none
ActiveDirectoryを使っていますが社内でパスワード変更が出来ない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    パスワード変更が出来ません

    90日でパスワードを変更する設定になっていまして7日前に警告が出るようになっています。

    警告が出てすぐにパスワードを変更しようとするとログインが出来なくなってしまいます。

    期限が切れているということはありません。

    管理者側でActiveDirectoryからPW変更は出来ますが

    毎回それだと毎日の作業になり辛いです

    ログイン後にPWを変更するにチェックを入れてPW変更するとまたログインが出来なくなります

    ログイン後にパスワード変更するにチェックを入れないで、ユーザーに直接PWを入力してもらって対応してます。

    つまりユーザー側でのPW変更が一切出来ない状態です

    参照するサーバーは2台あります。

    うち1台が電源タップの故障で電源オフになり、立ち上げなおしてからこのような状況になったと思われます。

    およそ1週間程前でしょうか

    クライアントはWindows7でWindows2003Serverです。

    よろしくお願いします

    2016年5月6日 7:22
    |

回答

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    クライアントはWindows7とWindowsServer2003という理解でよろしいでしょうか。

    まずはログオンできない状態の時に表示されるメッセージと、イベントログの確認をおすすめします。
    見分けがつかないということであれば、現状いただいた情報だとセキュアチャネルの破損が疑わしいです。

    ドメインにログオンできない ~ セキュア チャネルの破損 ~
    https://blogs.technet.microsoft.com/jpntsblog/2009/06/05/256/

    以上、参考まで。

    2016年5月7日 7:27
    |
  • Question
    サインインして投票
    0
    サインインして投票

    回答ありがとうございます。クライアントはWindows7です

    自分もあまり詳しくはないのですがログオンできないのが問題というよりは

    パスワード変更時期が来た人全てのパスワード変更が受け付けられない状況になっています

    パスワード変更時期が来る前の人は今まで通りログオン出来ています

    ActiveDirectoryからPWの変更は受け付けられるので管理者がパスワード変更を代理でしていると言う状況です

    ユーザー側でのパスワード変更は全く出来ない状況です。

    この内容だとすると今ログイン出来ているユーザーが突然一斉にログイン出来なくなる可能性があるということでしょうか?

    確かにパスワード変更をする時に旧パスワードを入れる枠があると思いますが

    そこがうまく認識してくれないことが原因のように思います

    数百人をドメイン再参加させることは物理的に難しいので

    いい方法はありますでしょうか?

    よろしくお願いします

    2016年5月9日 0:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    追記です。

    ActiveDirectoryで管理者で無理やりパスワードを変更をかけて

    ユーザー側でパスワード変更しないで一度ログインしてもらったあと

    さらにActiveDirectory管理者でもう一度パスワードを変更して

    次回ログイン時にパスワード変更をするにチェックを入れると

    ユーザー側でパスワード変更が出来ない状態です。

    2016年5月9日 1:14
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ActiveDirectoryからPC名で検索をして

    アカウントのリセットを試したところ

    ドメインの再参加が必要になり、WORKGROUPに変更をしてドメイン再参加をして

    試しにActiveDirectoryからPWの変更、次回ログイン時PW変更したら

    パスワード変更が正常に完了しました。

    これで解決かと思うのですが

    300台を一台ずつこれでやると1台20分としても100時間かかってしまいます

    もうちょっと楽な方法がないでしょうか

    ご教示頂けるとありがたいです。

    2016年5月9日 2:55
    |
  • Question
    サインインして投票
    1
    サインインして投票
    2台のクライアント端末ではなく、300台のクライアント端末で発生している事象ということですね。となると、セキュアチャネルの破損は考えにくいですね。

    ということはドメインコントローラーが2台で、それが2003ということでしょうか。クライアント、サーバーともに、イベントログには原因の記載はなかったでしょうか?

