Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Registrierungswert beschrieben, den Administratoren verwenden können, um zu steuern, wann der primäre Domänencontroller (PDC) kontaktiert wird, was dazu beitragen kann, die Kommunikationskosten zwischen Websites zu reduzieren und die Last auf die PDC zu reduzieren.
Wichtig
Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie Änderungen an der Registrierung vornehmen, erstellen Sie eine Sicherungskopie, und stellen Sie sicher, dass Sie genau wissen, wie die Registrierung im Falle eines Problems wiederhergestellt wird. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Informationen über die Windows-Registrierung für erfahrene Benutzer.
Ursprüngliche KB-Nummer: 225511
Übersicht
Wenn ein Benutzerkennwort zurückgesetzt oder geändert wird oder ein Domänencontroller eine Clientauthentifizierungsanforderung mit einem falschen Kennwort empfängt, wird der Windows-Domänencontroller als PDC Flexible Single Master Operation (FSMO)-Rollenbesitzer für die Windows-Domäne kontaktiert. In diesem Artikel wird ein Registrierungswert beschrieben, den Administratoren verwenden können, um zu steuern, wann die PDC kontaktiert wird. Dies kann dazu beitragen, die Kommunikationskosten zwischen Websites zu reduzieren und die Last des PDC zu verringern.
Diese Kommunikation mit dem PDC erfolgt nicht für Computerkonten. Computer wiederholen die Authentifizierung mit dem letzten vorherigen Kennwort, wenn die Authentifizierung fehlschlägt. In derselben Zeile würden die Computer beim Entschlüsseln eines empfangenen Kerberos-Diensttickets das neueste vorherige Kennwort ausprobieren.
Weitere Informationen
Warnung
Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Der folgende Registrierungswert kann geändert werden, um die Kennwortänderungsbenachrichtigung und die Kennwortkonfliktauflösung wie unten beschrieben zu steuern:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
- Registrierungswert: AvoidPdcOnWan
- Registrierungstyp: REG_DWORD
- Registrierungswertdaten: 0 (oder wert nicht vorhanden) oder 1
- 0 oder wert nicht vorhanden = FALSE (zum Deaktivieren)
- 1 = TRUE (zum Aktivieren)
- Standard: (Wert ist nicht vorhanden)
Kennwortänderungsbenachrichtigung
Ein beschreibbarer Windows-Domänencontroller empfängt die Änderung des Benutzerkennworts oder die Zurücksetzungsanforderung. Die Kennwortänderung wird lokal vorgenommen und dann sofort an den BESITZER der PDC FSMO-Rolle gesendet, indem der Netlogon-Dienst als Remoteprozeduraufruf (REMOTE Procedure Call, RPC) verwendet wird. Die Kennwortänderung wird dann mithilfe des Active Directory-Replikationsprozesses von PDC und Domänencontroller (DC) repliziert, die die Kennwortänderung gewartet. Wenn ein Windows Read-Only-Domänencontroller (RODC) die Kennwortänderungsanforderung empfängt, funktioniert er wie ein Authentifizierungsproxy, der die Anforderung an den Hub-DC weiterleitet, der so fungiert, als wäre es der erste DC, der die Anforderung empfängt.
Wenn der Wert "AvoidPdcOnWan" auf "TRUE" festgelegt ist und sich der PDC FSMO an einem anderen Standort befindet, wird die Kennwortänderung nicht sofort an die PDC gesendet. Es wird jedoch mit der Änderung über die normale Active Directory-Replikation aktualisiert. Wenn sich die PDC FSMO an demselben Standort befindet, wird der Wert "AvoidPdcOnWan" nicht verwendet, und die Kennwortänderung wird sofort an die PDC übermittelt.
Ein aktualisiertes Kennwort kann nicht an den PDC-Emulator gesendet werden, auch wenn "AvoidPdcOnWan" FALSCH ist oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an die PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall ist kein Fehler protokolliert. Das Update wird dann mithilfe der normalen AD-Replikation verteilt.
Konfliktlösung für Kennwörter
Standardmäßig fragen Windows-Domänencontroller den PDC FSMO-Rollenbesitzer ab, wenn ein Benutzer versucht, sich mit einem Kennwort zu authentifizieren, das gemäß seiner lokalen Datenbank falsch ist. Wenn das vom Client vom Benutzer gesendete Kennwort auf dem PDC korrekt ist, ist der Client zugriff erlaubt, und der Domänencontroller repliziert die Kennwortänderung.
Der Wert "AvoidPdcOnWan" kann von Administratoren verwendet werden, um zu steuern, wann Active Directory-Domänencontroller versuchen, den PDC FSMO-Rollenbesitzer zum Beheben von Kennwortkonflikten zu verwenden. Der PDC schließt die Anmeldung ab, und die Authentifizierung ist für den authentifizierten Benutzer erfolgreich.
