Назад | Перейти на главную страницу

Ошибка, когда администратору домена требуется, чтобы пользователь изменил свой пароль при следующем входе в систему: «информация о конфигурации не может быть прочитана с контроллера домена»

Администратору доменной сети с одним контроллером домена Microsoft Active Directory 2019 необходимо сбросить пароль для определенных пользователей домена. Для этого он выбирает пользователя в списке и выбирает «Сбросить пароль», а при установке временного пароля, который будет предоставлен пользователю, он отмечает вариант «Пользователь должен сменить пароль при следующем входе в систему».

Когда пользователь пытается войти в систему, ему предлагается изменить свой пароль, как и ожидалось; при переходе к изменению пароля процесс не показывает следующую ошибку:

configuration information could not be read from the domain controller, either because the machine is unavailable or access has been denied.

Я прочитал много статей по этому поводу. Некоторые говорили, что после установки обновления это превратилось в проблему, однако я не мог найти реального ответа здесь и нигде. Мой контроллер домена действительно доступен, а компьютеры, на которых пользователь пытается войти, являются объединенными в домен. Звук, возможно, не связан с брандмауэром.

В моем случае контроллер домена был недоступен, потому что компьютер не мог подключиться к vpn, потому что срок действия пароля истек ...

Решением было попытаться войти в онлайн-доступ к Outlook Web Access. Меня попросили изменить пароль, после чего я смог войти в vpn.

  1. Иметь более одного DC, всегда

  2. Вы смотрели журналы событий на DC? Конкретно журнал безопасности?

  3. Если вы посмотрите на pwdLastSet в учетной записи пользователя, показывает ли он дату, когда пользователь пытался изменить пароль? или это была твоя сдача?

  4. Пользователи подключаются через проводную или беспроводную сеть? Если между клиентскими машинами и контроллерами домена установлены брандмауэры, показывают ли они потерянный трафик? Указанные порты Вот ДОЛЖЕН быть открытым между контроллерами домена и клиентами. Обратите внимание, что некоторые из них включают UDP, включая порт для изменения пароля Kerberos.

  5. Могут ли пользователи изменить свои пароли до истечения срока их действия?

  6. У вас есть машина, на которой вы можете протестировать и посмотреть, сможете ли вы воспроизвести эти проблемы с помощью обычной учетной записи пользователя? Предпочтительно один в той же сети (ах), что и пользовательские машины. Если они оставляют свои машины в офисе, а вы можете удаленно работать с ними, попробуйте провести тестирование на одном из них в нерабочее время.

  7. Есть ли какие-либо соответствующие ошибки в журналах системы или безопасности на клиентских машинах?