Inleiding

In dit document wordt beschreven hoe u wachtwoordbeheer configureert met behulp van LDAP's voor AnyConnect-clients die verbinding maken met Cisco Firepower Threat Defense (FTD).

Voorwaarden

Vereisten

Cisco raadt u aan om basiskennis te hebben van deze onderwerpen:

• Basiskennis van RA VPN (Remote Access Virtual Private Network)-configuratie op FMC
• Basiskennis van LDAP-serverconfiguratie op FMC
• Basiskennis van Active Directory

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Microsoft 2012 R2-server
• FMCv met 7.3.0
• FTDv met 7.3.0

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configuratie

Netwerkdiagram en scenario

Windows-server is vooraf geconfigureerd met ADDS en ADCS om het proces voor wachtwoordbeheer van de gebruiker te testen. In deze configuratiehandleiding worden deze gebruikersaccounts gemaakt.

Gebruikersaccounts:

• Beheerder: Dit wordt gebruikt als de directory-account zodat de FTD zich kan binden aan de Active Directory-server.

• admin: Een testbeheerdersaccount dat wordt gebruikt om de gebruikersidentiteit aan te tonen.

LDAP Base DN en Group DN bepalen

1. Open hetActive Directory Users and ComputersDashboard van Serverbeheer.

2. Open hetView Optionvenster op het bovenpaneel en schakel hetAdvanced Featuresselectievakje in, zoals in de afbeelding wordt weergegeven:

3. Hierdoor kunnen extra eigenschappen onder de AD-objecten worden weergegeven.
   Om bijvoorbeeld het DN voor de root te vinden, klikt u met de rechtermuisknoprazor.localrazor.localen kiest u vervolgensProperties, zoals weergegeven in deze afbeelding:
   
   

4. Kies onderPropertiesde tabAttribute Editor. ZoekdistinguishedNameonder de Attributen en klik vervolgens opView, zoals weergegeven in de afbeelding.

Dit opent een nieuw venster waar het DN later kan worden gekopieerd en geplakt in FMC.

In dit voorbeeld is de root DNDC=razor,DC=local. Kopieer de waarde en bewaar deze voor later. Klik opOKom het venster String Attribute Editor (Tekenreekseditor) af te sluiten en klik nogmaals opOKom de Eigenschappen af te sluiten.

Kopieer de hoofdmap van het LDAPS SSL-certificaat

1. Druk opWin+Ren voermmc.exein en klik vervolgens opOK, zoals weergegeven in deze afbeelding.
   
   

2. Navigeer naarFile > Add/Remove Snap-in...ss, zoals weergegeven in deze afbeelding:
   

3. Kies onder beschikbare snap-ins de optieCertificates en klik vervolgens opAdd, zoals in deze afbeelding wordt weergegeven:
   
   

4. KiesComputer account en klik vervolgens opNext, zoals in deze afbeelding wordt weergegeven:
   
   

Zoals hier getoond, klik opFinish.

5. Klik nu opOK, zoals weergegeven in deze afbeelding.
   
   

6. Vouw de mapPersonaluit en klik opCertificates. Het certificaat dat door LDAP's wordt gebruikt, moet worden afgegeven aan de volledig gekwalificeerde domeinnaam (FQDN) van de Windows-server. Op deze server worden drie certificaten vermeld:

• Een CA-certificaat werd afgegeven aan en doorrazor-WIN-E3SKFJQD6J7-CAklanten.

• Een CA-certificaat dat is afgegeven aan en doorsupinfo-WIN-FNJVP9QUEH9-CA.

• Een identiteitskaart werd afgegeven aanWIN-E3SKFJQD6J7.razor.localrazor-WIN-E3SKFJQD6J7-CA.

In deze configuratiegids is de FQDN nietWIN-E3SKFJQD6J7.razor.localbeschikbaar en dus zijn de eerste twee certificaten niet geldig voor gebruik als het LDAPs SSL-certificaat. Het identiteitscertificaat dat is afgegeven aanWIN-E3SKFJQD6J7.razor.localis een certificaat dat automatisch is afgegeven door de CA-service van Windows Server. Dubbelklik op het certificaat om de details te controleren.

7. Om te worden gebruikt als het LDAPs SSL-certificaat, moet het certificaat aan deze vereisten voldoen:

• De algemene naam of alternatieve DNS-onderwerpnaam komt overeen met de FQDN van de Windows-server.

