Вопрос или проблема
Администратору сетевого домена с единственным контроллером домена Microsoft Active Directory 2019 необходимо сбросить пароль для определенных пользователей домена. Для этого он выбирает пользователя из списка и выбирает “Сброс пароля”, а при установке временного пароля, который будет выдан пользователю, он отмечает опцию “Пользователь должен изменить пароль при следующем входе”.
Когда пользователь пытается войти в систему, ему предлагают изменить пароль – как и ожидалось – однако, при попытке изменить пароль процесс завершился неудачей с выводом следующей ошибки:
информация о конфигурации не может быть прочитана с контроллера домена, либо потому что машина недоступна, либо доступ был запрещен.
Я прочитал много статей по этой проблеме. Некоторые утверждали, что после установки обновления это стало проблемой, однако я не смог найти реальный ответ ни здесь, ни где-либо еще. Мой контроллер домена действительно доступен, а компьютеры, на которых пользователь пытается войти, являются частью домена. Звучит так, что это, возможно, не проблема с файрволом.
-
Имейте более одного контроллера домена, всегда
-
Вы смотрели журналы событий на контроллере домена? В частности, журнал безопасности?
-
Если вы посмотрите на атрибут
pwdLastSetв учетной записи пользователя, показывает ли он дату, когда пользователь пытался изменить пароль? Или это была ваша смена? -
Связываются ли пользователи по проводной сети или беспроводной? Если у вас есть любые файрволы между клиентскими компьютерами и контроллерами домена, показывают ли они заблокированный трафик? Порты, указанные здесь, ДОЛЖНЫ быть открыты между контроллерами домена и клиентами. Обратите внимание, что некоторые из этих портов используют UDP, включая порт для изменения паролей Kerberos.
-
Могут ли пользователи менять свои пароли до истечения срока их действия?
-
Есть ли у вас машина, с которой вы можете протестировать и увидеть, можете ли вы воспроизвести эти проблемы с обычной учетной записью пользователя? Предпочтительно, чтобы она находилась в той же сети, что и машины пользователей. Если они оставляют свои машины в офисе и вы можете получить к ним удаленный доступ, попробуйте протестировать одну из них после рабочего времени.
-
Есть ли какие-либо связанные ошибки в системных или безопасности журналах на клиентских машинах?
В моем случае контроллер домена был недоступен, поскольку ПК не мог подключиться к VPN, потому что пароль истек…
Решение заключалось в том, чтобы попробовать войти в онлайн Outlook Web Access. Там меня попросили изменить пароль, и затем я смог войти в VPN.
Ответ или решение
Ошибка при смене пароля в домене: "Конфигурационная информация не может быть прочитана с контроллера домена"
Введение
В процессе управления учетными записями пользователей в доменной сети на базе Microsoft Active Directory 2019 иногда возникают проблемы при попытке сбросить пароль и заставить пользователя изменить его при следующем входе. Одна из таких распространенных ошибок звучит как: "Конфигурационная информация не может быть прочитана с контроллера домена, либо потому что машина недоступна, либо доступ был запрещен". Давайте подробно рассмотрим возможные причины этого ошибки и предложим решения.
Причины проблемы
-
Проблемы с доступом к контроллеру домена: Убедитесь, что сетевое подключение к контроллеру домена активно. Если Клиентская машина как-то изолирована (например, отключение от VPN или проблемные сетевые настройки), это может препятствовать доступу к необходимым ресурсам.
-
Настройки VPN: Как показал ваш случай, пользователь не мог подключиться к VPN из-за истечения срока действия пароля, что также является причиной невозможности смены пароля. Для решения этой проблемы рекомендуется использовать веб-портал, например, Outlook Web Access, где пользователь может изменить пароль.
-
Обновления системы: Некоторые обновления Windows могут оказывать влияние на аутентификацию и управление паролями. Обратите внимание на журналы событий на контроллере домена, чтобы выявить ошибки, которые могут быть связаны с недавними установками обновлений.
-
Лог-файлы событий: Просмотрите журналы событий на контроллере домена, особенно в разделе "Безопасность". Это поможет выявить, есть ли ошибки, связанные с доступом учетной записи или аутентификацией.
-
Атрибут
pwdLastSet: Проверьте значение этого атрибута у учетной записи пользователя. Оно должно отображать дату, когда пользователь пытался изменить пароль. -
Проверка сетевого оборудования: Убедитесь, что межсетевые экраны (firewalls) и другие устройства в сети правильно настроены и не блокируют трафик между клиентами и контроллером домена. Важно, чтобы все необходимые порты (включая порты для Kerberos) оставались открытыми.
-
Тестирование на локальном уровне: Попробуйте воспроизвести проблему на рабочей машине с учетной записью обычного пользователя. Это может помочь прояснить, встречается ли проблема только с конкретной учетной записью или она более широко распространена.
Решения для устранения проблемы
-
Перезапуск VPN-соединения: Если у пользователя возникают проблемы с доступом к VPN, убедитесь, что он может поменять пароль через другие доступные методы, чтобы восстановить доступ.
-
Настройка механизмов аутентификации: Убедитесь, что все необходимые протоколы и порты открыты для связи со службой аутентификации.
-
Проверка наличия дополнительных контроллеров домена: Наличие нескольких контроллеров домена может повысить доступность и отказоустойчивость.
-
Проверка журналов событий: Регулярный мониторинг журналов событий системы может помочь в диагностике и помощи в будущем.
-
Поддержка пользователей: Обучение пользователей тому, как использовать веб-формы для изменения паролей, может минимизировать их зависимость от проблем VPN.
Заключение
Ошибка "Конфигурационная информация не может быть прочитана с контроллера домена" может быть вызвана множеством факторов, включая проблемы с интернет-соединением, настройками VPN и конфигурацией аутентификации. Понимание самого источника проблемы и выполнение предложенных шагов может помочь быстро и эффективно ее устранить. Советуем регулярно проверять состояние системы и проводить обучение пользователей для предотвращения подобных проблем в будущем.