我发现 ADFS 更新密码页面存在一个奇怪的问题。我们正在批量创建用户,他们正在尝试更改密码。但是,大约 50% 的帐户无法更改密码,记录了以下事件:
以下用户的密码更改失败:
附加数据
用户:域\用户名
设备证书:
尝试更改密码的服务器:ad01.ad.domain 错误详细信息:NewPasswordHistConflict
错误信息表明密码与之前的密码相同,但我们测试了几个不同的密码,仍然出现相同的错误。我找不到有问题的账户和没有问题的账户之间有什么共同点。
用户是使用此 Powershell 行创建的:
New-ADUser -Name $displayName -DisplayName $displayName -SamAccountName $accountName`
-GivenName $FirstName -Surname $LastName -EmailAddress $Email -Path $oupath`
-UserPrincipalName "[email protected]" -AccountPassword $securePassword `
-Enabled $true
有什么想法吗?域控制器和 ADFS 是 Windows 2012R2。
答案1
我见过这类问题(虽然不是那么具体),因为最低密码使用期限策略。如果设置为 1 天,则意味着一旦用户更改密码,他们在 1 天内不能再次更改。
因此,当您批量创建时,您需要一个虚拟密码,因为没有密码您就无法创建用户,然后用户会在同一天更改密码等等。
答案2
我不太熟悉如何使用 ADFS 更改密码,但根据我的经验,AD 不会具体说明新密码被拒绝的原因。通常,新密码违反了密码策略的某些方面(历史、复杂性、长度、最低使用期限等),这是一个错误。
不过,为了排除故障,我可能会尝试暂时修改您的密码策略。首先将记住的密码值设置为 0,这样密码历史就不再是问题了。如果这不能解决问题,请继续一次放宽一个策略设置,直到您的失败消失,并且希望您能找到真正的问题。