この記事では、ユーザーが最初のサインイン時にパスワードの変更を強制された場合のパスワード ライトバックの問題をトラブルシューティングする方法について説明します。
現象
ユーザーが最初のサインイン時に必要なパスワード変更を行うと、次の警告メッセージが表示されます。
パスワードは正常に更新されましたが、サーバーが追いつくために少し時間がかかります。 数分後にもう一度サインインしてみてください。
原因
ユーザーが Microsoft Entra ID で最初のサインイン時にパスワードの変更を強制されると、パスワード ライトバック プロセスはサインインの一時パスワードを受け入れ、ユーザーに新しいパスワードの入力を求められます。 パスワード ライトバックは、オンプレミスでパスワードの変更を試み、待機します。 オンプレミスの更新が成功した場合、パスワード ライトバックは Microsoft Entra ID のパスワードの変更を試みます。 パスワード変更操作中に、パスワード ライトバックによって現在のパスワードが検証され、それぞれのディレクトリで更新される新しいパスワードが提供されます。
ただし、オンプレミスの Active Directory パスワードがリセットされた直後にサインインしようとすると、タイミングの問題によってこの警告が発生する可能性があります。 この問題は、ユーザーが ユーザーが次回ログオン時にパスワードを変更する必要があります オプションが選択されていて、ドメイン認証が Pass-through Authentication (PTA) 用に構成されている場合に発生します。
このシナリオでは、パスワード ハッシュ同期が Microsoft Entra ID への一時パスワードの同期を完了する前に、ユーザーがサインインを試みます。 ただし、PTA が構成されているため、認証はオンプレミスの Active Directoryにリダイレクトされます。 これで、ユーザーは Microsoft Entra ID に正常にサインインできるようになり、最初のサインイン時にパスワードの変更が強制されます。 パスワードの変更が成功すると、パスワード ライトバックによって、オンプレミスの Active Directoryと Microsoft Entra ID の新しいパスワードが更新されます。 ただし、サインイン メッセージに 「サーバーが追いつくには少し時間がかかります」と表示されます。これは、一時パスワードが Microsoft Entra ID の現在のパスワードと一致しなかったためです。
ソリューション
Active Directory 管理者がオンプレミスでパスワードをリセットした後、Microsoft Entra Connect はその一時パスワードを Microsoft Entra ID に同期するのに少なくとも 2 分かかります。 この警告メッセージを受け取らないようにするには、ユーザーがサインインしてパスワードを更新するまで少なくとも 2 分待つ必要があります。 これにより、パスワード ハッシュ同期が一時パスワードを同期する時間が提供されます。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。