Wenn der Wert "AvoidPdcOnWan" auf "TRUE" festgelegt ist und sich der Besitzer der PDC FSMO-Rolle an einem anderen Standort befindet, versucht der Domänencontroller nicht, einen Client mit Kennwortinformationen zu authentifizieren, die auf dem PDC FSMO gespeichert sind. Beachten Sie jedoch, dass dies dazu führt, dass der Zugriff auf den Benutzer verweigert wird. Dies kann zu einer Produktivitätsbeeinträchtigung führen, da viele Benutzer nicht versuchen werden, das vorherige Kennwort zur Authentifizierung zu authentifizieren. In einigen Szenarien kennen sie möglicherweise nicht das vorherige Kennwort.
Ein falsches Kennwort kann nicht beim PDC-Emulator versucht werden, auch wenn "AvoidPdcOnWan" FALSCH ist oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall ist kein Fehler protokolliert. Der Anmeldeversuch wird in diesem Fall verweigert.
Das Szenario unterscheidet sich, wenn ein RODC beteiligt ist. Wenn eine Authentifizierungsanforderung auf dem RODC mit einem ungültigen Kennwort fehlschlägt, sendet der RODC die Anforderung an den Hub-DC, und wiederum sendet der Hub-DC ihn an den PDC. Wenn es auf dem PDC erfolgreich ist, wird die Benutzerauthentifizierung erfolgreich ausgeführt. Wenn der RODC das Benutzerkennwort zwischenspeichern darf, fordert es das Benutzerkennwort auf, von seinem Hub-DC repliziert zu werden. Aber der Hub-DC hat auch immer noch das alte Kennwort. Die RODC ruft nur das neue Kennwort über den normalen Replikationszyklus ab. Es benötigt weiterhin den Hub oder die PDC, bis das neue Kennwort repliziert wird.
Kennwortreplikationsbehandlung
Wenn der schreibbare DC die Kennwortänderung an den PDC weiterleitet, wird das Benutzerkennwort auf beiden DCs festgelegt. Beide DCs enthalten dieses neue Kennwort in der ausgehenden Replikation.
Wenn diese beiden Änderungen zu einem DC kommen, wird die normale AD-Konfliktauflösung ausgeführt. Die AD-Version von Attributen ist identisch, der Zeitstempel des PDC ist jedoch etwas älter, und das Kennwort des ursprünglichen DC wird verwendet.
Es macht keinen Unterschied, da die Datennutzlast identisch ist, da beide DCs den gleichen neuen Kennwortwert geschrieben haben.
Protokollierung im Ereignisprotokoll "Verzeichnisdienste"
Windows Server 2022 hat Ereignisse hinzugefügt, um die Aktivität von Interaktionen mit dem PDC-Emulator bezüglich Kennwortaktualisierungsbenachrichtigungen nachzuverfolgen.
Ereignis-ID 3035
Die Ereignis-ID 3035 wird bei der PDC auf Protokollierungsebene vier der Kategorie "27 PDC-Kennwortaktualisierungsbenachrichtigungen" im folgenden Registrierungseintrag protokolliert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3035
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Ereignis-ID 3036
Ereignis-ID 3036 wird protokolliert, wenn beim Aktualisieren des PDC mit den Updates in einem Aufruf von einem Sicherungsdomänencontroller (BDC) ein Fehler auftritt:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3036
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Error: <Error Code>
Wichtig
Ereignis-ID 3036 mit Fehlercode 8440 kann auf PDCs mit Windows Server 2022 oder höher angezeigt werden, wenn eine Kennwortaktualisierungsbenachrichtigung von einem BDC unter Windows Server 2019 oder einer früheren Version verarbeitet wird. Aufgrund dieser neueren PDC- und älteren BDC-Kombination tritt Ereignis-ID 3036 mit Fehlercode 8440 auf dem PDC auf, wenn der BDC eine Kennwortaktualisierungsbenachrichtigung für ein neues Benutzerkonto sendet, das noch nicht in den PDC repliziert wurde. Um dieses Problem zu verhindern, führen Sie ein Upgrade des BDC auf Windows Server 2022 oder höher durch.
Ereignis-ID 3037
Die Ereignis-ID 3037 wird auf der Protokollierungsebene vier der Kategorie "27 PDC-Kennwortaktualisierungsbenachrichtigungen" im folgenden Registrierungseintrag angemeldet:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3037
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
User: <User Name>
User RID: <RID>
Ereignis-ID 3038
Ereignis-ID 3038 wird protokolliert, wenn beim Aktualisieren der PDC mit den Updates in einem Aufruf von einem BDC ein Fehler auftritt:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3038
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
User: <User Name>
User RID: <RID>
Error: <Error Code>
Der Fehlercode c0000225 wird beispielsweise STATUS_NOT_FOUND zugeordnet. Dieser Fehler wird erwartet, wenn der Benutzer neu auf dem lokalen Domänencontroller erstellt wird und das Kennwort des Benutzers innerhalb der Replikationslatenz des PDC festgelegt wird.
Möglicherweise werden auch Netzwerk- oder RPC-bezogene Fehler in der Ereignis-ID 3038 angezeigt. Wenn beispielsweise eine Firewall die Kommunikation zwischen BDC und PDC blockiert, erhalten Sie dieses Ereignis möglicherweise.
References
Konfigurieren der Active Directory- und LDS-Diagnose-Ereignisprotokollierung