症状
具有 Microsoft 最前沿统一访问网关 (UAG) 2010 配置为允许用户更改其密码,并提示用户更改密码前的密码过期。如果 Forefront UAG 身份验证存储库上配置 Active Directory 集成身份验证,则可以使用不正确的域密码策略。在下列情况下可导致此问题︰
-
过于频繁的密码更改提示
-
更改密码提示在必要时不做
原因
出现此问题的 Active Directory 集成身份验证服务器或存储库上配置身份验证。在这种情况下,Forefront UAG 使用全局编录服务器验证用户身份并确定用户信息,如密码过期。
全局编录服务器发现 Forefront UAG 服务器域不相关,而是基于站点和林全局编录位置由循环域名系统 (DNS) 订购。
当 Forefront UAG 从全局编录服务器请求的用户的密码过期时,全局编录服务器从用户域进行此计算而不是密码策略使用域密码策略从其自己的域。按照设计,这是默认的 Windows 行为,可能会导致返回到 Forefront UAG 不正确的密码过期。此行为取决于所使用的密码策略和用户,正在使用的全局编录服务器的域。
解决方案
若要解决此问题,请为 Microsoft 最前沿统一访问网关 2010年安装Service Pack 4 。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
在安装 Service Pack 4 之后,全局编录服务器将查询来确定密码过期时间的用户的域中的域控制器。此更改可以确保正确的域密码策略用于密码过期时间计算。
参考资料
请参见用于描述软件更新的术语Microsoft。