У нас есть домен 2003 с двумя контроллерами домена 2003 на функциональном уровне 2008 R2.
За последнюю неделю, когда срок действия пароля пользователя истекает, они пытаются изменить его при входе на сервер удаленного рабочего стола 2008 R2. Они получают обычное сообщение о том, что их пароль необходимо изменить:
После нажатия ок они попадают на экран смены пароля:
После ввода нового пароля (который соответствует всем требованиям нашей политики паролей) они просто снова получают то же сообщение, в котором говорится, что они должны изменить свой пароль перед первым входом в систему.
Не думайте, что это NLA, поскольку машина, к которой я подключаюсь, поддерживает NLA, а клиентское устройство пользователей не изменилось.
При входе на сервер 2003 я получаю приглашение и могу успешно сбросить свой пароль.
Если я не настрою пользователя требовать смены пароля при следующем входе в систему, он сможет войти в систему и успешно сбросить свой пароль с помощью CTRL + ALT + DEL.
Кто-нибудь знает, что могло бы вызвать такое поведение?
Если кто-то наткнется на этот вопрос, ответ здесь: https://community.spiceworks.com/topic/1560739-kb3149090-causing-password-reset-loop
В основном, есть обновления, которые влияют на настройки смешанных доменов. В нашем случае у нас есть контроллеры домена 2003, поэтому нам пришлось удалить соответствующие обновления, чтобы решить эту проблему.
Я не буду перечислять их, так как страница spiceworks постоянно обновляется последующими обновлениями, так что это лучшее место для проверки.