Funcionalidade de processamento de alteração de senha e resolução de conflitos no Windows

  • Artigo

Este artigo descreve um valor de registro que os administradores podem usar para controlar quando o PDC (controlador de domínio primário) é contatado, o que pode ajudar a reduzir os custos de comunicação entre sites e reduzir a carga no PDC.

Importante

Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer o backup e de que saiba restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Informações do Registro do Windows para usuários avançados.

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número de KB original: 225511

Resumo

Por padrão, quando uma senha de usuário é redefinida ou alterada, ou quando um controlador de domínio recebe uma solicitação de autenticação do cliente usando uma senha incorreta, o controlador de domínio do Windows que atua como o proprietário da função FSMO (Operação Mestra Única Flexível) do PDC para o domínio do Windows é contatado. Este artigo descreve um valor de registro que os administradores podem usar para controlar quando o PDC é contatado, o que pode ajudar a reduzir os custos de comunicação entre sites e reduzir a carga no PDC.

Essa comunicação com o PDC não é feita para contas de computador. Os computadores tentarão novamente a autenticação com a senha anterior mais recente quando a autenticação falhar. Na mesma linha, os computadores tentariam a senha anterior mais recente ao descriptografar um tíquete de serviço Kerberos que recebem.

Mais informações

Aviso

O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua própria conta e risco.

O valor do registro a seguir pode ser modificado para controlar a Notificação de Alteração de Senha e a Resolução de Conflitos de Senha, conforme descrito abaixo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

  • Valor do registro: AvoidPdcOnWan
  • Tipo de registro: REG_DWORD
  • Dados do valor do registro: 0 (ou valor não presente) ou 1
    • 0 ou valor não presente = FALSE (para desabilitar)
    • 1 = TRUE (para habilitar)
  • Padrão: (o valor não está presente)

Notificação de alteração de senha

Um controlador de domínio gravável do Windows recebe a solicitação de alteração ou redefinição de senha do usuário. A alteração de senha é feita localmente e enviada imediatamente para o proprietário da função PDC FSMO usando o serviço Netlogon como uma RPC (Chamada de Procedimento Remoto). A alteração de senha é replicada para parceiros usando o processo de replicação do Active Directory pelo PDC e pelo DC (controlador de domínio) que atendem à alteração de senha. Se um RODC (controlador de domínio) do Windows Read-Only receber a solicitação de alteração de senha, ele funcionará como um proxy de autenticação encaminhando a solicitação para seu hub DC, que atua como se fosse o primeiro DC a receber a solicitação.

Se o valor AvoidPdcOnWan for definido como TRUE e o PDC FSMO estiver localizado em outro site, a alteração de senha não será enviada imediatamente para o PDC. No entanto, ele é atualizado com a alteração por meio da replicação normal do Active Directory. Se o PDC FSMO estiver no mesmo site, o valor AvoidPdcOnWan não será usado e a alteração de senha será imediatamente comunicada ao PDC.

Uma senha atualizada pode não ser enviada para o emulador PDC mesmo que AvoidPdcOnWan seja FALSE ou não definido, se houver problemas ao enviar a solicitação para o PDC, por exemplo, uma interrupção de rede. Não há nenhum erro registrado neste caso. Em seguida, a atualização é distribuída usando a replicação normal do AD.

Resolução de conflito de senha

Por padrão, os controladores de domínio do Windows consultam o proprietário da função PDC FSMO se um usuário estiver tentando autenticar usando uma senha incorreta de acordo com seu banco de dados local. Se a senha enviada do cliente pelo usuário estiver correta no PDC, o cliente poderá acessar e o controlador de domínio replicará a alteração de senha.

O valor AvoidPdcOnWan pode ser usado pelos administradores para controlar quando os controladores de domínio do Active Directory tentam usar o proprietário da função PDC FSMO para resolve conflitos de senha. O PDC conclui o logon e a autenticação é bem-sucedida para o usuário de autenticação.

Se o valor AvoidPdcOnWan for definido como TRUE e o proprietário da função PDC FSMO estiver localizado em outro site, o controlador de domínio não tentará autenticar um cliente em relação às informações de senha armazenadas no PDC FSMO. Observe, no entanto, que isso resulta em negar acesso ao usuário. Isso pode causar um impacto de produtividade, pois muitos usuários não tentarão a senha anterior para autenticar. Em alguns cenários, eles podem não saber a senha anterior.

Uma senha incorreta pode não ser testada no emulador PDC mesmo que AvoidPdcOnWan seja FALSE ou não definido, se houver problemas ao enviar a solicitação para o PDC, por exemplo, uma interrupção de rede. Não há nenhum erro registrado neste caso. A tentativa de logon é negada nesse caso.

O cenário é diferente quando um RODC está envolvido. Se uma solicitação de autenticação no RODC falhar com uma senha incorreta, o RODC enviará a solicitação para o hub DC e, por sua vez, o hub DC a enviará para o PDC. Se ele tiver êxito no PDC, a autenticação do usuário será bem-sucedida. Se o RODC tiver permissão para armazenar em cache a senha do usuário, ele solicitará que a senha do usuário seja replicada do hub DC. Mas o hub DC também ainda tem a senha antiga. O RODC só obtém a nova senha por meio do ciclo normal de replicação. Ele continuará a precisar do hub ou do PDC até que a nova senha seja replicada.

Tratamento de replicação de senha

Quando o DC gravável encaminha a alteração de senha para o PDC, a senha do usuário é definida em ambos os DCs. Ambos os DCs incluirão essa nova senha em sua replicação de saída.

Se essas duas alterações chegarem a um DC, a resolução normal de conflitos do AD será executada. A versão do AD dos atributos será a mesma, mas o carimbo de tempo do PDC será um pouco mais antigo e a senha do DC inicial será usada.

Isso não faz diferença, pois a carga de dados é idêntica porque ambos os DCs escreveram o mesmo valor de nova senha.

Log no log de eventos do Directory Services

O Windows Server 2022 adicionou eventos para acompanhar a atividade de interações com o emulador PDC em relação às notificações de atualização de senha.

ID do evento 3035

A ID do evento 3035 está registrada no PDC no nível de log quatro da categoria "27 Notificações de Atualização de Senha PDC" na seguinte entrada do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3035
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>

ID do evento 3036

A ID do evento 3036 será registrada se houver um erro ao atualizar o PDC com as atualizações em uma chamada de um BDC (Controlador de Domínio de Backup):

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3036
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

ID do evento 3037

A ID do evento 3037 está registrada no BDC no nível de log quatro da categoria "27 Notificações de Atualização de Senha PDC" na seguinte entrada do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3037
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
 User:      <User Name>
 User RID:  <RID>

ID do evento 3038

A ID do evento 3038 será registrada se houver um erro ao atualizar o PDC com as atualizações em uma chamada de um BDC:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3038
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Para exmaple, o código de erro c0000225 mapeia para STATUS_NOT_FOUND. Esse erro é esperado quando o usuário é criado recentemente no controlador de domínio local e a senha do usuário é definida dentro da latência de replicação do PDC.

Você também pode ver erros relacionados à rede ou RPC na ID do Evento 3038. Por exemplo, quando um firewall bloqueia a comunicação entre o BDC e o PDC, você poderá receber esse evento.

Referências

Como configurar o log de eventos de diagnóstico do Active Directory e do LDS