none
ActiveDirectoryのパスワード変更後、一定時間古いパスワードでログインできる状態になる RRS feed

  • 質問

  • ActiveDirectory(以下、AD)のパスワード変更を行った際、一定時間(10分間ほど)新しいパスワードでも古いパスワードでもログインできるようになってしまいます。

    恐らく、AD側にログイン情報のキャッシュか何かが残ってしまっていることが原因ではないかと推測しているのですが、キャッシュの有無やキャッシュの保持期間をどのように設定すればいいのか分かりません。

    また、環境としては、パスワードの変更はJavaのjavax.naming.directoryのmodifyAttributesを用いて行っています。

    本フォーラムが適切か分かりませんが、ご存知の方がいらっしゃいましたら、ご教示いただけますと幸いです。

    2020年11月19日 8:54

回答

すべての返信

  • チャブーンです。

    この件ですが、Active DirectoryではNTLMの仕様上、古いパスワードを一定期間有効化しておく設定があります。コレを制御するにはOldPasswordAllowedPeriodレジストリ値を使いますが、いかにも不便です。この設定については、以下の資料を確認してもらうといいでしょう。

    https://web.archive.org/web/20110315013743/http://support.microsoft.com/kb/906305

    ではベストな方法は何か、ということですが、プログラムに明示的にKerberos認証のみで認証するよう、修正を行うことです。この設定はNTLMのためにあるので、NTLMを使わなければ、問題は起こりません。プログラムの設定のみで修正できる問題かと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年11月19日 11:12
    モデレータ
  • FYI

    NTLM ネットワーク認証の変更 - Windows Server | Microsoft Docs

    こっちの記事が新しくて日本語ですね。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク M_Tsuyoshi 2020年11月26日 10:38
    2020年11月19日 12:22
  • フォーラムにご投稿くださいましてありがとうございます

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために、参考になった投稿には「回答としてマーク」をご設定ください。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月26日 5:36
    モデレータ
  • ご連絡が遅くなり、申し訳ありません。

    ご回答のレジストリキーの修正で対処できました。

    この度は、大変助かりました。ありがとうございました。

    2020年11月26日 10:40