Смена истекшего пароля через Remote Desktop Web Access в Windows Server

23.03.2022

Windows Server 2016, Windows Server 2019

В этой статье мы покажем, как удаленные пользователи самостоятельно могут менять свои истекшие пароли через с помощью специальной веб формы на сервере Remote Desktop Services (RDS) с ролью RD Web Access на Windows Server 2022/2019/2016/2012 R2.

Содержание:

Проблема смены истекшего пароля по RDP
Разрешить смену истекшего пароля пользователя на RDWeb Access
Добавить ссылку на смену пароля на страницу входа Remote Desktop Web Access

Проблема смены истекшего пароля по RDP

В Windows Server 2012 R2 и выше по умолчанию включен механизм аутентификации на уровне сети NLA (Network Level Authentication, подробнее о нем здесь). Особенность этого метода аутентификации в том, что при включенном NLA пользователи с истекшим сроком действия пароля (или у которых в атрибуте пользователя useraccountcontrol включена опция смены пароля при первом входе) не смогут подключиться к RDP/RDS хосту. Конечно, вы можете отключить NLA ссылка1, ссылка2, но это не хорошо с точки зрения безопасности. При попытке подключится к серверу RDSH (Remote Desktop Session Host) с учетной записью пользователя, пароль которого истек, появляется такое сообщение об ошибке:

An authentication error has occurred.
The Local Security Authority cannot be contacted
Remote computer:xxxxxx
This could be due to an expired password
Please update your password if it has expired.

Получается, что при использовании NLA удаленные RDP пользователи не могут сменить свой истекший пароль, если у них нет других способов доступа в корпоративную сеть кроме RDS. Можно конечно, попросить пользователей заранее сменить свой пароль непосредственно в RDP сессии, или включить на RDS серверах политику Interactive logon: Prompt user to change password before expiration (Computer Configuration -> Windows Settings -> Local Policies -> Security Options), но, обычно это не всегда срабатывает из-за элементарной забывчивости пользователей.

В Windows Server 2012 R2 и выше удаленные пользователи могут самостоятельно сбросить свой пароль (текущий пароль или пароль с истекшим сроком действия) через специальную веб-страницу на сервере с ролью RD Web Access. Чтобы изменить пароль, пользователь должен аутентифицироваться под своей учетной записью на веб-странице регистрации RDS-WebAccess и с изменить свой пароль с помощью специальной aspx формы.

Примечание. В Windows Server 2003 пользователи домена могли сменить свой пароль через небольшое веб-приложение IISADMPWD (официально, впрочем, не поддерживаемое).

Разрешить смену истекшего пароля пользователя на RDWeb Access

Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access (RD Web Access), но по-умолчанию эта функция отключена.

Если у вас развернута ферма серверов RDS, вы можете найти сервер, на котором установлена роль RDS-WEB-Access, обратившись к RD Connection Broker:

Get-RDServer -ConnectionBroker srv-rdscb.winitpro.ru| where {$_.roles -eq "RDS-WEB-ACCESS"}

powershell get-rdserver найти сервер с ролью rd-webaccess

Для смены пароля используется сценарий в файле password.aspx, который находится в каталоге C:\Windows\Web\RDWeb\Pages\en-US.

В локализованной версии Windows Server (без language pack) путь к файлу password.aspx зависит от языка ОС. Например, для русской версии Windows Server это C:\Windows\Web\RDWeb\Pages\ru-RU.

Чтобы включить функцию смены пароля, нужно на сервере RD Web Access запустите консоль управления веб-сервером IIS Manager (inetmgr), перейдите в раздел [Server Name] –> Sites –> Default Web Site –> RDWeb –> Pages и откройте настройки приложения (Application Settings).

В правой панели найдите параметр с именем PasswordChangeEnabled и измените его значение на true.

