Problembehandlung

Welches Problem ist aufgetreten?

Der Benutzer kann sich nach dem Ändern des Windows-Kennworts nicht beim UNIX-System anmelden

Ursache:  Windows meldet keinen Fehler, wenn beim Versuch, ein UNIX-Kennwort mit einem neuen Windows-Kennwort zu synchronisieren, Fehler auftreten.

Lösung:  Überprüfen Sie im Windows-Ereignisprotokoll, warum die versuchte Kennwortänderung auf dem UNIX-System fehlerhaft ist.

Scheinbar zufällig auftretende Fehler beim Synchronisieren von Kennwörtern in einer Windows-Domäne

Ursache:  Die Kennwortsynchronisierung wurde nicht auf allen Domänencontrollern in der Domäne identisch konfiguriert. Wenn daher ein nicht übereinstimmender Domänencontroller die Änderung eines Benutzerkennworts akzeptiert, kann das Kennwort auf UNIX-Computern möglicherweise dennoch nicht geändert werden.

Lösung:  Vergewissern Sie sich, dass die Kennwortsynchronisierung auf allen Domänencontrollern identisch konfiguriert ist, insbesondere in Bezug auf Hosteinstellungen und Standardeinstellungen für Verschlüsselungsschlüssel und Ports.

Das Benutzerkennwort wurde auf manchen, aber nicht auf allen Computern geändert

Ursache:  Kennwortrichtlinien haben auf bestimmten Computern eine stärker beschränkende Wirkung, Benutzernamen auf Windows- und auf UNIX-Computern stimmen nicht überein oder das Kennwort wurde vom Benutzer auf einem UNIX-Computer geändert, obwohl die bidirektionale Synchronisierung nicht eingerichtet war.

Lösung:  Stellen Sie sicher, dass die Windows- und UNIX-Computer, die zum Synchronisieren der Kennwörter verwendet werden, ähnliche Kennwortrichtlinien haben. Andernfalls wird das neue Kennwort unter Umständen vom stärker restriktiven System nicht akzeptiert, wenn der Benutzer das Kennwort auf dem weniger restriktiven Computer ändert. Kennwortrichtlinien zur Steuerung der Mindestlänge und der maximalen Länge, der gemischten Verwendung von Groß- und Kleinschreibung und von alphanumerischen Zeichen, des Ablaufdatums und der Wiederverwendung müssen auf den Windows- und UNIX-Computern, die zum Synchronisieren von Kennwörtern verwendet werden, so ähnlich wie möglich sein. Außerdem müssen Administratoren für Windows- und UNIX-Systeme sicherstellen, dass die Benutzernamen auf den Windows- und UNIX-Computern identisch sind. (Dabei ist auch die Groß- und Kleinschreibung zu beachten.)

Die Fehler-ID 4104 wird im Ereignisprotokoll für ein Systemkonto aufgezeichnet, dessen Name in der Regel mit einem Dollarzeichen ($) endet

Ursache:  Dieser Fehler weist nicht auf ein Problem hin. Dieser Fehler wird im Protokoll aufgezeichnet, wenn ein Sicherungsdomänencontroller oder ein Server in einer Domäne den sicheren Kanal in der Domäne zurücksetzt. In diesem Fall wird auch das Serverkennwort zurückgesetzt. Da diese Anforderungen zum Ändern des Kennworts für Computerkonten und nicht für Benutzer- oder Gruppenkonten gedacht sind, fängt sie die Kennwortsynchronisierung ab und meldet die Fehlerkennung 4104.

Lösung:  Es sind keine Korrekturmaßnahmen erforderlich.

Nach der Installation der Kennwortsynchronisierung wird in der Ereignisanzeige eine Fehlermeldung zum Verschlüsselungsschlüssel aufgezeichnet

Ursache:  Dieser Fehler weist nicht auf ein Problem hin. Damit soll der Administrator der Kennwortsynchronisierung daran erinnert werden, den Standardverschlüsselungsschlüssel zu ändern. Das Ändern des Standardverschlüsselungsschlüssels wird für die Kennwortsynchronisierung aus Sicherheitsgründen empfohlen, um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf Kennwörter erlangen. Der Text dieser Fehlermeldung lautet in der Regel "Der standardmäßige Verschlüsselungsschlüssel ist unsicher. Generieren Sie einen neuen Verschlüsselungsschlüssel." Weitere Empfehlungen finden Sie unter Empfehlungen zur Kennwortsynchronisierung.

Lösung:  Legen Sie einen neuen Verschlüsselungsschlüssel fest. Verwenden Sie dazu das unter Festlegen des Verschlüsselungsschlüssels für Kennwörter beschriebene Verfahren.

SSOD (Single Sign-On Daemon) kann unter Linux nicht mithilfe des Befehls "kill -TERM" beendet werden

Ursache:  Dies ist eine bekannte Beschränkung.

Lösung:  Verwenden Sie stattdessen kill 9 SSOD_PID.