Обновление пароля AD FS не работает (PasswordValidationError)

Если вы установили и настроили ADFS 3.0 (Windows 2012 R2). Аутентификация моего веб-приложения с помощью ADFS работает правильно, однако, когда я хочу обновить/изменить свой пароль, я получаю эту ошибку на странице входа в ADFS:

«Новый пароль не установлен. Обратитесь к системному администратору» (перевод с голландского)

В средстве просмотра событий это событие ошибки регистрируется на сервере ADFS (идентификатор события 407):

Не удалось изменить пароль для следующего пользователя:

Дополнительная информация

Пользователь: @

Сервер, на котором была предпринята попытка смены пароля: .domain.local Сведения об ошибке:

PasswordValidationError

Трассировка отладки ADFS выдает следующие 2 события ошибки (идентификатор события 53):

PasswordUtil.ChangePassword: ошибка операции с каталогом для пользователя, исключение System.DirectoryServices.Protocols.DirectoryOperationException: значение в запросе недопустимо.

в System.DirectoryServices.Protocols.LdapConnection.ConstructResponse (Int32 messageId, операция LdapOperation, ResiltAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)

а также

PasswordUtil.ChangePassword: не удалось изменить пароль на сервере с ошибкой Microsoft.IdentityServer.Service.PasswordManagment.PasswordChangeException: было выдано исключение типа «Microsoft.IdentityServer.Service.PasswordManagment.PasswordChangeException».

в Microsoft.IdentityServer.Service.PasswordManagment.PasswordUtil.ChangePassword (строка userName, SecureString oldPassword, SecureString новый пароль)

Это исправление не нужно устанавливать, потому что dll старше, чем на нашем сервере ADFS (https://support.microsoft.com/en-us/kb/3035025)

Конечная точка для обновления паролей в adfs включена (в противном случае я не получил экран обновления пароля).

В вьювере событий ДК есть информационные события, говорящие о попытке смены пароля, которая регистрируется, а также о смене пароля не через ADFS. Кажется, что учетная запись службы ADFS хочет изменить пароль, который я хотел изменить, поэтому я сделал учетную запись службы ADFS администратором домена, но это не решает проблему, и я получаю те же ошибки.

В Интернете не нашел много ни adfs eventid 407 или 53.

Кто-нибудь сталкивается с теми же проблемами, что и я?


passwords adfs3.0
person Mark van der Harst    schedule 12.08.2015    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я решил проблему сам (с помощью Microsoft). Сообщение об ошибке «passwordvalidationerror» вводит в заблуждение, я думал, что оно указывает на ошибку связи между AD и ADFS. Но дело в том, что это сообщение об ошибке выдается, когда ваш новый пароль не соответствует вашей политике паролей. Мы обнаружили, что в политике паролей учетных записей указано, что «минимальный срок действия пароля» составляет 21 день. Учетные записи, которые мы тестировали, имели пароли, которым еще не исполнился 21 день. Поэтому имейте в виду, что если вы хотите изменить свой пароль с помощью ADFS, а ваш новый пароль не соответствует политике паролей вашей компании, сообщение EvenViewer будет «passwordvalidationerror» и проверьте свои политики паролей, введя следующую команду в командной строке: net account .

person Mark van der Harst    schedule 15.09.2015