Funzionalità di elaborazione delle modifiche delle password e risoluzione dei conflitti in Windows
Questo articolo descrive un valore del Registro di sistema che gli amministratori possono usare per controllare quando viene contattato il controller di dominio primario, che consente di ridurre i costi di comunicazione tra i siti e ridurre il carico sul controller di dominio primario.
Importante
In questo articolo sono contenute informazioni relative alla modifica del Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne il backup e verificare di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, consultare Descrizione delle informazioni del Registro di sistema di Windows per gli utenti esperti.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numero KB originale: 225511
Riepilogo
Per impostazione predefinita, quando una password utente viene reimpostata o modificata o quando un controller di dominio riceve una richiesta di autenticazione client usando una password non corretta, viene contattato il controller di dominio Windows che funge da proprietario del ruolo FSMO (Flexible Single Master Operation) PDC per il dominio Windows. Questo articolo descrive un valore del Registro di sistema che gli amministratori possono usare per controllare quando viene contattato il PDC, che può contribuire a ridurre i costi di comunicazione tra i siti e ridurre il carico sul PDC.
Questa comunicazione al controller di dominio primario non viene eseguita per gli account computer. I computer ritenteranno l'autenticazione con la password precedente più recente quando l'autenticazione non riesce. Lungo la stessa riga, i computer proverebbero la password precedente più recente durante la decrittografia di un ticket di servizio Kerberos ricevuto.
Ulteriori informazioni
Avviso
If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
Il valore del Registro di sistema seguente può essere modificato per controllare la notifica di modifica della password e la risoluzione dei conflitti delle password, come descritto di seguito:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
- Valore del Registro di sistema: AvoidPdcOnWan
- Tipo di Registro di sistema: REG_DWORD
- Dati del valore del Registro di sistema: 0 (o valore non presente) o 1
- 0 o valore non presente = FALSE (per disabilitare)
- 1 = TRUE (per abilitare)
- Impostazione predefinita: (il valore non è presente)
Notifica di modifica della password
Un controller di dominio scrivibile di Windows riceve la richiesta di modifica o reimpostazione della password utente. La modifica della password viene apportata in locale e quindi inviata immediatamente al proprietario del ruolo FSMO PDC usando il servizio Netlogon come rpc (Remote Procedure Call). La modifica della password viene quindi replicata nei partner usando il processo di replica di Active Directory sia dal PDC che dal controller di dominio che esegue la modifica della password. Se un controller di dominio di Read-Only Windows riceve la richiesta di modifica della password, funziona come un proxy di autenticazione che inoltra la richiesta al controller di dominio hub, che agisce come se fosse il primo controller di dominio a ricevere la richiesta.
Se il valore AvoidPdcOnWan è impostato su TRUE e il PDC FSMO si trova in un altro sito, la modifica della password non viene inviata immediatamente al PDC. Tuttavia, viene aggiornato con la modifica tramite la normale replica di Active Directory. Se il PDC FSMO si trova nello stesso sito, il valore AvoidPdcOnWan non viene usato e la modifica della password viene immediatamente comunicata al PDC.
Una password aggiornata potrebbe non essere inviata all'emulatore PDC anche se AvoidPdcOnWan è FALSE o non è impostata, in caso di problemi durante l'invio della richiesta al PDC, ad esempio un'interruzione della rete. In questo caso non è stato registrato alcun errore. L'aggiornamento viene quindi distribuito usando la replica di Active Directory normale.
Risoluzione dei conflitti delle password
Per impostazione predefinita, i controller di dominio Windows eseguono query sul proprietario del ruolo FSMO PDC se un utente sta tentando di eseguire l'autenticazione usando una password non corretta in base al database locale. Se la password inviata dal client dall'utente è corretta nel controller di dominio primario, al client è consentito l'accesso e il controller di dominio replica la modifica della password.
Il valore AvoidPdcOnWan può essere usato dagli amministratori per controllare quando i controller di dominio Active Directory tentano di usare il proprietario del ruolo FSMO PDC per risolvere i conflitti di password. Il controller di dominio primario completa l'accesso e l'autenticazione ha esito positivo per l'utente che esegue l'autenticazione.
