我正在使用联合身份进行 Office-365 单点登录。我已将密码更改端点添加到我的 ADFS 3.0 服务器,并成功打开了 adfs 更新密码页面。但是,每当我尝试更新密码时,都会出现上述错误。我确保了以下几点:
1- 我的密码太复杂,包含大写字母、小写字母、数字和非字母数字字符
2- 我等了一个小时,因为我发现 ADSI 编辑器中密码的最短使用期限为 1 小时
我打开组策略管理-->展开我的域名-->域控制器-->默认域控制器策略-->右键单击编辑-->导航到密码策略。我发现所有策略设置都设置为“未定义”。
我打开了我的 ADFS 服务器并打开了本地组策略编辑器-->导航到密码策略,设置如下:
我确保我的密码符合以下设置:
启用此策略设置后,用户必须创建强密码以满足以下最低要求:
密码不能包含用户的帐户名或用户全名中超过两个连续字符的部分。
密码长度必须至少为六个字符。
密码必须包含以下四类字符中的三类字符:
英文大写字符(A 至 Z)。
英文小写字符(a 到 z)。
非字母字符(例如,!、$、#、%)。
我无法通过 ADFS 密码更改页面更新密码,这可能是什么问题?
答案1
虽然我在密码策略中更改了密码的最小使用期限,但我仍然必须在我所在的 DC 的 ADSI 编辑器中将密码的最小使用期限更改为 0:00:00。
@JimB 和 @Craig620,非常感谢你们的帮助。
答案2
域控制器忽略组织单位(例如域控制器 OU)中定义的密码、锁定或 Kerberos 策略设置。
您应该在默认域策略或另一个顶级 GPO 中定义旧密码策略。
作为测试,我在默认域策略和默认域控制器策略中都创建了密码策略设置。请参阅获胜的 GPO:
参考:
https://technet.microsoft.com/en-us/library/cc756064%28v=ws.10%29.aspx
答案3
今天我遇到了同样的问题,通过遵循上述所有专家的建议和我的研发,我准备了以下文档。请阅读以下内容以了解原因和解决方案。