    ■ 同様の事象について
    以下に同様の事象がありますので、こちら参考になるかもしれません。更新プログラムの適用、あるいは排除で改善が見られたそうです。

    windows2003のAD環境下でwindows7からドメインユーザのパスワード変更が出来ない
    https://social.technet.microsoft.com/Forums/ja-JP/3cbd994c-421e-4fb5-9b80-4d1eaaf0c015/windows2003adwindows7?forum=activedirectoryja

    Windows Server 2003 SP2 ドメイン パスワードを変更できません
    https://support.microsoft.com/ja-jp/kb/2927811


    2016年5月9日 13:07
    |
  • Question
    サインインして投票
    0
    サインインして投票

    やきさま

    ありがとうございます。

    ビンゴのようです。

    2003serverじゃないほうは問題なく動いているようなので

    これを試してみます。

    助かりました!

    2016年5月10日 1:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    4月以降クライアントにインストールされた更新プログラムを全て削除したら直りました

     ■Windows7用セキュリティ更新プログラム(KB3146706)

     ■Windows7用セキュリティ更新プログラム(KB3149090)

    の2つを削除しただけですとこちらの場合は直りませんでした

    全てのPCに同様に適用しなければいけないので

    どれを削除すればいいか1台で試してみます。

    2016年5月10日 6:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Toru1011様

    「windows2003のAD環境下でwindows7からドメインユーザのパスワード変更が出来ない」を投稿したsilve1108です。

    Toru1011様の環境では「4月以降クライアントにインストールされた更新プログラムを全て削除」で復旧したとの事ですが、

    環境としてはADが2台、どちらも「Windows2003」の環境なのでしょうか。

    実はADが「windows2008」と「windows2003」が共存している環境でもパスワード変更が出来ない現象がでているようで、

    そちらではToru1011様の環境と同様にわたくしが対象にした2つの更新プログラムを削除しても状況が変わらないと連絡をもらいました。

    (Toru1011様のように4月以降クライアントにインストールされた更新プログラムを全て削除しているわけではないようです)

    その為、「windows2003」のみの環境でも私の環境と違って、「4月以降クライアントにインストールされた更新プログラムを全て削除」しなければならなかったのか、もしくは「windows2008」等OSが違うADが共存している環境での事か切り分けをしたく、ご質問させていただきます。

    お手数ですが、宜しくお願い致します。

    2016年5月10日 7:07
    |
  • Question
    サインインして投票
    0
    サインインして投票

    2003が2台お互いを参照している状態で1セットあります。

    こちらはKBの2つを削除してもダメで、他にも色々削除してみましたがダメだったので

    4月以降のものを全て削除したら直りました。

    その後に4月以降のものをインストールしたら再び症状が出ています。

    ただ2008のほうは別の場所にあるのですが、そちらは特に問題が出てないようです。

    どれが影響があるのかわかりませんが

    いずれかが影響があるものと思われるため色々試してみる予定です。

    2016年5月10日 7:43
    |
  • Question
    サインインして投票
    0
    サインインして投票


    Toru1011様

    ご回答ありがとうございます。

    こちらもwindows2003のDC2台がお互いを参照している状態で3環境あり、
    こちらはどの環境も「KB3146706」「KB3149090」を削除すると復旧する状況です。

    またそれとは別でADが「windows2008」の環境でもパスワード変更不可の現象が出ている状況です。


    「windows2003」に限っては上記2つの更新プログラム削除で復旧するかと思っていましたが、
    そうでもないと言うことですね。

    とても参考になりました!

    「2016年4月のセキュリティパッチ不具合について」という投稿もございましたので
    各環境で出始めているようですね。

    こちらの環境でもPC1台1台更新プログラムをアンインストールしていくような
    対応は現実的ではないため、Micosoftが認知してwindows7側の修正パッチの公開など

    打開策があるといいのですが。。。


    何か進展がありましたらご報告します。

    2016年5月10日 10:52
    |
  • Question
    サインインして投票
    0
    サインインして投票

    やきです。

    2008の環境については、6月に修正パッチが出ているそうです。ドメインコントローラーに適用します。

    Windows 7 でパスワードが変更できない
    https://blogs.technet.microsoft.com/jpntsblog/2016/05/30/password_change_error/

    以上、参考まで。

    • 回答としてマーク 佐伯玲 2016年8月17日 7:24
    2016年8月8日 6:49
    |