• Het certificaat heeft serververificatie onder het veld Uitgebreid sleutelgebruik.

Kies onder hetDetailstabblad voor het certificaatSubject Alternative Name, waar de FQDNWIN-E3SKFJQD6J7.razor.localaanwezig is.

OnderEnhanced Key Usage, isServer Authenticationaanwezig.

8. Zodra dat is bevestigd, kiest u onder hetCertification Pathtabblad het certificaat op het hoogste niveau dat het CA-certificaat voor de hoofdmap is en klikt u vervolgens opView Certificate. Dit opent de certificaatdetails voor het CA-hoofdcertificaat zoals weergegeven in de afbeelding:

9. Klik onder hetDetailstabblad van het CA-hoofdcertificaat opCopy to File en navigeer door hetCertificate Export Wizardtabblad dat de CA-hoofdcertificaat in PEM-indeling exporteert.

KiesBase-64 encoded X.509 als bestandsindeling.

10. Open het Root CA-certificaat dat is opgeslagen op de geselecteerde locatie op het systeem met een notitieblok of een andere teksteditor.

Dit toont het PEM-certificaat. Bewaar dit voor later.

-----BEGIN CERTIFICATE-----
MIIDfTCCAmWgAwIBAgIQV4ymxtI3BJ9JHnDL+luYazANBgkqhkiG9w0BAQUFADBRMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFTATBgoJkiaJk/IsZAEZFgVyYXp
vcjEhMB8GA1UEAxMYcmF6b3ItV0lOLUUzU0tGSlFENko3LUNBMB4XDTIxMDMyMjE0MzMxNVoXDTI2MDMyMjE0NDMxNVowUTEVMBMGCgmSJomT8ixkARkW
BWxvY2FsMRUwEwYKCZImiZPyLGQBGRYFcmF6b3IxITAfBgNVBAMTGHJhem9yLVdJTi1FM1NLRkpRRDZKNy1DQTCCASIwDQYJKoZIhvcNAQEBBQADggEPAD
CCAQoCggEBAL803nQ6xPpazjj+HBZYc+8fV++RXCG+cUnblxwtXOB2G4UxZ3LRrWznjXaS02Rc3qVw4lnOAziGs4ZMNM1X8UWeKuwi8QZQljJtuSBxL4yjWLyPIg
9dkncZaGtQ1cPmqcnCWunfTsaENKbgoKi4eXjpwwUSbEYwU3OaiiI/tp422ydy3Kgl7Iqt1s4XqpZmTezykWra7dUyXfkuESk6lEOAV+zNxfBJh3Q9Nzpc2IF/FtktWnhj
CSkTQTRXYryy8dJrWjAF/n6A3VnS/l7Uhujlx4CD20BkfQy6p5HpGxdc4GMTTnDzUL46ot6imeBXPHF0IJehh+tZk3bxpoxTDXECAwEAAaNRME8wCwYDVR0PBAQ
DAgGGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0OBBYEFM+DkqQUAOdY379NnViaMIJAVTZ1MBAGCSsGAQQBgjcVAQQDAgEAMA0GCSqGSIb3DQEBBQU
AA4IBAQCiSm5U7U6Y7zXdx+dleJd0QmGgKayAAuYAD+MWNwC4NzFD8Yr7BnO6f/VnF6VGYPXa+Dvs7VLZewMNkp3i+VQpkBCKdhAV6qZu15697plajfI/eNPrcI
4sMZffbVrGlRz7twWY36J5G5vhNUhzZ1N2OLw6wtHg2SO8XlvpTS5fAnyCZgSK3VPKfXnn1HLp7UH5/SWN2JbPL15r+wCW84b8nrylbBfn0NEX7l50Ff502DYCP
GuDsepY7/u2uWfy/vpTJigeok2DH6HFfOET3sE+7rsIAY+of0kWW5gNwQ4hOwv4Goqj+YQRAXXi2OZyltHR1dfUUbwVENSFQtDnFA7X
-----END CERTIFICATE-----

In het geval dat meerdere certificaten zijn geïnstalleerd in de lokale systeemopslag op de LDAP-server (optioneel)

1. In een situatie van meerdere identiteitscertificaten die door LDAPS kunnen worden gebruikt en wanneer er onzekerheid bestaat over welke certificaten worden gebruikt, of wanneer er geen toegang is tot de LDAPS-server, is het nog steeds mogelijk om de root-CA te extraheren uit een pakketopname die op de FTD is uitgevoerd.

