検証環境の Windows Server 2022 AD DS + Windows Server 2022 メンバーサーバーの環境で、パスワードの期限切れのユーザーでログオンすると、パスワード変更を実施しても正常に完了せずにループしてしまうという現象が発生していました。
期限切れのユーザーでログオンすると、次のようなメッセージが表示されます。
OK をクリックすると、パスワードの変更が表示されますが、パスワードの変更を実施しても、以下のパスワードの変更画面と、パスワードの変更要求の画面が繰り返され、パスワードを変更できない等状態が発生しました。
このような動作が行われていまい、パスワード変更期限切れに伴う、パスワード変更ができなくなっている場合は、Password Change Logon Loop の事象に合致している可能性があるようです。
上記の情報でも触れられていますが、2022 年 4 月 12 日 — KB5012647 (OS ビルド 17763.2803) で次の修正が行われています。
Windows デバイスにサインインするときに有効期限が切れたパスワードを変更できない問題に対処します。
今回はドメイン環境で発生していたので、ドメインコントローラーに対して、投稿を書いている時点の最新の更新プログラム (KB5013944) を適用することで、現象が解決しました。
検証用の環境で、ドメインの管理者アカウントが Administrator しか存在しておらず、そのアカウントがパスワードの有効期間切れに伴うログオンループになってしまったので、
- ドメインの Administrator と同一のユーザー名 / パスワードのローカルユーザーを持つメンバーサーバーを準備
- そのサーバーに、AD DS の管理コンソールをインストール
- ドメインの管理者と同一ユーザー名 / パスワードのユーザーで AD DS の管理コンソールを起動
- ドメインに接続し、ドメインの Administrator のパスワード有効期限を無効化
することで、ドメインコントローラーにログインすることができ、ドメインコントローラーに Windows Update で最新の更新プログラムを適用することで、パスワード有効期限切れに伴う、ログインループを解消することができるようになりました。
検証環境で、最小限のユーザーしか存在しておらず、唯一の管理者でログインできなくなると焦りますね…。