Privileged Access Manager ( 以下、PAM ) で AD アカウントの定期的なパスワード更新が設定されている。
しかしながら、15%以上の割合でパスワード更新処理がエラーコード 1604 ( 認証失敗: Authentication Failed) で失敗する。

パスワードの更新は ADのサービスアカウントで行われているが、このアカウントは PAM のターゲットアカウント上で検証は常に正常となっている。
失敗するアカウントはジョブの実行毎に異なっており、何らかの条件を特定することができない。

Privileged Access Manager: すべてのバージョンで有効

本環境ではロードバランサを使用して2台の異なるデータセンターのドメインコントローラが設定されていました。
PAM 上ではこのロードバランサがターゲットデバイスとして登録されていました。
PAM のパスワード更新ジョブで最初に1番目のドメインコントローラでパスワードが更新され、別のドメインコントローラで検証が行われる場合が発生します。
この際に新しいパスワードの同期が遅れて別のドメインコントローラに新しいパスワードが設定されていない場合、パスワードの更新が失敗したと認識され、古いパスワードが保持されます。

以下のいずれかを対策として設定してください。

• PAM のターゲットアプリケーションを一つのデータセンター内のドメインコントローラだけ接続するように限定する
• PAM のターゲットアプリケーションに直接ドメインコントローラを指定する
• ロードバランサの設定で一定期間だけPAMからの接続はデータセンターを振り分けないようにする

それぞれの設定詳細については各アプリケーションの設定をご参照ください。

ご参考：

PAM 上で Active Directory ターゲット コネクタの設定については以下をご参照ください。

Active Directory ターゲット コネクタの追加

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 212093: Random password update failures with error code 1604 during scheduled job for AD accounts