2. Als u meerdere certificaten hebt die geldig zijn voor serververificatie in de lokale computercertificaatopslag van de LDAP-server (zoals de AD DS-domeincontroller), kan worden opgemerkt dat een ander certificaat wordt gebruikt voor LDAPS-communicatie. De beste oplossing voor een dergelijk probleem is om alle onnodige certificaten te verwijderen uit het lokale computercertificaatarchief en slechts één certificaat te hebben dat geldig is voor serververificatie.

Als er echter een legitieme reden is dat u twee of meer certificaten nodig hebt en ten minste een Windows Server 2008 LDAP-server hebt, kan de Active Directory Domain Services (NTDS\Personal)-certificaatopslag worden gebruikt voor LDAP-communicatie.

Deze stappen laten zien hoe u een LDAPS-certificaat kunt exporteren van een lokale computercertificaatopslag met domeincontroller naar het Active Directory Domain Services-servicecertificaatarchief (NTDS\Personal).

• Navigeer naar de MMC-console op de Active Directory Server, kies Bestand en klik vervolgens opAdd/Remove Snap-in.

• Klik opCertificatesen klik vervolgens opAdd.

• Kies in hetCertificates snap-inmenuComputer accounten klik vervolgens opNext.

• InSelect Computerkiest uLocal Computer, klikt u opOKen klikt u opFinish. Klik inAdd or Remove Snap-insopOK.

• Klik in de certificatenconsole van een computer die een certificaat bevat dat wordt gebruikt voor de serververificatie met de rechtermuisknop op decertificate, klik opAll Tasksen klik vervolgens opExport.

• Exporteer het certificaat in hetpfxformaat in de volgende secties. Raadpleeg dit artikel over het exporteren van een certificaat in hetpfxformaat van MMC:

https://www.cisco.com/c/en/us/support/docs/security/web-security-appliance/118339-technote-wsa-00.html.

• Zodra de export van het certificaat is voltooid, navigeert u naarAdd/Remove Snap-inMMC consoleverder. Klik opCertificatesen klik vervolgens opAdd.

• KiesService accounten klik vervolgens opNext.

• Kies in hetSelect Computerdialoogvenster de optieLocal Computeren klik opNext.

• KiesActive Directory Domain Servicesen klik vervolgens opFinish.
  
  

• Klik in hetAdd/Remove Snap-insdialoogvenster opOK.

• Vouw uitCertificates - Services (Active Directory Domain Services)en klik opNTDS\Personal.

• Klik met de rechtermuisknop,NTDS\Personalklik opAll Tasksen klik vervolgens opImport.
  
  

• Klik op hetCertificate Import Wizardwelkomstscherm opNext.

• Klik in het scherm Bestand importeren opBrowseen zoek het certificaatbestand dat u eerder hebt geëxporteerd.

• Controleer in het scherm Openen of Persoonlijke informatie-uitwisseling (*pfx,*.p12) is geselecteerd als bestandstype en navigeer vervolgens door het bestandssysteem om het certificaat te vinden dat u eerder hebt geëxporteerd. Klik vervolgens op dat certificaat.
  
  

• Klik opOpenen klik vervolgens opNext.

• Voer in het scherm Wachtwoord het wachtwoord in dat u voor het bestand hebt ingesteld en klik opNext. 

• Zorg ervoor dat op de pagina Certificaatopslag alle certificaten plaatsen is geselecteerd en lees Certificaatopslag:NTDS\Personalen klik vervolgens opNext.
  
  

• Klik in hetCertificate Import Wizardvoltooiingsscherm opFinish. U ziet dan een melding dat de import succesvol was. Klik op de knop .OK Het certificaat is geïmporteerd in het certificaatarchief:NTDS\Personal.
  
  

FMC-configuraties

Licentie verifiëren

Om de AnyConnect-configuratie te kunnen implementeren, moet de FTD zijn geregistreerd bij de smartlicentieserver en moet een geldige Plus-, Apex- of VPN Only-licentie op het apparaat worden toegepast.

