Kennwortänderungsverarbeitung und Konfliktlösungsfunktionalität in Windows

In diesem Artikel wird ein Registrierungswert beschrieben, mit dem Administratoren steuern können, wann der primäre Domänencontroller (PDC) kontaktiert wird. Dies kann dazu beitragen, die Kommunikationskosten zwischen Standorten zu senken und die Last auf dem PDC zu reduzieren.

       Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ursprüngliche KB-Nummer: 225511

Zusammenfassung

Wenn ein Benutzerkennwort zurückgesetzt oder geändert wird oder ein Domänencontroller eine Clientauthentifizierungsanforderung mit einem falschen Kennwort empfängt, wird standardmäßig der Windows-Domänencontroller kontaktiert, der als BESITZER der ROLLE PDC Flexible Single Master Operation (FSMO) für die Windows-Domäne fungiert. In diesem Artikel wird ein Registrierungswert beschrieben, mit dem Administratoren steuern können, wann der PDC kontaktiert wird. Dies kann dazu beitragen, die Kommunikationskosten zwischen Standorten zu senken und die Last auf dem PDC zu reduzieren.

Diese Kommunikation mit dem PDC erfolgt nicht für Computerkonten. Computer wiederholen die Authentifizierung mit dem letzten vorherigen Kennwort, wenn die Authentifizierung fehlschlägt. In derselben Zeile würden die Computer beim Entschlüsseln eines Kerberos-Diensttickets, das sie erhalten, das neueste vorherige Kennwort ausprobieren.

Weitere Informationen

Der folgende Registrierungswert kann geändert werden, um die Benachrichtigung über Kennwortänderungen und die Lösung von Kennwortkonflikten wie unten beschrieben zu steuern:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

• Registrierungswert: AvoidPdcOnWan
• Registrierungstyp: REG_DWORD
• Registrierungswertdaten: 0 (oder Wert nicht vorhanden) oder 1
  • 0 oder Wert nicht vorhanden = FALSE (zu deaktivieren)
  • 1 = TRUE (zu aktivieren)
• Standardwert: (Wert ist nicht vorhanden)

Benachrichtigung zur Kennwortänderung

Ein beschreibbarer Windows-Domänencontroller empfängt die Anforderung zum Ändern oder Zurücksetzen des Benutzerkennworts. Die Kennwortänderung wird lokal vorgenommen und dann sofort an den Besitzer der PDC-FSMO-Rolle gesendet, indem der Netlogon-Dienst als Remoteprozeduraufruf (RPC) verwendet wird. Die Kennwortänderung wird dann mithilfe des Active Directory-Replikationsprozesses an Partner repliziert, indem sowohl der PDC als auch der Domänencontroller (DC) die Kennwortänderung verwalten. Wenn ein Windows Read-Only-Domänencontroller (RODC) die Kennwortänderungsanforderung empfängt, funktioniert er wie ein Authentifizierungsproxy, der die Anforderung an seinen Hub-DC weiterleitet, der so fungiert, als wäre er der erste Domänencontroller, der die Anforderung empfängt.

Wenn der Wert AvoidPdcOnWan auf TRUE festgelegt ist und sich das PDC FSMO an einem anderen Standort befindet, wird die Kennwortänderung nicht sofort an den PDC gesendet. Sie wird jedoch mit der Änderung über die normale Active Directory-Replikation aktualisiert. Wenn sich die PDC FSMO am selben Standort befindet, wird der AvoidPdcOnWan-Wert nicht verwendet, und die Kennwortänderung wird sofort an den PDC übermittelt.

Ein aktualisiertes Kennwort wird möglicherweise nicht an den PDC-Emulator gesendet, auch wenn AvoidPdcOnWan false oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall wird kein Fehler protokolliert. Das Update wird dann mithilfe der normalen AD-Replikation verteilt.

Kennwortkonfliktlösung

Standardmäßig fragen Windows-Domänencontroller den PDC FSMO-Rollenbesitzer ab, wenn ein Benutzer versucht, sich mit einem Kennwort zu authentifizieren, das gemäß seiner lokalen Datenbank falsch ist. Wenn das vom Benutzer vom Client gesendete Kennwort auf dem PDC korrekt ist, wird dem Client der Zugriff gewährt, und der Domänencontroller repliziert die Kennwortänderung.

Der Wert AvoidPdcOnWan kann von Administratoren verwendet werden, um zu steuern, wann Active Directory-Domänencontroller versuchen, den PDC FSMO-Rollenbesitzer zum Beheben von Kennwortkonflikten zu verwenden. Die PDC schließt die Anmeldung ab, und die Authentifizierung ist für den authentifizierenden Benutzer erfolgreich.

