none
Server 2012 R2 - User Passwörter lassen sich nicht mehr ändern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Seit einer Woche ist es mir unmöglich User Paswörter im Active Directory zurück zu setzen.

    Auch neue User können nicht mehr angelegt werden, selbe Fehlermeldung.

    Ich habe ebenfalls schon zwei Kollegen zu diesem Thema befragt und nach einigen erfolglosen Stunden haben sie aufgegeben.

    "The Password does not meet the complexity policy requirements..."

    Wir haben 2 Domain Controller Windows Server 2012 R2 - Domain / Forest funct. Level

    Da ich mich seit Tagen ausschließlich mit diesem Problem beschäftige, versuche ich so vollständig wie möglich die gescheiterten Lösungsansätze zu schildern:

    Als User vom Client aus kann das Passwort ebenfalls nicht geändert werden

    In dem Zeitraum von "es funktioniert nachweislich alles" bis zu "Fehler tritt auf" wurden keinerlei Windows Updates installiert

    Nur eine Passwort Policy aktiv - link auf Domain level

    net accounts spiegelt die dort hinterlegten settings wieder - auch bei Änderung der Settings ersichtlich

    Anpassen / Deaktivieren / Ersetzen der Policy brachte keine Besserung (Komplexität Aus/An, Min. Passwort alter 0, Komplette Passwort Settings auf "not configured" / 0 / deaktiviert / ... gesetzt, etc.)

    Durch Fine Grained PW Policy versucht auszuhebeln (Get-ADUserResultantPasswordPolicy zeigte auch hier für alle getesteten User die aktualisierte "Fine grained Policy" an, nicht mehr das GPO, allerdings ohne Veränderung der Fehlermeldung.

    Passwort Reset über Powershell resultierte in der selben Meldung

    Event Viewer am DC zeigt nur "Audit Failure - an attempt to reset the password was made.." an. Log Level erhöhen brachte keine weiteren Infos

    Neue OU`s angelegt und User verschieben / neu anlegen versucht

    RSoP zeigt die korrekte Policy als "winning" an, Passwort Settings werden korrekt angezeigt (auch nach allen Policy Änderungen überprüft), aber kein Passwort, egal in welcher Länge und Komplexität wird akzeptiert (8 - 30 Zeichen getestet, immer mit Zahl, Grossbuchstaben, Kleinbuchstaben, Sonderzeichen enthalten, sowohl selbst gewählte Passwörter als auch aus dem Generator stammende werden nicht akzeptiert)

    Replication ist laut repadmin OK

    Einige abenteuerlichere Ansätze habe ich bereits wieder verdrängt.

    Jetzt bin ich mit meinem Latein am Ende und bevor ich eine Migration in einen neuen Forest angehe oder ein Ticket bei Microsoft eröffne, hatte ich gehofft dass vielleicht jemand anderes ähnliches Pech hatte wie ich und vielleicht seine Lösungsansätze mit mir teilt.

    Vielen Dank im Voraus!

    freundliche Grüße

    Mittwoch, 12. September 2018 14:50
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    > Auch neue User können nicht mehr angelegt werden, selbe Fehlermeldung.

    Da wäre prinzipiell mal interessant, was Du als Kennwort festlegen willst... Und was im DomainHead (also im AD als Attribut der Domäne selbst) drinsteht.

    Mittwoch, 12. September 2018 16:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich hätte da noch eine andere wilde Frage: Hast Du auf Deinen DCs evtl. den Registry-Wert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages und falls ja, was steht da drin?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 12. September 2018 19:16
    |
  • Question
    Anmelden
    0
    Anmelden

    @Evgenij Smirnov

    Boah, Volltreffer! DANKE !

    Habe sofort Wutentbrannt zum Telefon gegriffen und beim Mutterkonzern angerufen.

    Scheinbar hatte der Enterprise Admin dort vor Jahren ein Passwort-Sync-Tool getestet, dass aber nie voll zum Einsatz kam. Letzte Woche wurde scheinbar die Verbindung zu dem Identity Management System gekappt mit den Worten "war nie im Einsatz, kann nichts passieren" auf den Lippen.

    Habe jetzt die Einträge entfernt und die zugehörigen DLLs gleich mit. (Das Ding war ziemlich gut versteckt und schien nirgends auf, nicht mal als Service oder Plugin)

    DCs rebooted und wie durch Magie funktioniert jetzt wieder alles!

    Da hätte ich noch Tage oder Wochenlang gesucht bis ich vielleicht dort gelandet wäre!

    Danke sehr!

    freundliche Grüße

    Mittwoch, 12. September 2018 22:28
    |