none
MacPCからVPN経由でのパスワード変更ができない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    タイトルの件ですが、本日MacPCを利用している社員の方が在宅勤務中にVPN接続時に新しいパスワードの設定を求められたため、設定を行ったがサーバの要件を満たしていないと表示され変更できないとの連絡をいただきました。

    別のMacPCでテスト用ADアカウントにて検証しましたが正常にパスワード変更ができており、原因の特定ができない状況となります。一旦はADサーバにて該当のユーザーのパスワードをリセットし、リセットしたパスワードを利用していただくようにしていますが、セキュリティ上よくなくパスワードの有効期限が再度来た際、同様の対応は避けたいと考えています。

    パスワードの要件は大文字小文字含む英数字8文字以上、2世代のパスワードを記憶している状況となります。

    ユーザーからはwebでランダムで作成されるパスワードを設定しても変更できないとのことでした。

    ADサーバはWindows Server 2016 (AWS)×1台・Windows Server 2008 SP1(オンプレ)×2台となり、すべてで同期をとっている為同じ情報を所有しております。

    VPN環境はAWS Client VPNを使用しており、DNSサーバの指定をWindows Server 2016 とWindows Server 2008を1台ずつ指定しています。VPN接続した際のDNSサーバは正常に2台を表示されています。 

    どなたか解決方法をご教授いただけますでしょうか。宜しくお願い致します。

    2020年10月2日 4:16
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、返信できませんでしたが、基本的に「クライアントがドメインコントローラーに直接接続可能」な状態でないと、パスワード変更はできません。単にIPアドレスが通ればいいだけでなく、SRVレコードとしてドメイン情報を認識している必要があります。

    もともとの件ですが、実際にドメインコントローラーがパスワード変更を「受け付けている」のかのレベルで確認がいります。具体的にはイベントログの「セキュリティログ」で確認します。ユーザーが接続したドメインコントローラー上でのみ記録されますので、ドメインコントローラー全台での確認をお奨めします。やりかたはしたのページを参考にしてください。

    https://www.netwrix.com/how_to_detect_password_changes.html

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 神楽 2020年10月16日 7:10
    2020年10月12日 8:27
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。フォーラムオペレーターのFanです。
    フォーラムにご投稿くださいましてありがとうございます。
    MacPCからVPN経由でのパスワード変更ができないことについて
    ご存知の方おりましたら、ご意見を共有頂ければ本当に幸いです.

    どうぞよろしくお願いいたします。
    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月5日 7:24
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、「Active Directoryパスワードポリシー」に合っていないパスワードを設定使用とした場合、そのエラーが表示されます。パスワードポリシーの内容ですが、したの資料にきちんと定義されているようです。

    https://www.edifist.co.jp/lecture/network/password_policy/index.aspx

    うえによると、パスワードの複雑さ(文字種)は「大文字、小文字、数字、記号のうち3種類以上を使用する」ということで、質問者さんの言う「webでランダムで作成されるパスワード」と上限が合っていないのでしょう。「大文字小文字含む英数字8文字以上」ということなら、英大文字・英子文字・数字が「すべて含まれている」状況でないと合致しません。まずはここを確かめてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年10月5日 11:49
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご返信ありがとうございます。

    実際に設定したパスワードは確認していませんでしたがポリシー内容は伝えていますので要件を満たしたパスワードで設定しているかと思います。

    ユーザーがパスワード変更ができるようになるまで1週間の期間を設けている為、今週の金曜に再度パスワード変更ができるか確認していただく予定ですが、その際は設定しているパスワードを確認して要件を満たしているか確認してみます。

    2020年10月6日 2:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    パスワード変更できない件について追加で質問ですが、パスワード要件について下記のサイトを拝見しました。

    https://katsuhiroblog.com/windows-password-security/

    複雑さの要件と満たす必要があるパスワードの要件として「ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。」とありますが、この要件は必ず満たさなければならないのでしょうか。

    本日試しに自身のアカウントのパスワード変更を行ったときにアカウントの3文字を含ませ英数字・記号含むパスワードに変更したところ正常に変更できてしまいました。パスワード変更を行ったのはWindowsから行っています。

    ご回答の程宜しくお願い致します


    • 編集済み 神楽 2020年10月8日 3:23
    2020年10月8日 3:21
    |
  • Question
    サインインして投票
    0
    サインインして投票

    パスワードポリシーの複雑性の有効時動作について (microsoft.com)

    こちらと同様の話かな?

    Hebikuzure aka Murachi Akira

    2020年10月8日 3:24
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure aka Murachi Akiraさん

    早速のご回答ありがとうございます。

    ご教授いただいたリンク内の「ユーザーのフルネームをチェックする際、一部の文字 (コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、シャープ記号、タブ) は、名前を個々のトークンに分割する区切り文字として扱われます。」の部分が当てはまるかと思います。

    会社ではユーザーアカウントを名前.苗字で作成している為、.でトークンが切られ名前の完全一致でなければパスワードに含むことが可能となると理解しました。

    そうなると先に質問させていただいているパスワード変更不可事象についてさらに原因特定が難しい状況となってしまいました・・・。

    2020年10月8日 3:36
    |
  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    本件について先週金曜日に該当者へロック画面からのパスワード変更ではなくシステム環境内からパスワード変更していただくよう依頼しましたが結果として変更できず、「メッセージがアカウント○○のパスワードは変更されませんでした。お使いのパスワードの変更をシステム管理者で禁止しているかお使いのパスワードに何らかの問題が起こっている可能性があります。システム管理者へ問い合わせて確認してください。」と表示されたとのことでした。

    該当者からは新しいパスワードを適用しようとした際に1分程度時間がかかった後に上記メッセージが表示されるとのことです。ADのバインドに問題が発生してADサーバへ通信できていない可能性があると思い、VPN経由で再バインドしようとしたところ再バウントがうまくいかなかった為、一旦出社していただいて再バインドを行った後にパスワード変更を実施しようと思います。

    2020年10月12日 7:25
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、返信できませんでしたが、基本的に「クライアントがドメインコントローラーに直接接続可能」な状態でないと、パスワード変更はできません。単にIPアドレスが通ればいいだけでなく、SRVレコードとしてドメイン情報を認識している必要があります。

    もともとの件ですが、実際にドメインコントローラーがパスワード変更を「受け付けている」のかのレベルで確認がいります。具体的にはイベントログの「セキュリティログ」で確認します。ユーザーが接続したドメインコントローラー上でのみ記録されますので、ドメインコントローラー全台での確認をお奨めします。やりかたはしたのページを参考にしてください。

    https://www.netwrix.com/how_to_detect_password_changes.html

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 神楽 2020年10月16日 7:10
    2020年10月12日 8:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご返信ありがとうございます。

    本日該当PCを社内にもってきていただきバインドし直し、VPN経由でパスワード変更を行ったところ正常に行えました。

    やはりADサーバへの接続に異常をきたしてようです。

    本件についてはチャブーンさんを回答としてマークさせていただきます。

    2020年10月16日 7:10
    |