Kennwort zurücksetzen eines Benutzers durch den Administrator im AD sehr verzögert.

Question

Fehlerbeschreibung:

Sobald auf neu installierte Windows Server 2019 oder 2022 Domain Controller die PDC Rolle Rolle verschoben wird, ist ein Passwortreset durch Clients an anderen Standorten oder der MMC von anderen 2019 oder Server 2022 Domain Controller an anderen Standorten per Netlogon/RPC nicht mehr möglich. Eine Passwortänderung über die MMC eines BDC friert ein (bis der RPC Netlogon Call in Timeout gelaufen ist), danach wird die Passwortänderung über den normalen Active Directory-Replikationsprozess durchgeführt.

Microsoft beschreibt dem Prozess einer Passwortänderung in folgendem Artikel.

Benachrichtigung zur Kennwortänderung

Ein beschreibbarer Windows-Domänencontroller empfängt die Anforderung zum Ändern oder Zurücksetzen des Benutzerkennworts. Die Kennwortänderung wird lokal vorgenommen und dann sofort an den Besitzer der PDC-FSMO-Rolle gesendet, indem der Netlogon-Dienst als Remoteprozeduraufruf (RPC) verwendet wird. Die Kennwortänderung wird dann mithilfe des Active Directory-Replikationsprozesses an Partner repliziert, indem sowohl der PDC als auch der Domänencontroller (DC) die Kennwortänderung verwalten.

….

Ein aktualisiertes Kennwort wird möglicherweise nicht an den PDC-Emulator gesendet, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall wird kein Fehler protokolliert. Das Update wird dann mithilfe der normalen AD-Replikation verteilt.

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/password-change-processing-conflict-resolution-function#password-change-notification

Wenn der Passwortänderung von einem alten Windows Server 2012R2 DC ausgeführt wird, funktioniert der Prozess ohne Probleme. Wird die PDC-FSMO Rolle auf den Windows Server 2012R2 Domain Controller verschoben, funktioniert der Prozess für alle Domaincontroller ebenfalls erfolgreich.

Zur Analyse wurde auf dem Windows Server 2022 Wireshark installiert, dieser hielt zum Zeitpunkt der Analyse die PDC Rolle. Es wurden 2 Passwortänderungen ausgeführt und separat per Wireshark mitgeschnitten.

Aufnahme : Erfolgreiche Passwortänderung an den PDC über den Windows Server 2012R2 BDC (Source IP: )

Aufnahme : Fehlerhafte Passwortänderung an den PDC über einen Windows Server 2019 BDC  (Source IP: )

In den Wireshark aufnahmen ist sichtbar, dass auf beiden Servern der Netlogon RPC Call erfolgreich empfangen wird. Der Server 2012R2 Netlogon Call wird erfolgreich und zeitnah verarbeitet und beantwortet. Der Server 2019 Netlogon Call wird empfangen aber nie beantwortet.

Im Eventviewer ist hierzu folgende Nachricht sichtbar

Ereignis - 3036

Active Directory Domain Services konnte eine von einem Sicherungsdomänencontroller (BDC) gesendete Kennwortaktualisierungsbenachrichtigung nicht verarbeiten.

Beim Benutzer können Authentifizierungsfehler auftreten, bis die aktualisierten Anmeldeinformationen über normale Replikationszeitpläne erfolgreich auf den PDC repliziert wurden.

BDC:      NBG-VERW-01

Benutzer:      CN=Testuser,OU=xxx,OU=xxx,OU=xxx,DC=xxx,DC=local

Benutzer-RID:  2535

Fehler:     1722

Answer 1

Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

Hallo Alexander ASH,

Vielen Dank für Ihre Beiträge in den Microsoft Community-Foren.

Es könnte ein Problem mit RPC auf dem Server 2019 sein, Sie können versuchen, das Problem basierend auf dieser Referenz zu beheben.

Behandeln des Replikationsfehlers 1722 – Windows Server | Microsoft Learn

Mit freundlichen Grüßen

Neuvi Jiang Zemin