Kennwortänderungs- und Konfliktlösungsfunktionen in Windows

In diesem Artikel wird ein neuer Registrierungswert beschrieben, mit dem der Administrator steuern kann, wann die PDC kontaktiert wird, wodurch die Kommunikationskosten zwischen Websites reduziert werden können.

Wichtig

Dieser Artikel enthält Informationen zum Ändern der Registrierung. Bevor Sie die Registrierung ändern, müssen Sie sie sichern, und stellen Sie sicher, dass Sie wissen, wie die Registrierung wiederhergestellt wird, wenn ein Problem auftritt. Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie unter den Informationen zur Windows-Registrierung für erweiterte Benutzer.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   225511

Zusammenfassung

Wenn ein Computerkontokennwort oder ein Benutzerkennwort geändert wird oder ein Domänencontroller eine Clientauthentifizierungsanforderung mit einem falschen Kennwort empfängt, wird standardmäßig der Windows-Domänencontroller, der als Besitzer der Flexible Single Master Operation (FSMO) des primären Domänencontrollers (PDC) für die Windows-Domäne agiert, kontaktiert. In diesem Artikel wird ein neuer Registrierungswert beschrieben, mit dem der Administrator steuern kann, wann die PDC kontaktiert wird, wodurch die Kommunikationskosten zwischen Websites reduziert werden können.

Weitere Informationen

Warnung

Wenn Sie den Registrierungseditor falsch verwenden, können schwerwiegende Probleme auftreten, die eine Neuinstallation des Betriebssystems erforderlich machen können. Microsoft kann nicht garantieren, dass Sie Probleme beheben können, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors resulten. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Der folgende Registrierungswert kann geändert werden, um die Kennwortbenachrichtigung und die Kennwortkonfliktlösung wie unten beschrieben zu steuern:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

  • Registrierungswert: AvoidPdcOnWan
  • Registrierungstyp: REG_DWORD
  • Registrierungswertdaten: 0 (oder nicht vorhandener Wert) oder 1
    • 0 oder Wert nicht vorhanden = FALSE (zu deaktivieren)
    • 1 = TRUE (aktiviert)
  • Standard: (Wert nicht vorhanden)
  • Plattform: Nur Windows 2000-Domänencontroller

Kennwortänderungsbenachrichtigung

Standardmäßig werden Änderungen des Computerkontokennworts und des Benutzerkennworts sofort an das PDC FSMO gesendet. Wenn in einer Domäne mit gemischtem Modus ein Windows NT 4.0-Domänencontroller die Anforderung empfängt, wird der Client an den BESITZER der PDC-FSMO-Rolle (bei dem es sich um einen Windows 2000-basierten Computer handelt) gesendet, um die Kennwortänderung vornimmt. Diese Änderung wird dann mithilfe der Active Directory-Replikation auf andere Windows 2000-Domänencontroller und über den Abwärtsreplikationsprozess auf Domänencontroller auf unterer Ebene repliziert. Wenn ein Windows 2000-Domänencontroller die Anforderung empfängt (entweder im gemischten oder nativen Modus), wird die Kennwortänderung lokal vorgenommen und sofort mithilfe des Netlogon-Diensts an den Besitzer der PDC-FSMO-Rolle in Form eines Remoteprozeduraufrufs (Remote Procedure Call, RPC) gesendet, und die Kennwortänderung wird dann mithilfe des Active Directory-Replikationsprozesses an seine Partner repliziert. Domänencontroller auf unterer Ebene replizieren die Änderung direkt vom PDC FSMO-Rollenbesitzer.

Wenn der Wert "AvoidPdcOnWan" auf "TRUE" festgelegt ist und sich das PDC FSMO an einem anderen Standort befindet, wird die Kennwortänderung nicht sofort an die PDC gesendet. Sie wird jedoch über die normale Active Directory-Replikation über die Änderung benachrichtigt, die sie wiederum auf Domänencontroller auf unterer Ebene repliziert (wenn sich die Domäne im gemischten Modus befindet). Wenn sich das PDC FSMO am gleichen Standort befindet, wird der Wert "AvoidPdcOnWan" ignoriert, und die Kennwortänderung wird sofort an den PDC kommuniziert.

Ein aktualisiertes Kennwort wird möglicherweise nicht an den PDC-Emulator gesendet, auch wenn AvoidPdcOnWan FALSE ist oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall wird kein Fehler protokolliert. Das Update wird dann mithilfe der normalen AD-Replikation verteilt.

Kennwortkonfliktlösung

Standardmäßig fragen die Windows-Domänencontroller den PDC -FSMO-Rollenbesitzer ab, wenn ein Client versucht, sich mit einem Kennwort zu authentifizieren, das gemäß seiner lokalen Datenbank falsch ist. Wenn das vom Client gesendete Kennwort auf dem PDC als korrekt gefunden wird, wird dem Client der Zugriff gestattet, und der Domänencontroller repliziert die Kennwortänderung.

Der Wert "AvoidPdcOnWan" kann von Administratoren verwendet werden, um zu steuern, wann Active Directory-Domänencontroller versuchen, den PDC -FSMO-Rollenbesitzer zum Beheben von Kennwortkonflikten zu verwenden.

Wenn der Wert "AvoidPdcOnWan" auf "TRUE" festgelegt ist und sich der PDC -FSMO-Rollenbesitzer an einem anderen Standort befindet, versucht der Domänencontroller nicht, einen Client für Kennwortinformationen zu authentifizieren, die im PDC FSMO gespeichert sind. Beachten Sie jedoch, dass dies dazu führt, dass der Zugriff auf den Client verweigert wird.

Ein falsches Kennwort wird möglicherweise nicht im PDC-Emulator ausprobiert, auch wenn AvoidPdcOnWan FALSE ist oder nicht festgelegt ist, wenn Probleme beim Senden der Anforderung an den PDC auftreten, z. B. ein Netzwerkausfall. In diesem Fall wird kein Fehler protokolliert. Der Anmeldeversuch wird in diesem Fall abgelehnt.