我们在域中的 Windows Server 2003 服务器上运行 Kerio Connect(邮件服务器)。在 Webmail 客户端中,用户可以更改域密码。此功能以前运行良好,直到几天前,用户尝试更改密码时,Webmail 客户端都声称密码“无效”。我与 Kerio 讨论了这个问题,他们声称此错误是由域控制器返回的,这支持了我的初步调查。
尝试更改密码时 DC 记录的错误如下:
"80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 52e, vece"
“数据 52e”部分表示这是“无效凭据”错误。我不明白这是怎么回事,因为我已经尝试过(在 Kerio Connect 配置中)各种有权修改帐户的帐户,包括我自己的帐户,因为我是域管理员。
我已经在 DC 上运行了“dcdiag”(所有测试),结果显示所有测试都通过了。我到处寻找答案,但一无所获。
有人知道为什么这种情况会突然发生吗?
谢谢!
编辑:我应该提到,我们正在更改的密码确实符合复杂性政策。
答案1
Kerio 使用的账户具有哪些权限?无法更改密码的用户是否属于受管理员SDHolder过程?
如果 Kerio 帐户被授予了更改其密码的明确权限,并且问题帐户受到 AdminSDHolder 的保护,则该帐户上的安全 ACL 可能会被重置,并阻止 Kerio 帐户对其余帐户执行允许的操作。
答案2
也许一个有趣的字符被错误地翻译了(我假设 Kerio 身份验证与 Windows 身份验证不同/分离)?
注意:我在 2006 年大声尖叫着逃离了这款产品,我希望他们从那时起就修复了一些令人困扰的缺陷 :-)