Смена истекшего пароля через RDS в Windows Server 2012 | Windows для системных администраторов

Смена истекшего пароля через RDS в Windows Server 2012

В этой статье мы покажем, как удаленные пользователи сами могут менять свои истекшие пароли через RDP-подключение к ферме терминальных серверов Remote Desktop Services (RDS) на Windows 2012 / 2012 R2.

В Windows Server 2012 R2 and Windows 8.1 по умолчанию включен механизм аутентификации NLA (Network Level Authentication, подробнее о нем здесь), который не позволяет подключиться по RDP пользователям с истекшим сроком действия пароля. При попытке подключится к серверу RDS с учетной записи пользователя, пароль которого истек, появляется такое сообщение об ошибке:

An authentication error has occurred.
The Local Security Authority cannot be contacted
Remote computer:xxxxxx
This could be due to an expired password
Please update your password if it has expired.

The Local Security Authority cannot be contacted - This could be due to an expired passwordТаким образом, при использовании NLA, проблема смены истекшего пароля через RDP может стать практически неразрешимой для удаленных пользователей, у которых отсутствует другие возможности входа в сеть. Можно конечно, попросить пользователей заранее менять свой пароль непосредственно в RDP сессии, но, как правило, это не всегда срабатывает из-за элементарной забывчивости пользователей.

В Windows 2012 / R2 появилась настройка, позволяющая удаленному пользователю самостоятельно изменять свой пароль (текущий пароль или пароль с истекшим сроком действия) через специальную веб-страницу на сервере RD Web Access. Процесс смены пароля будет выглядеть так: пользователь заходит под своей учетной записью на веб-страницу регистрации на сервере с ролью RD Web Access и с помощью специальной формы меняет свой пароль.

Примечание. В предыдущих версиях Windows Server возможность удаленной смены пароля пользователя в домене могла быть реализована через небольшое веб-приложение IISADMPWD (официально, впрочем, не поддерживаемое).

Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access (RD Web Access), но по-умолчанию эта функция отключена. Для смены пароля используется сценарий в файле password.aspx, который находится в каталоге C:\Windows\Web\RDWeb\Pages\en-US.

Чтобы активировать функцию смены пароля, нужно на сервере с настроенной ролью RD Web Access открыть консоль управления веб-сервером IIS (IIS Manager), перейти в раздел [Server Name] –> Sites –> Default Web Site –> RDWeb –> Pages и открыть раздел с настройками приложения (Application Settings).

Sites –> Default Web Site –> RDWeb –> Pages В правой панели найдите параметр с именем PasswordChangeEnabled и измените его значение на true.

PasswordChangeEnabled - опция смены пароля через страницы RD WebПротестировать механизм смены пароля можно, перейдя на веб-страницу:

https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx

Форма смены пароля пользователя на rd web access windows 2012Теперь при попытке подключиться к веб серверу RD Web Access с истекшим паролем пользователь будет перенаправлен на веб-страницу password.aspx, на которой ему будет предложено сменить пароль.

Необходимо изменить истекший пароль

Совет. Аналогичный функционал в Windows Server 2008 R2 может быть доступен после установки специального патча — KB 2648402.

Добавить ссылку на форму смены пароля можно непосредственно в веб-форму регистрации на сервере RDWeb. Благодаря этому пользователь в любой момент может самостоятельно изменить свой пароль, не дожидаясь окончания его срока действия.

Добавим ссылку на файл password.aspx на страницу входа в систему.

  1. На сервере RDWeb найдите и откройте в любом тестовом редакторе (я предпочитаю Notepad++) файл C:\Windows\Web\RDWeb\Pages\en-US\login.aspx
  2. Перейдите на 538 строку и вставьте в нее следующий код:
    <a href="https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx"> Password Reset Utility</a>
    Ссылка на страницу смены пароля в login.aspx
  3. Сохраните изменения в файле login.aspx, перезапустите сайт IIS и проверьте что на странице регистрации на терминальном сервере появилась ссылка на страницу смены пароля.
Совет. Кстати говоря, мы ранее уже рассматривали, как реализовать смену пароля пользователя через OWA в Exchange 2010 SP1.
Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 5

Оставить комментарий
  1. Роман | 27.04.2015

    проделал все как в статье, но при подключении получаю
    «Ошибка сервера в приложении ‘/RDWeb/Pages’.
    ———————————————————————————

    Не удалось найти данный ресурс.
    Описание: HTTP 404. Возможно, искомый ресурс (или одна из его зависимостей) удален, получил другое имя или временно недоступен. Просмотрите следующий URL-адрес и проверьте, что он введен правильно.

    Запрошенный URL: /RDWeb/Pages/en-US/password.aspx
    «

    Ответить
    • itpro | 28.04.2015

      У вас случайно не русская версия Windows Server?
      Работает ли служба RD Web Access и открываются ли ее страницы?
      Файл password.aspx имеется?

      Ответить
      • Роман | 28.04.2015

        Разобрался, но отписался, действительно русская версия, по ссылке с ru-ru все работает

        Ответить
  2. MMC | 26.06.2015

    В тексте про password.aspx сказано про строку 583, на скриншоте строка 538.
    В моём файле это тоже строка 538.

    Ответить
    • itpro | 26.06.2015

      Вы правы, опечатался немного

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00123 sec