Por Daniel Seveso

Existen escenarios de producción para Exchange 2007 donde, por diferentes motivos, los usuarios no tienen acceso a una estación de trabajo del dominio. Estos ambientes se ven con frecuencia en ISPs o empresas donde  los usuarios son puramente remotos usando el correo desde fuera de la compañía.

Exchange 2007 provee un mecanismo de cambio de password de la cuenta de usuario, por lo que cuando las políticas de cuenta del dominio exigen un cambio de contraseña, estos usuarios "desconectados" del dominio, puede acceder a Outlook Web Access, ir a Opciones, y usar la función "Change Password".

Hay un escenario con el cual hemos tenido problemas, y es luego de renombrar la cuenta del usuario en el directorio activo. Por ejemplo cuando renombramos los campos User logon name (UPN y pre-Windows 2000)

image

Problema

Cuando el usuario intenta cambiar su contraseña luego que su cuenta fue renombrada, recibe el siguiente mensaje de error:

"The old password is incorrect. Please retype your password. Letters in passwords must be typed by using the correct case."

Notarás además que los campos DOMINIO\USUARIO en la pantalla de cambio de password, muestran el nombre de usuario original y no el nuevo nombre luego de haber sido renombrado.

Este comportamiento es causado por el cache del LSA (Local Security Authority) del servidor de CAS que guarda un mapeo entre el SID y la cuenta de usuario consultada. Cuando el CAS server recibe el requerimiento de cambio de password, consulta su cache para determinar si el usuario en cuestión está presente y así evitar una consulta adicional al controlador de dominio mejorando su performance. Como el SID del usuario puede estar en cache, el CAS devuelve el nombre de usuario anterior a OWA.

Solución

Si este problema te afecta en tu operación diaria, la solución es deshabilitar el cache local de SIDs en el CAS server agregando la siguiente clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
LsaLookupCacheMaxSize = 0 (DWORD)

Este cambio, e información adicional sobre el cache de SIDs en Windows lo puedes encontrar en el artículo KB946358

Nota: No es necesario reiniciar ningún servicio luego de modificar esta clave.
En caso que este problema no afecte mayormente la operativa de tu empresa, recomiendo no implementar este cambio, dado que esta es una funcionalidad implementada por Windows para mejorar la performance y disminuir el tráfico en la red.

Espero que sea de utilidad.