Setup Realm

1. Navigeer naarSystem > IntegrationEuropa. Navigeer naarRealmsen klik vervolgens opAdd Realm, zoals weergegeven in deze afbeelding:

2. Vul de weergegeven velden in op basis van de informatie die is verzameld op de Microsoft-server voor LDAP's. Importeer eerst het Root CA-certificaat dat het LDAPs-servicecertificaat heeft ondertekend op de Windows-server onderObjects > PKI > Trusted CAs > Add Trusted CA, aangezien hiernaar wordt verwezen onder hetDirectory Server Configurationbeheer van de Realm. Als u klaar bent, klikt u opOK.

3. Klik op deze knopTestom ervoor te zorgen dat de FMC zich kan binden met de gebruikersnaam en het wachtwoord van de directory die in de eerdere stap zijn opgegeven. Aangezien deze tests worden geïnitieerd vanuit de FMC en niet via een van de routeerbare interfaces die op de FTD zijn geconfigureerd (zoals binnen, buiten, dmz), garandeert een succesvolle (of mislukte) verbinding niet hetzelfde resultaat voor AnyConnect-verificatie, aangezien AnyConnect LDAP-verificatieverzoeken worden geïnitieerd vanuit een van de routeerbare FTD-interfaces.

4. Schakel het nieuwe rijk in.

AnyConnect configureren voor wachtwoordbeheer

1. Kies het bestaande verbindingsprofiel of maak een nieuw profiel als het een eerste configuratie van AnyConnect betreft. Hier wordt een bestaand verbindingsprofiel met de naam 'AnyConnect-AD' gebruikt dat is gekoppeld aan lokale verificatie.
   
   

2. Bewerk het verbindingsprofiel en breng de nieuwe LDAP-server in kaart die in de eerdere stappen is geconfigureerd onder de AAA-instellingen van het verbindingsprofiel. Als u klaar bent, klikt u rechtsbovenSaveop.
   
   

3. Schakel wachtwoordbeheer in onder deAAA > Advanced Settingsen sla de configuratie op.
   
   

Implementeren

1. Zodra u klaar bent met alle configuratie, klikt uDeployrechtsboven op de knop.
   
   

2. Klik op het selectievakje naast de FTD-configuratie die erop is toegepast en klik vervolgens opDeploy, zoals in deze afbeelding wordt weergegeven:

Definitieve configuratie

Dit is de configuratie in de FTD CLI na de succesvolle implementatie.

AAA-configuratie

> show running-config aaa-server

aaa-server LDAP-Server protocol ldap                                                          <------ aaa-server group configured for LDAPs authentication


 max-failed-attempts 4

 realm-id 8

aaa-server LDAP-Server host WIN-E3SKFJQD6J7.razor.local                          <-------- LDAPs Server to which the queries are sent


 server-port 636

 ldap-base-dn DC=razor,DC=local

 ldap-group-base-dn DC=razor,DC=local

 ldap-scope subtree

 ldap-naming-attribute sAMAccountName

 ldap-login-password *****

 ldap-login-dn *****@razor.local

 ldap-over-ssl enable

 server-type microsoft

Configuratie AnyConnect

> show running-config webvpn

webvpn

 enable Outside

 anyconnect image disk0:/csm/anyconnect-win-4.10.01075-webdeploy-k9.pkg 1 regex "Windows"

 anyconnect profiles FTD-Client-Prof disk0:/csm/ftd.xml

 anyconnect enable

 tunnel-group-list enable

 cache

  no disable

error-recovery disable



> show running-config tunnel-group

tunnel-group AnyConnect-AD type remote-access

tunnel-group AnyConnect-AD general-attributes

 address-pool Pool-1

authentication-server-group LDAP-Server                                            <-------- LDAPs Server group name mapped to the tunnel-group


 default-group-policy AnyConnect-Group

 password-management password-expire-in-days 1                             <-------- Password-management configuration mapped under the tunnel-group


tunnel-group AnyConnect-AD webvpn-attributes

 group-alias Dev enable




> show running-config group-policy AnyConnect-Group

group-policy AnyConnect-Group internal                                                    <--------- Group-Policy configuration that is mapped once the user is authenticated

