Global Protect Password Expiry Warning-Meldung, die früher als erwartet auf dem Computer des Clients angezeigt wird

18208

Created On 02/25/20 00:32 AM - Last Modified 03/26/21 18:07 PM

Symptom

GP Client, der früher als erwartet mit der Kennwortablaufwarnnachricht aufgefordert wird
LDAP wird für die Authentifizierung über den Active Directory Server verwendet.
AD Server hat Kennwortrichtlinien, die sowohl unter dem Standarddomänengruppenobjekt Policy als auch unter dem Feinkörnchen Kennwort mit Policy unterschiedlichen Werten für "Maximales Kennwortalter" konfiguriert sind.
authd.log zeigt, dass das maxPwdAge-Attribut vom AD Server von der Standarddomäne anstelle des GPO Feinkörnchenkennworts stammt Policy

Der Benutzer wird zu früh mit der Kennwortablaufwarnung aufgefordert, da der Wert des maximalen Kennwortalters wie folgt berechnet wird, obwohl der Benutzer Teil eines Feinkörnig-Passworts Policy ist.
- PaloAlto Networks fragt den Server nach unten ab, um das Firewall AD Ablaufdatum zu berechnen, das tatsächlich das maximale Kennwortalter aus dem Standardderwert der Domäne GPO erhält.
  Get-ADDefaultDomainPasswordPolicy
- Das Abfragen des Servers nach unten kann dazu führen, dass AD das maximale Kennwortalter von einem Feinkörnchen abgerufen Policy wird, zu dem der betreffende Benutzer gehört. Aber das ist noch nicht firewall umgesetzt.
  Get-ADUserResultantPasswordPolicy

Hinweis: Als Problemumgehung kann das Feld "Kennwortablaufwarnung" unter dem jeweiligen Authentifizierungsprofil auf Null (0) gesetzt werden, sodass die Kennwortablaufwarnung nicht von der Seite "Global Protect" aufgefordert wird. Dies kann nützlich sein, wenn es andere Methoden gibt, um die Benutzer zu AD warnen, wenn sie sich ihrem Ablaufdatum nähern.