У одного из наших удаленных пользователей истек срок действия пароля учетной записи домена, поэтому он вошел на терминальный сервер на том же сайте, что и сервер RRAS, который он использует для RA VPN, чтобы сбросить свой пароль. Он остается подключенным к RRAS 24/7, на одном сайте есть два DC, и все же его компьютер по-прежнему думает, что его пароль - это его старый пароль - прошло несколько дней, а он все еще не понимает, что его пароль изменился.
Как я могу заставить его компьютер «получить» новый пароль от контроллера домена? Я знаю, что если бы он физически подключил свой компьютер к одной из доменных сетей, он был бы обновлен в течение нескольких минут ...
Я собираюсь ответить на этот вопрос без объяснения Kerberos, потому что это сделало бы это довольно длинным, но, пожалуйста, прочтите, как это работает и как Windows его использует.
Рабочие станции кэшируют пароли на неопределенный срок и используют кешированные пароли всякий раз, когда они не могут получить доступ к AD, короче говоря.
Блокировка компьютера и разблокировка его новым паролем, когда он подключен к домену, приведет к обновлению кеша (и сеанс будет иметь текущую «копию» аутентификации). Это полезно, когда они остаются в системе, пока домен подключен, а пароль пользователя домена изменяется на другом компьютере в домене.
Если компьютер по какой-либо причине не аутентифицируется в домене, он должен сделать это напрямую и в сети.
Пароль не «синхронизируется», и контроллеры домена не «проталкивают» их на рабочие станции.