group-policy AnyConnect-Group attributes

 vpn-simultaneous-logins 3

 vpn-idle-timeout 35791394

 vpn-idle-timeout alert-interval 1

 vpn-session-timeout none

 vpn-session-timeout alert-interval 1

 vpn-filter none

vpn-tunnel-protocol ikev2 ssl-client                                                 <-------- Protocol specified as SSL to entertain the AnyConnect connection over port 443


 split-tunnel-policy tunnelspecified

 split-tunnel-network-list value Remote-Access-Allow

 default-domain none

 split-dns none

 split-tunnel-all-dns disable

 client-bypass-protocol disable

 vlan none

 address-pools none

 webvpn

  anyconnect ssl dtls enable

  anyconnect mtu 1406

  anyconnect firewall-rule client-interface public none

  anyconnect firewall-rule client-interface private none

  anyconnect ssl keepalive 20

  anyconnect ssl rekey time none

  anyconnect ssl rekey method none

  anyconnect dpd-interval client 30

  anyconnect dpd-interval gateway 30

  anyconnect ssl compression none

  anyconnect dtls compression none

  anyconnect modules value none

  anyconnect profiles value FTD-Client-Prof type user

  anyconnect ask none default anyconnect

  anyconnect ssl df-bit-ignore disable




> show running-config ssl                                                          


ssl trust-point ID-New-Cert Outside                                                   <-------- FTD ID-cert trustpoint name mapped to the outside interface on which AnyConnect Connections are entertained

Verificatie

Maak verbinding met AnyConnect en controleer het wachtwoordbeheerproces voor de gebruikersverbinding

1. Start een verbinding met het betreffende verbindingsprofiel. Zodra bij de eerste aanmelding is vastgesteld dat het wachtwoord moet worden gewijzigd omdat het eerdere wachtwoord door de Microsoft-server is afgewezen omdat het is verlopen, wordt de gebruiker gevraagd het wachtwoord te wijzigen.

2. Zodra de gebruiker het nieuwe wachtwoord voor aanmelding heeft ingevoerd, wordt de verbinding tot stand gebracht.

3. Controleer de gebruikersverbinding op de FTD CLI:

FTD_2# sh vpn-sessiondb anyconnect




Session Type: AnyConnect




Username     : admin                Index        : 7                                                                                                    <------- Username, IP address assigned information of the client 

Assigned IP  : 10.1.x.x               Public IP    : 10.106.xx.xx

Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License      : AnyConnect Premium

Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256

Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384

Bytes Tx     : 16316                  Bytes Rx     : 2109

Group Policy : AnyConnect-Group       Tunnel Group : AnyConnect-AD                                                  <-------- Tunnel-Group to which the AnyConnect connection falls, and the group-policy assigned to user


Login Time   : 13:22:24 UTC Mon Apr 25 2022

Duration     : 0h:00m:51s

Inactivity   : 0h:00m:00s

VLAN Mapping : N/A                    VLAN         : none

Audt Sess ID : 0ac5e0fa000070006266a090

Security Grp : none                   Tunnel Zone  : 0

Problemen oplossen

Debugs

Deze foutopsporing kan worden uitgevoerd in diagnostische CLI om problemen met wachtwoordbeheer op te lossen: foutopsporing ldap 255.

Foutopsporing bij beheer van werkwachtwoorden

[24] Session Start

[24] New request Session, context 0x0000148f3c271830, reqType = Authentication

[24] Fiber started

[24] Creating LDAP context with uri=ldaps://10.106.71.234:636

[24] Connect to LDAP server: ldaps://10.106.71.234:636, status = Successful                                                    <-------- Successful connection to the LDAPs server over post 636


[24] supportedLDAPVersion: value = 3

[24] supportedLDAPVersion: value = 2

[24] Binding as *****@razor.local

[24] Performing Simple authentication for *****@razor.local to 10.106.71.234

[24] LDAP Search:

         Base DN = [DC=razor,DC=local]

         Filter  = [sAMAccountName=admin]

         Scope   = [SUBTREE]

[24] User DN = [CN=admin,CN=Users,DC=razor,DC=local]

[24] Talking to Active Directory server 10.106.71.234

[24] Reading password policy for admin, dn:CN=admin,CN=Users,DC=razor,DC=local                                <--------- Once the client enters credentials during initial login, if the password is expired, then it is read and the user is asked to provide a new password


