dschmolke
Goto Top

Passwort ändern in der Domäne geht nicht

Moin Leute,
Nächste Frage. Ich werde bald wahnsinnig.

Jetzt ist aufgefallen das niemand mehr sein Passwort selbstständig ändern kann an Domänen Rechnern. Ich setze im AD ein starter Passwort mit dem Häckchen das es bei nächster Anmeldung geändert werden muss. Tut das der nutzer erscheint nur die Meldung: das Benutzerkennwort muss geändert werden und man ist wieder an selber Stelle.

Ich kann wiederum ein festes im AD vergeben. Das geht auch. Nur das ändern eben nicht

Schonmal gehört?

Content-ID: 669434

Url: https://administrator.de/forum/passwort-aendern-in-der-domaene-geht-nicht-669434.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

Vorgang
Vorgang 12.11.2024 um 19:07:37 Uhr
Goto Top
Salü,
vielleicht zu trivial: Zwischenzeitliche Änderung von Passwortrichtlinien / Komplexität?
Gruß
V
DSchmolke
DSchmolke 12.11.2024 um 19:35:40 Uhr
Goto Top
Danke für deine Rückmeldung!
Nicht der Fall. Wir haben zwei DCs also dachte ich direkt das nicht richtig repliziert wird. Ist auch nicht der Fall wenn ich das per diag auslese.
wollekuj
wollekuj 12.11.2024 um 19:57:22 Uhr
Goto Top
Moin,
was passiert denn wenn ein Nutzer von sich aus selbst(ohne vorherigen Admineingriff) das Kennwort ändert, klappt das? Wurde das Pw am selben Tag gesetzt und direkt versucht zu ändern?
DSchmolke
DSchmolke 12.11.2024 aktualisiert um 20:11:19 Uhr
Goto Top
Die zweite Frage kann ich bejan.

Ging aber immer so

Ersteres probiere ich morgen früh direkt mal
wollekuj
wollekuj 12.11.2024 um 20:25:10 Uhr
Goto Top
Hört sich für mich so an, als wurde das maximale Kennwortalter per gpo auf 1 tag gesetzt oder der Client hat eine andere Zeit als die DCs.
DSchmolke
DSchmolke 12.11.2024 um 21:22:53 Uhr
Goto Top
@wollekuj das mit der Zeit klingt logisch. Wurden vor kurzem auch auf neue Hardware umgezogen(also eine Zeitlang offline).

Wie kontrolliere/korrigiere ich das?
Toeffel
Toeffel 13.11.2024 um 07:45:46 Uhr
Goto Top
Wenn die DCs außer Takt geraten sind, dann solltest Du das als erstes angehen!
Außerdem zieht man DCs nicht um, in dem man den Offline nimmt. Man setzt einen neuen auf neue Hardware auf. Zieht den hoch und stuft den alten herunter.
DSchmolke
DSchmolke 13.11.2024 um 08:59:41 Uhr
Goto Top
so guten Morgen!
Das mit der Zeit ist nicht das Problem. Alles wunderbar!
Ich habe jetzt festgestellt das wenn ein Nutzer aus dem Windows heraus sein Kennwort ändern möchte funktioniert dies ohne Probleme.
Lediglich wenn ich auswähle das er bei der nächsten Anmeldung eine Änderung vornehmen soll geht es nicht(Also auf der Anmeldemaske). Verrückt und für mich nicht logisch!
DSchmolke
DSchmolke 13.11.2024 um 20:14:41 Uhr
Goto Top
Ich habe gelegentlich fehler id 7 kerberos in der Ereignisanzeige.
Könnte das damit zu tun haben?
wollekuj
wollekuj 13.11.2024 um 21:03:00 Uhr
Goto Top
Moin,

wie wurden denn die Domänencontroller auf neue Hardware umgezogen? Vlt auf Hyper V und es wurde vergessen die Zeitsynchronisation mit dem Host zu in den Settings zu deaktivieren? Welches OS wird genutzt? Haben die DCs genug freien Speicherplatz zum auslagern?

Gibt es mit der neuen Hardware evtl Abbrüche vom Client zum DC?
Wurde evtl nachträglich ein inplaceupgrade gemacht? Dcdiag ist ok?
Steht im Clienteventlog etwas wenn der user sein passwort "fast" ändert?
Was ergibt vom client aus ein cmd -> klist?
Wie wurde die korrekte Zeit überprüft?

Kann eine schnell aufgesetzte vm in die Domäne aufgenommen werden,funktioniert das?
Bei der Eventid7 müssten eig infos zum client dabeistehen, wenn mich nicht alles täuscht. Die kommt meiner Meinung auch wenn ein User sich nur vertippt, kann ich gerade aber nicht nachstellen.
DSchmolke
Lösung DSchmolke 14.11.2024 um 18:32:02 Uhr
Goto Top
Also das Passwort ändern Problem ist schonmal gefixed. Lag tatsächlich an einem Problem mit dem Zeitserver.
Eigentlich lief da alles richtig, habe aber trotzdem die synronität neugestaltet zwischen den DCs und plötzlich geht es. Echt strange. Die Zeit war eigentlich überall richtig
ukulele-7
ukulele-7 15.11.2024 um 09:36:24 Uhr
Goto Top
Dann bitte auch als "gelöst" markieren, das war ja der Grund für den Thread.