Kennwort kann zu diesem Zeitpunkt nicht geändert werden

[Lord Rayden 10]

Habe da ein kleines Problem, und habe Versucht etwas zu finden. Fehlanzeige.

 

Habe seit längerem ein merkwürdiges Problem und zwar können die User nur sporadich ihre Kennwörter ändern und bekommen die oben gennante Meldung wenn sie es versuchen. :shock:

 

Habe Server 2000 SP4 im Einsatz und Windows XP als WS.

 

Weis leider nicht genau woran das liegt, habe alles mir bekannte überprüft und bin zu keinem ergebnis gekommen.

 

Meine DCs sind alle erreichbar und die User haben das rescht ihre Kennwörter zu ändern, ich stelle nur fest das ich im Systemprotokoll eine 1202 SecCli Meldung bekomme und im Securityprotokoll eine 627 . :mad:

 

Habe darauf hin rechachiert was es sein könnte aber alles was ich gefunden habe traf nicht zu. Es ist kein Hack angriff, die User sind nicht gesperrt und LM bzw. NTLM laufen korrekt.

 

Kann mir jemand sagen was da los ist?

[lefg 276]

Hallo

 

ich bin mir da nicht sicher, könnte es an der Replikation liegen?

 

Kann das AD während einer Replikation geändert werden?

 

Was ist mit dem Globalen Katalog, ist der vorhanden? Sagt eine Fehlermeldung (Eventlog) etwas über ein Problem mit dem GC aus?

 

Gruß

 

Edgar

[Lord Rayden 10]

Der globale Katalog ist vorhanden und erreichbar, mit der Replikation sit mir bisher nichts aufgefallen.

Kann es vielleicht an der art und weise liegen wie die Clients versuchen den Server zu kontaktieren um das Kennwort zu ändern?

[yoko 10]

Hi!

Es gibt bei den Kennwortrichtlinien einen Punkt wo Kennwörter nur einmal in 24 Stunden geändert werden dürfen oder je nach dem welche Zeitangabe eingestellt ist. Weiß aber momentan nicht wie das Setting genau heißt muss erst mal schauen! Auf jeden Fall kommt dann genau diese Meldung!

[Christoph35 10]

Diese Richtlinie findet man unter Def.-Domain Policy/Computer-Einstellungen/Windows-Einstellungen/Sicherheits-Einstellungen/Kontorichtlinien/Kennwort-Richtlinien/Minimales Kennwortalter.

 

Christoph

[Lord Rayden 10]

Den Punkt habe ich auch gecheckt, dummerweise hat keine Änderung in den letzten 24 h stattgefunden, wurde nur mehrfach probiert es zu ändern.

 

Die betroffenen Nutzer versuchen schon seit längerem die kennwörter zu ändern (mehrere Wochen). und bekommen immer diese Meldung.

[Letze01 10]

Hay hay,

 

hast Du mal versucht, die Kennwortänderung zu erzwingen?

[Lord Rayden 10]

Als Administrator kann ich das kennwort ändern, aber eigentlich sollten das die User machen.

[Letze01 10]

Hay hay,

 

hab mich wohl unverständlich ausgedrückt, sorry. Ich meinte, dass Du zu Testzwecken mal bei einem Benutzer den Haken setzt "Benutzer muss Kennwort bei nächster Anmeldung ändern"

[atze_wellblech 10]

die Fehlermeldung läßt eigentlich nur darauf schließen, das die oben genannte Richtlinie definiert ist und auch angewandt wird

 

Du hast geschrieben sie steht so in der Default Domain Policy, aber welcher Wert ist dort eingetragen?

 

ist diese Richtlinie manchmal noch in einer anderen GPO definiert worden?

[grizzly999 11]

Die Fehlersymptomatic scheint mir etwas untersucht :( 8Oder hast du uns Sachen verschwiegen :suspect: )

 

Betrifft es alle User oder nur einige?

Wenn nur einige: Sind es immer dieselben User, die diese Meldung erhalten?

Wenn ja, was haben die gemeinsam, sind die in der selben OU oder innerhalb der selben OU-Struktur?

Erhalten diese Benutzer die Meldung an jedem Client der Domäne?

Können Benutzer, die keine Probleme mit der Kennwortänderung haben, ihre Kennwörter an den Rechnern ändern, wo die anderen den Fehler erhalten?

Event ID 1202 und 627, wann kommen die? Direkt nach dem Versuch der Kennwortänderung? Wenn ja, wie lautet die genaue Fehlermeldung?

Wenn es nur einige sind: Bekommt irgend eine User mit dem Problem genau die selben Gruppenrichtlinien wie einer, bei dem es geht?

Wenn nicht, haben die betroffenen User- oder auch Rechner, je nach Antwort oben- Richtlinien gemeinsam, die die anderen ohen Probleme nicht haben.

Überwachung auf den DCs schon eingeschaltet und geschaut, was bei einem Fehlversuch im Log steht?

 

Das mal für den Anfang. Du siehst, man kann sowas auch systematisch angehen

 

grizzly999

[Lord Rayden 10]

Die Policy ist mit 24h gesetzt aber die habe ich mehrmals abgewartet und ich bekomme immer noch diese Meldung. Ich bin wirklich ratlos.

 

Werde mal versuchen die Kennwort änderung zu erzwingen, mal sehen was passiert.

[Lord Rayden 10]

@grizzly

 

Also die GPO ist gesetzt in der Domain Default Policy. Sie wird bei allen angewannt, nur bei einigen Usern kommt diese Meldung. Habe dann die entsprechenden Rechner gepatcht (Server natürlich auch). Ergebnis das gleiche.

Andere User haben sich nicht an den betroffenen Rechnern Angemeldet und Versucht das Kennwort zu ändern, da dies nicht gewünscht ist.

Es sind nicht immer dieselben User bei denen das auftritt. Es ist sporadisch.

Die Event ID 1202 und 627 kommen immer diereckt bei dem Versuch das Kennwort zu ändern, mit dem entsprechenden Kontonamen. Die Event ID erscheinen im Security Log da die Überwachung eingeschaltet ist. Die genaue Fehlermeldung kann ich im Moment nicht wiedergeben da die logs während der täglichen Arbeiten gelöscht wurden.