none
[AD]更改密碼後,舊密碼約一個小時後才失效的問題 RRS feed

  • 問題

  • 請問一下

    我Domain的架構是有三台DC

    OS都為Windows Server 2003 SP1

    當我用AD管理工具更改使用者的密碼後

    舊的密碼都會有一段時間還可以使用

    (約一個小時後會自動失效)

    一開始以為是三台還未同步所引起的問題

    可是測試如果連續更改兩次密碼的話

    會變為第二、三組密碼都可以登入(第一組為舊密碼)

    而舊密碼就立刻不能使用了

    想請問這是什麼原因所造成?

    以及有沒有什麼解決的辦法?

    感謝

    2006年12月29日 上午 08:58

所有回覆

  • 不論在哪一台DC上修改使用者的密碼,都會在背景中連線到PDC Emulator上做變更

    然後再由擔任PDC Emulator角色的DC將此變更立即複寫到其它台DC/GC上

    所以請確認這中間過程中複寫的機制是OK的

    你可以安裝Support tools中的repadmin及repmon兩支工具來確認你的DC間的複寫是OK的

    2006年12月29日 上午 09:02
  • 更改密碼之後並不會立刻複寫到所有網域控制站,但也不需要等待 15 分鐘,因為更改密碼的優先等級較高,您可以手動強制複寫一次。建議不要在密碼更改之後立刻測試,然後發現更改無效之後又改一次密碼,因為複寫尚未完成,一直改來改去的結果到最後還是要等待複寫完成,反而不好抓問題。若發現真的要一個小時才會生效,那就可能要注意網域控制站之間的複寫連線是否有問題了,這與您的網路拓墣與網路的路由皆有相關聯。
    2006年12月29日 上午 09:43
  • 不好意思

    我問題可能沒有描述的很清楚

    其實我最在意的問題是

    我改完密碼後,新密碼可以立刻使用,這沒有問題

    可是為什麼舊密碼還可以使用

    ------------------------------------------------------------

    那這段期間密碼是如何進行驗證的?

    2006年12月29日 上午 10:49