我之前也碰到过一模一样的情况，通过LDAP给AD用户设pwdLastSet=0强制密码重置，同步到Azure AD后旧密码死活没法登录触发重置，折腾了好一阵才理清问题，下面是我排查和解决的几个关键点：

1. 先确认AD端的修改是否真正生效 #

首先要确保你的C#代码确实把修改提交到了AD，很多人容易漏掉CommitChanges()这关键一步。正确的代码应该是这样的：

using (DirectoryEntry user = new DirectoryEntry("LDAP://CN=TestUser,OU=Employees,DC=contoso,DC=com"))
{
    user.Properties["pwdLastSet"].Value = 0;
    user.CommitChanges(); // 必须调用这个方法才能把修改保存到AD服务器
}

你可以通过AD用户和计算机管理工具（ADUC）查看用户属性，或者用LDAP查询验证pwdLastSet的值是否为0（AD中这个属性是Int64类型的时间戳，0就代表需要重置密码）。

2. 手动触发Azure AD Connect同步，别等自动周期 #

Azure AD Connect默认的增量同步周期是30分钟，如果你刚改完AD就去测试，大概率修改还没同步到Azure AD。直接用PowerShell手动触发增量同步更高效：

Start-ADSyncSyncCycle -PolicyType Delta

同步完成后，去Azure AD门户查看用户的「密码配置文件」，确认「下次登录时必须更改密码」的状态是否已经同步过来。

3. 搞懂Azure AD的密码重置逻辑（这是核心误区） #

这里要划重点：Azure AD的行为和本地AD不一样！ 当AD的pwdLastSet=0同步到Azure AD后，Azure AD不会允许用户用旧密码登录来触发重置，而是直接标记密码为过期状态。

正确的流程是：

• 如果用户启用了自助密码重置（SSPR），让用户通过SSPR流程设置新密码
• 如果没启用SSPR，只能由管理员在Azure AD门户或者用PowerShell重置密码：

Set-AzureADUserPassword -ObjectId "user@contoso.com" -Password (ConvertTo-SecureString "NewPassword123!" -AsPlainText -Force)

4. 检查Azure AD Connect的配置细节 #

• 确保**密码哈希同步（PHS）**是启用的，这是AD密码同步到Azure AD的基础
• 确认同步规则中包含了pwdLastSet属性的同步，Azure AD Connect默认会同步这个属性，但如果自定义过同步规则，可能不小心把它排除了
• 如果启用了密码写回，要检查写回的密码策略是否和AD的要求一致，避免冲突导致同步异常

5. 排除其他干扰因素 #

• 检查用户的Azure AD账户是否被锁定、禁用，或者设置了强制MFA，这些都会导致登录失败的提示混淆问题
• 确认用户尝试登录的是Azure AD服务（比如Office 365），而不是本地AD资源——本地AD登录还是可以用旧密码触发重置的

内容的提问来源于stack exchange，提问作者userone