2022 um 16:22:04 Uhr
Goto Top
Hallo zusammen,

zwecks Nachverfolgung: Das Problem mit der Passwortschleife wurde mit dem letzten Update behoben.
Hier nachzulesen - Patchday-Nachlese: Probleme mit April 2022-Updates
https://www.borncity.com/blog/2022/04/15/patchday-nachlese-probleme-mit- ...

weiterhin frohes Schaffen.