Wenn der Wert AvoidPdcOnWan auf TRUE festgelegt ist und sich der Besitzer der PDC-FSMO-Rolle an einem anderen Standort befindet, versucht der Domänencontroller nicht, einen Client mit Kennwortinformationen zu authentifizieren, die auf dem PDC FSMO gespeichert sind. Beachten Sie jedoch, dass dies dazu führt, dass dem Benutzer der Zugriff verweigert wird. Dies kann auswirkungen auf die Produktivität haben, da viele Benutzer nicht versuchen, das vorherige Kennwort zur Authentifizierung zu verwenden. In einigen Szenarien kennen sie das vorherige Kennwort möglicherweise nicht.

Ein falsches Kennwort kann beim PDC-Emulator nicht versucht werden, auch wenn AvoidPdcOnWan auf FALSE festgelegt oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall wird kein Fehler protokolliert. Der Anmeldeversuch wird in diesem Fall verweigert.

Das Szenario ist anders, wenn ein RODC beteiligt ist. Wenn eine Authentifizierungsanforderung auf dem RODC mit einem ungültigen Kennwort fehlschlägt, sendet der RODC die Anforderung an den Hub-DC, und der Hub-DC sendet sie wiederum an den PDC. Wenn dies auf dem PDC erfolgreich ist, ist die Benutzerauthentifizierung erfolgreich. Wenn der RODC das Benutzerkennwort zwischenspeichern darf, fordert er die Replikation des Benutzerkennworts von seinem Hub-DC an. Der Hub-DC verfügt jedoch weiterhin nur über das alte Kennwort. Der RODC erhält das neue Kennwort nur über den normalen Replikationszyklus. Sie benötigt weiterhin den Hub oder den PDC, bis das neue Kennwort repliziert wird.

Behandlung der Kennwortreplikation

Wenn der beschreibbare DC die Kennwortänderung an den PDC weiterleitet, wird das Benutzerkennwort auf beiden DCs festgelegt. Beide DCs enthalten dieses neue Kennwort in ihre ausgehende Replikation.

Wenn diese beiden Änderungen bei einem Domänencontroller eintreffen, wird die normale AD-Konfliktlösung durchgeführt. Die AD-Version der Attribute ist identisch, aber der Zeitstempel des PDC ist etwas älter, und das Kennwort des anfänglichen Domänencontrollers wird verwendet.

Dies macht keinen Unterschied, da die Datennutzlast identisch ist, da beide DOmänencontroller denselben neuen Kennwortwert geschrieben haben.

Protokollierung im Ereignisprotokoll der Verzeichnisdienste

Windows Server 2022 hat Ereignisse hinzugefügt, um die Aktivität von Interaktionen mit dem PDC-Emulator in Bezug auf Kennwortupdatebenachrichtigungen nachzuverfolgen.

Ereignis-ID 3035

Die Ereignis-ID 3035 wird im PDC auf Protokollierungsebene 4 der Kategorie "27 PDC-Kennwortaktualisierungsbenachrichtigungen" im folgenden Registrierungseintrag protokolliert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3035
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>

Ereignis-ID 3036

Die Ereignis-ID 3036 wird protokolliert, wenn beim Aktualisieren des PDC mit den Updates in einem Aufruf von einem Sicherungsdomänencontroller (BDC) ein Fehler auftritt:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3036
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 BDC:      <Computer Name>
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Ereignis-ID 3037

Die Ereignis-ID 3037 wird im BDC auf Protokollierungsebene 4 der Kategorie "27 PDC-Kennwortaktualisierungsbenachrichtigungen" im folgenden Registrierungseintrag protokolliert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3037
Task Category: PDC Password Updates
Level:         Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
 User:      <User Name>
 User RID:  <RID>

Ereignis-ID 3038

Die Ereignis-ID 3038 wird protokolliert, wenn beim Aktualisieren des PDC mit den Updates in einem Aufruf von einem BDC ein Fehler auftritt:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      3038
Task Category: PDC Password Updates
Level:         Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
 User:      <User Name>
 User RID:  <RID>
 Error:     <Error Code>

Bei Exmaple wird der Fehlercode c0000225 STATUS_NOT_FOUND zugeordnet. Dieser Fehler wird erwartet, wenn der Benutzer auf dem lokalen Domänencontroller neu erstellt wird und das Kennwort des Benutzers innerhalb der Replikationslatenz des PDC festgelegt wird.

Möglicherweise werden auch Netzwerk- oder RPC-bezogene Fehler in der Ereignis-ID 3038 angezeigt. Wenn beispielsweise eine Firewall die Kommunikation zwischen BDC und PDC blockiert, erhalten Sie möglicherweise dieses Ereignis.

References

Konfigurieren der Active Directory- und LDS-Diagnose-Ereignisprotokollierung