ActiveDirectoryドメイン環境において、別サーバーのローカル ユーザーのパスワードをリモートで変更していますが、MS16-101(KB3167679)、を適用によって行えなくなったとの報告がありました。
MS16-101(KB3167679)は、Kerberos 認証が失敗した場合、NTLM 認証にフォールバックさせないように修正されているとのことですが、[HKLM\System\CurrentControlSet\Control\Lsa]のNegoAllowNtlmPwdChangeFallback]の値を[値 1: Kerberos 認証によるパスワード変更失敗時、NTLM 認証へフォールバックします。]にしても状況は変わらないとのことです。
[NegoAllowNtlmPwdChangeFallback]を[値 0: 既定の動作です。NTLM 認証へフォールバックしません。]、[値 1: Kerberos 認証によるパスワード変更失敗時、NTLM 認証へフォールバックします。]にしても、Kerberos 認証は必須であると思っております。
別サーバーのローカル ユーザーのパスワードをリモートで変更ということは、Kerberos 認証を行わず、NTLM認証でパスワード変更しようとするので、MS16-101(KB3167679)、の適用が原因になるのではと考えておりますが、その認識であっておりますでしょうか。
----------------------------------------------------------------------------------------------------------------------------------------------
2016/10/19 更新:「MS16-101: Windows 認証のセキュリティ更新プログラム (2016 年 8 月)」を適用するとユーザーのパスワード変更に失敗する場合がある
https://blogs.technet.microsoft.com/jpntsblog/2016/08/17/ms16-101/
----------------------------------------------------------------------------------------------------------------------------------------------