<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><pre class="bz_comment_text">Hi,<br><br><br>Description of problem:<br>When a userPassword is changed in a server with changelog, the hashed password<br>is logged and also a cleartext pseudo-attribute version.  It looks like this:<br>change::<br>replace: userPassword<br>userPassword: {SHA256}vqtiN2LHdrEUOJUKu+IBVqAVFsAlvFw+11kD/Q==<br>-<br>replace: unhashed#user#password<br>unhashed#user#password: secret12<br><br>This unhashed version is used in winsync where the cleartext version of the<br>password must be written to the AD.<br><br>Now if the DS is involved in replication with another DS, the change will be<br>replayed exactly as it is logged to the other DS replicas, including the<br>cleartext pseudo-attribute password.<br><br>thanks,<br><br>Denise<br></pre></td></tr></table>