Я создаю несколько новых учетных записей, которые будут использоваться некоторыми подрядчиками. они собираются подключиться через VPN к нашей сети. Мое требование - установить пароль изначально, а затем попросить их изменить его при первом входе в систему. В результате установлен флажок «Пользователь должен изменить пароль».
Загрузка ноутбука и тестирование дало плохие результаты. При входе в систему я получаю уведомление о том, что срок действия пароля истек, и поле для заполнения, что я и делаю. Затем он появляется снова, поэтому я снова заполняю данные пароля. Затем я получаю сообщение об ошибке «Отправка пароля ....» с ошибкой: 619, указанной в качестве причины. При повторном подключении появляется ошибка 691, что пароль неверный.
Из брандмауэра, который является фактическим сервером VPN, я могу видеть RAD_ACCESS_DENIED и с DC, на котором работает NPS (действующий как сервер RADIUS для брандмауэра с включенным MS-CHAP-v2, с установленным флажком «Пользователь может изменить пароль после его истечения» ) Не вижу запроса на смену пароля. Я вижу только события с идентификаторами 4776, 4625 и 6273 (причина 16).
Я могу войти в систему без флага смены пароля, поэтому я знаю, что вход в систему аутентифицируется. Очень надеюсь, что кто-то сможет помочь отследить отсутствие процесса смены пароля на DC.
На самом деле похоже, что хост VPN не поддерживает эту функцию, поэтому запросы не передавались в DC.