[24] Read bad password count 3

[24] Binding as admin

[24] Performing Simple authentication for admin to 10.106.71.234

[24] Simple authentication for admin returned code (49) Invalid credentials                         


[24] Message (admin): 80090308: LdapErr: DSID-0C0903C5, comment: AcceptSecurityContext error, data 773, v23f0

[24] Checking password policy

[24] New password is required for admin                                                                                                           <---------- New password is asked to be provided


[24] Fiber exit Tx=622 bytes Rx=2771 bytes, status=-1

[24] Session End




[25] Session Start

[25] New request Session, context 0x0000148f3c271830, reqType = Modify Password

[25] Fiber started

[25] Creating LDAP context with uri=ldaps://10.106.71.234:636

[25] Connect to LDAP server: ldaps://10.106.71.234:636, status = Successful                                                                       <----------- New connection is initiated to the LDAPs server for the password change


[25] supportedLDAPVersion: value = 3

[25] supportedLDAPVersion: value = 2

[25] Binding as *****@razor.local

[25] Performing Simple authentication for *****@razor.local to 10.106.71.234

[25] LDAP Search:

         Base DN = [DC=razor,DC=local]

         Filter  = [sAMAccountName=admin]

         Scope   = [SUBTREE]

[25] User DN = [CN=admin,CN=Users,DC=razor,DC=local]

[25] Talking to Active Directory server 10.106.71.234

[25] Reading password policy for admin, dn:CN=admin,CN=Users,DC=razor,DC=local

[25] Read bad password count 3

[25] Change Password for admin successfully converted old password to unicode                                                               


[25] Change Password for admin successfully converted new password to unicode                                                            <----------- Client provides the new password value


[25] Password for admin successfully changed                                                                                                                  <----------- Password is changed successfully for the client


[25] Retrieved User Attributes:

[25]   objectClass: value = top

[25]   objectClass: value = person

[25]   objectClass: value = organizationalPerson

[25]   objectClass: value = user

[25]   cn: value = admin

[25]   givenName: value = admin

[25]   distinguishedName: value = CN=admin,CN=Users,DC=razor,DC=local

[25]   instanceType: value = 4

[25]   whenCreated: value = 20201029053516.0Z

[25]   whenChanged: value = 20220426032127.0Z

[25]   displayName: value = admin

[25]   uSNCreated: value = 16710

[25]   uSNChanged: value = 98431

[25]   name: value = admin

[25]   objectGUID: value = ..0.].LH.....9.4

[25]   userAccountControl: value = 512

[25]   badPwdCount: value = 3

[25]   codePage: value = 0

[25]   countryCode: value = 0

[25]   badPasswordTime: value = 132610388348662803

[25]   lastLogoff: value = 0

[25]   lastLogon: value = 132484577284881837

[25]   pwdLastSet: value = 0

[25]   primaryGroupID: value = 513

[25]   objectSid: value = ................7Z|....RQ...

[25]   accountExpires: value = 9223372036854775807

[25]   logonCount: value = 0

[25]   sAMAccountName: value = admin

[25]   sAMAccountType: value = 805306368

[25]   userPrincipalName: value = ******@razor.local

[25]   objectCategory: value = CN=Person,CN=Schema,CN=Configuration,DC=razor,DC=local

[25]   dSCorePropagationData: value = 20220425125800.0Z

[25]   dSCorePropagationData: value = 20201029053516.0Z

[25]   dSCorePropagationData: value = 16010101000000.0Z

[25]   lastLogonTimestamp: value = 132953506361126701

[25]   msDS-SupportedEncryptionTypes: value = 0

[25]   uid: value = ******@razor.local

[25] Fiber exit Tx=714 bytes Rx=2683 bytes, status=1

[25] Session End

Veelvoorkomende fouten tijdens het wachtwoordbeheer

Als het wachtwoordbeleid dat is ingesteld door de Microsoft-server niet wordt nageleefd tijdens de periode waarin de gebruiker het nieuwe wachtwoord opgeeft, wordt de verbinding meestal beëindigd met de fout "Wachtwoord voldoet niet aan de vereisten voor het wachtwoordbeleid". Zorg er daarom voor dat het nieuwe wachtwoord voldoet aan het beleid dat is ingesteld door de Microsoft Server voor LDAP's.