我们的一位远程用户的域帐户密码已过期,因此他登录到与他用于 RA VPN 的 RRAS 服务器位于同一站点的终端服务器来重置密码。他全天候连接到 RRAS,同一站点有两个 DC,但他的 PC仍然认为他的密码是他的旧密码——已经好几天了,它仍然没有意识到他的密码已经改变。
我怎样才能强制他的 PC 从 DC “获取” 新密码?我知道如果他将 PC 物理插入其中一个域网络,它将在几分钟内更新...
答案1
我将回答这个问题而不解释 Kerberos,因为这会使这篇文章很长,但请阅读它的工作原理以及 Windows 如何使用它。
长话短说,工作站会无限期地缓存密码,并在无法访问 AD 时使用缓存的密码。
在计算机连接到域时锁定计算机并使用新密码解锁,将导致缓存更新(并且会话具有身份验证的当前“副本”)。当用户在连接到域时保持登录状态,并且域用户的密码在域中的另一台计算机上更改时,这很有用。
如果计算机由于某种原因无法向域进行身份验证,则需要直接在线进行身份验证。
密码未“同步”,并且 DC 不会将其“推送”至工作站。