LDAP/AD Usuário sincronizado não loga depois de trocar a senha

Support_guy · December 9, 2025, 3:10pm

Como validar qual DC utilizar para atividades do PAM em um ambiente de AD com vários DCs?

Para garantir usabilidade e consistência na integração PAM Segura Active Directory (trocas de senha, autenticação, provisionamento), é extremamente importante que o controlador de domínio (DC) alvo seja um servidor com replicação saudável e baixa latência. Ainda melhor se esse DC for o que possui a responsabilidade de PDC Emulator.

Isso pode ser validado da seguinte forma:

Acessar um PowerShell administrador e rodar:

netdom query fsmo

Validar qual máquina possui a responsabilidade de “PDC”;

image936×308 66.5 KB

De acordo com a documentação da Microsoft:

In a Windows domain, the PDC emulator role holder retains the following functions:

Password changes done by other DCs in the domain are replicated preferentially to the PDC emulator.
When authentication failures occur at a given DC because of an incorrect password, the failures are forwarded to the PDC emulator before a bad password failure message is reported to the user.
Account lockout is processed on the PDC emulator.

Isso é extremamente relevante porque a maioria dos nossos clientes com ambientes AD de grande porte se encontram no seguinte cenário:

(https://specopssoft.com/blog/how-to-change-user-passwords-in-active-directory/ )

Once the password has been successfully changed the new password will be replicated around to the other DCs using the standard replication schedule. This can sometimes result in a delay for the user when they try to use their new password.

If such a delay occurs always try to make the password change against the DC that holds the PDC emulator FSMO role and make sure that the GPO setting to check with the PDC on password failure is enabled.

In well-connected environments it is often beneficial to enable AD Change notification, this will allow AD changes to replicate much faster between DC’s located in different sites.

Quando ocorrerem erros como os abaixo, é ESSENCIAL validar a latência com os DCs, e priorizar a utilização do PDC Emulator para atividades de gestão de senhas:

Login com usuário sincronizado do AD solicita troca de senha na web após login;
Usuário realiza troca de senha e não consegue autenticar em seguida;
PAM realiza troca de senha, mas a credencial não autentica corretamente em parte da infraestrutura;

Fonte: Active Directory Flexible Single Master Operation (FSMO) roles in Windows - Windows Server | Microsoft Learn