本文深入探讨了Active Directory(AD)环境中,用户新旧密码为何可能同时有效的情况,作者Bisheng.Hu从Exchange、Windows系统管理及单点登录(SSO)角度进行分析,揭示了微软认证系统中可能存在的问题与解决方案。
上周五写了一篇名为《深度剖析修改AD用户密码的数据同步机制》的文章,其中发现在修改了AD用户密码以后,5分钟之内,新旧密码同时可用的状况。
今天微软GTSC的工程师换了两拨人做技术支持,在不断的尝试过程当中,找到了答案。
在他们不断的给出解决办法的时候,其中提供了一篇KB号为906305的文章。链接如下:
http://support.microsoft.com/kb/906305/en-us
根据KB中大致描述了问题的状况和原因,虽然这篇KB是适用于WinSrv03的,但是现在证明,在WinSrv08上同样适用。
详细情况,大家可以看KB文章(建议看英文原版,中文自动翻译简直就不是人话,机器就是机器),下面谈谈我个人的想法。
今天微软GTSC的工程师换了两拨人做技术支持,在不断的尝试过程当中,找到了答案。
在他们不断的给出解决办法的时候,其中提供了一篇KB号为906305的文章。链接如下:
http://support.microsoft.com/kb/906305/en-us
根据KB中大致描述了问题的状况和原因,虽然这篇KB是适用于WinSrv03的,但是现在证明,在WinSrv08上同样适用。
详细情况,大家可以看KB文章(建议看英文原版,中文自动翻译简直就不是人话,机器就是机器),下面谈谈我个人的想法。
同上篇文章后面jrfly331兄所提到的一样。这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。。这样,即使新密码没有生效,旧密码依然可用。其实上篇文章里的那个截图也显示出来了,我在一台海外的DC上修改密码,花了40秒钟才复制到中国的DC。所以&
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
