[ユーザーは次回ログオン時にパスワードを変更する必要があります] 設定を構成した場合、ユーザーは自分のパスワードを変更できない可能性があります

この記事では、[ユーザーは次回ログオン時にパスワードを変更する必要があります] 設定を構成した場合に、ユーザーがパスワードを変更できない可能性がある問題に関する情報を提供します。

適用対象: Windows Server 2012 R2
元の KB 番号: 320325

概要

管理者の場合は、パスワードをリセットする場合に 、ユーザー アカウントの [次回ログオン時にパスワードを変更する必要があります ] 設定を構成できます。 その場合、ユーザーは次回ログオンするときにパスワードを変更する必要があります。 ただし、この設定を構成し、ユーザーにパスワードの変更を求められた場合、レプリケーションの待機時間により、古いパスワードを入力した後に古いパスワードが正しくないというメッセージがユーザーに送信される可能性があります。 この記事では、この問題が発生するシナリオについて説明します。

詳細

ユーザーのパスワードをリセットする場合は、[ ユーザーは次回ログオン時にパスワードを変更する必要があります ] 設定を構成できます。 通常、プライマリ ドメイン コントローラー (PDC) 操作マスターでこの操作を実行します。これは、ユーザーがログオンしているサイトとは異なるサイトに配置される場合があります。 そのため、レプリケーションの待機時間が発生する可能性があるため、前のセクションで説明した現象が発生する可能性があります。 次のシナリオでは、この問題について説明します。

1. ユーザーは自分のパスワード ( password1 など) を忘れた後、パスワードを password2 にリセットします。
2. リモート サイトのユーザーは、新しくリセットされたパスワード (password2) を使用して、ローカル ドメイン コントローラー (リモート ドメイン コントローラー) にログオンします。
3. リモート ドメイン コントローラーは パスワードとして password2 を認識しません ( パスワード 1 のみが認識されます)。 ドメイン コントローラーは、ログオン要求を PDC 操作マスターに転送 (チェーン) します。
4. PDC 操作マスターはログオン要求を満たし、ユーザーがパスワードを変更する必要があることを示すメッセージをリモート ドメイン コントローラーに渡します。
5. このメッセージは、ユーザーにパスワードの変更を求めるメッセージをクライアント コンピューターに返します。
6. ユーザーがパスワードの変更を求められると、古いパスワードと新しいパスワードの入力を求められます。 この場合、ユーザーは新しくリセットしたパスワード (password2) を古いパスワードとして入力し、新しいパスワードを入力します。
7. クライアントはリモート ドメイン コントローラーに再度接続して (このドメイン コントローラーはクライアントと同じサイトにあるため)、パスワードを変更します。 ただし、リモート ドメイン コントローラーには、ユーザーがパスワードのリセットを求められた時点で使用していたパスワード (password1) があり、 password2 を古いパスワードとして認識しません。
8. password2 は正しい古いパスワードではないため (リモート ドメイン コントローラーに従います)、パスワードの変更操作は失敗します。 ただし、新しくリセットされたパスワード (password2) がリモート ドメイン コントローラーにレプリケートされた後、ユーザーが古いパスワードの入力を求められたときに password2 を入力すると、パスワード変更操作は成功します。