Se il valore AvoidPdcOnWan è impostato su TRUE e il proprietario del ruolo PDC FSMO si trova in un altro sito, il controller di dominio non tenta di autenticare un client in base alle informazioni sulla password archiviate nel file FSMO PDC. Si noti, tuttavia, che ciò comporta la negazione dell'accesso all'utente. Ciò può causare un impatto sulla produttività, in quanto molti utenti non proveranno a eseguire l'autenticazione con la password precedente. In alcuni scenari potrebbero non conoscere la password precedente.
Non è possibile provare una password errata nell'emulatore PDC anche se AvoidPdcOnWan è FALSE o non è impostata, in caso di problemi durante l'invio della richiesta al PDC, ad esempio un'interruzione della rete. In questo caso non è stato registrato alcun errore. Il tentativo di accesso viene negato in questo caso.
Lo scenario è diverso quando è coinvolto un controller di dominio di sola lettura. Se una richiesta di autenticazione nel controller di dominio di sola lettura ha esito negativo con una password non valida, il controller di dominio di sola lettura invia la richiesta al controller di dominio hub e, a sua volta, il controller di dominio hub lo invia al controller di dominio primario. Se ha esito positivo nel controller di dominio primario, l'autenticazione utente ha esito positivo. Se il controller di dominio di sola lettura può memorizzare nella cache la password dell'utente, richiederà la replica della password utente dal controller di dominio dell'hub. Ma il controller di dominio dell'hub ha ancora solo la vecchia password. Il controller di dominio di sola lettura ottiene la nuova password solo durante il normale ciclo di replica. Continuerà a richiedere l'hub o il controller di dominio primario fino a quando la nuova password non viene replicata.
Gestione della replica delle password
Quando il controller di dominio scrivibile inoltra la modifica della password al controller di dominio primario, la password utente viene impostata in entrambi i controller di dominio. Entrambi i controller di dominio includeranno questa nuova password nella replica in uscita.
Se queste due modifiche arrivano a un controller di dominio, viene eseguita la normale risoluzione dei conflitti di Active Directory. La versione degli attributi di Active Directory sarà la stessa, ma il timestamp del PDC sarà un po' meno recente e verrà usata la password del controller di dominio iniziale.
Non fa alcuna differenza perché il payload dei dati è identico perché entrambi i controller di dominio hanno scritto lo stesso nuovo valore della password.
Registrazione nel registro eventi di Servizi directory
Windows Server 2022 ha aggiunto eventi per tenere traccia dell'attività delle interazioni con l'emulatore PDC relative alle notifiche di aggiornamento delle password.
ID evento 3035
L'ID evento 3035 viene registrato nel controller di dominio primario al livello di registrazione quattro della categoria "27 notifiche di aggiornamento password PDC" nella voce del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3035
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
ID evento 3036
L'ID evento 3036 viene registrato se si verifica un errore durante l'aggiornamento del controller di dominio primario con gli aggiornamenti in una chiamata da un controller di dominio di backup :Event ID 3036 is logged if there's a error when updating the PDC with the updates in a call from a Backup Domain Controller (BDC):
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3036
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Error: <Error Code>
ID evento 3037
L'ID evento 3037 viene registrato nel BDC al livello di registrazione quattro della categoria "27 notifiche di aggiornamento password PDC" nella voce del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3037
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
User: <User Name>
User RID: <RID>
ID evento 3038
L'ID evento 3038 viene registrato se si verifica un errore durante l'aggiornamento del controller di dominio primario con gli aggiornamenti in una chiamata da un data center di azure:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3038
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
User: <User Name>
User RID: <RID>
Error: <Error Code>
Per exmaple, il codice di errore c0000225 esegue il mapping a STATUS_NOT_FOUND. Questo errore è previsto quando l'utente viene appena creato nel controller di dominio locale e la password dell'utente viene impostata all'interno della latenza di replica del controller di dominio primario.
È anche possibile che vengano visualizzati errori relativi a rete o RPC nell'ID evento 3038. Ad esempio, quando un firewall blocca la comunicazione tra BDC e PDC, è possibile ricevere questo evento.
Riferimenti
Come configurare la registrazione degli eventi di diagnostica di Active Directory e LDS
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per