Client kann nicht per Remote auf WindowsServer2012 zugreifen, wenn der Benutzer das Passwort ändern muss.
Die Fehlermeldung "You must change your password before logging on the first time. Please change the password or contact your network administrator or technical support for assistance." kann auftretten, wenn ein Client versucht sich per RemoteDesktopConnection mit einem WindowsServer2012 zu verbinden und zudem die Option gesetzt ist, dass der Benutzer sein Passwort beim Login ändern muss (Beispielsweise nach einem Passwort reset).
Das liegt daran, dass bei den betroffenen Systemen die "Network Level Authentication" (NLA) aktiviert ist. Diese hat den Vorteil, dass unter anderem weniger Ressourcen verwendet werden, bevor der Benutzer authentifiziert ist. Zudem kann es die Sicherheit vor denial-of-service-attacks erhöhen. Weitere Informationen zu NLA's finden Sie unter [1].
Um die Fehlermeldung zu Umgehen muss also entweder der Nutzer sein Passwort anderweitig ändern, oder die NLA muss deaktiviert werden. Dadurch hat der Nutzer die Möglichkeit sich zunächst mit dem Server zu verbinden, und dort sein Passwort zu ändern.
Network Level Authentication kann über ein GPO deaktiviert werden. Diese ist unter Computer Configuration -> Policies -> Administrativ Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security zu finden.
Die Option "Require user authentication for remote connections by using Network Level Authentication" muss dafür auf "Disabled" gesetzt werden. (Der Server auf den per RemoteDesktop zugegriffen werden soll, sollte danach neugestartet werden).
Desweiteren muss auf dem Client von dem aus die Verbindung erstellt wird gegebenenfalls die "Default" Datei angepasst werden. Diese findet sich standardmäßig unter C:UsersUserDocuments als eine versteckte ".rdp" Datei.
Wird diese mit dem Editor geöffnet, muss der Eintrag "enablecredsspsupport:i" auf "0" gesetzt werden. Falls kein solcher Eintrag existiert einfach
enablecredsspsupport:i:0
am Ende der Datei einfügen. Damit wird dem Client die Möglichkeit gegeben, sich zunächst auf den Server einzuloggen, ohne sich vorher authentifizieren zu müssen.
Wird jetzt die RemoteDesktopConnection geöffnet um sich auf einen gewünschten Server zuzugreifen, wird zunächst eine Verbindung mit dem Server erstellt und dort wird der Nutzer im Logginbildschirm dazu aufgefordert ein neues Passwort anzulegen
[1] http://technet.microsoft.com/en-us/library/cc732713.aspx
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 3