PasswordChangeEnabled - опция смены пароля через веб страницу на Remote Desktop Web

Либо вы можете задать значение True для параметра PasswordChangeEnabled в конфиг файле ‘C:\Windows\Web\RDWeb\Pages\Web.config’.

rdweb-access файл конфигурации IIS web.config параметр passwordchangeenabled

Параметр PasswordChangeEnabled позволяет пользователям Active Directory сменить пароль через портал RD Web Access. Эта опция не позволяет сменить пароль локальных пользователей на RDS хостах в рабочей группе (без домена).

Перезапустите веб сервер IIS из консоли или с помощью команды:
IISRESET

команда перезапуска веб сервера iisreset

Чтобы проверить доступность страницы смены, перейдите на веб-адрес:

https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx

Для RD Web Access должен быть выпущен валидный SSL сертификат. Можно использовать бесплатный сертификат Let’s Encrypt для IIS.

Укажите имя пользователя, старый пароль и дважды новый.

После успешной смены пароля пользователя должно появится сообщение:

Your password has been successfully changed.

rdweb сброс пароля пользователя Your password has been successfully changed

Нажмите ОК, и пользователь будет перенаправлена на страницу входа RD Web.

Если пароль пользователя не соответствует парольной политике домена, появится окно с предупреждением:

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password.

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password

Вы можете использовать этот способ смены пароля на Remote Desktop Web Access только если на RDWA сервере включена аутентификация Forms Authentication. При использовании метода Window Authentication, смена пароля через форму RD Web невозможна.

Вывести и изменить поддерживаемые типы аутентификации можно в консоли IIS Manager. Выберите Sites -> Default Web Sites -> RDWeb -> Pages в правом окне выберите Forms Authentication.

Теперь при попытке подключиться к веб серверу RD Web Access с истекшим паролем, пользователь будет перенаправлен на веб-страницу password.aspx, на которой ему будет предложено сменить пароль.

Совет. Аналогичный функционал для смены пароля в Windows Server 2008 R2 с RD Web Access Role может быть доступен после установки отдельного патча KB2648402.

Добавить ссылку на смену пароля на страницу входа Remote Desktop Web Access

Вы можете добавить ссылку на страницу с формой смены пароля можно непосредственно в веб-форму входа на сервер RDWeb. Благодаря этому пользователь в любой момент может самостоятельно изменить свой пароль, не дожидаясь окончания его срока действия.

Добавьте ссылку на файл password.aspx на страницу входа в систему (создайте копию файла login.aspx перед редактированием).

На сервере RDWeb найдите и откройте в любом тестовом редакторе (я предпочитаю Notepad++) файл C:\Windows\Web\RDWeb\Pages\en-US\login.aspx;
Перейдите на 429 строку (В Windows Server 2022 она находится после html блока <tr id="trPasswordExpiredNoChange" <%=strErrorMessageRowStyle%> > ……..… </tr> ) и добавьте следующий код:
 <tr> <td align="right"> <a href="password.aspx" title="Change User Password">Click here </a>to change your password. </td> </tr> 
Сохраните изменения в файле login.aspx, перезапустите сайт IIS и проверьте, что на странице регистрации RD Web появилась ссылка на страницу смены пароля.

Совет. Кстати говоря, мы ранее уже рассматривали, как реализовать смену пароля пользователя через OWA в Exchange.

Теперь удаленные пользователи смогут самостоятельно менять истекший пароль RDS сервере без вмешательства администратора. Обратите внимание, что если вы используете закэшированные учетные данные (Cached Credentials) для входа на локальный компьютер, то после смены пароля через RDWeb они не будут обновлены.

Предыдущая статья Следующая статья

Лицензирование Windows Server в виртуальной среде

Протокол SMB: определить, включить или отключить определенную версию SMB в Windows

Быстрая настройка FTP-сервера на Windows Server и Windows 10/11

Восстановление EFI загрузчика в Windows 10 и 11

RDS Shadow – теневое подключение к RDP сеансам пользователей в Windows Server 2016/2019

Внедряем User Profile Disks в Windows Server RDS

Лицензирование Windows Server в виртуальной среде

Комментариев: 19 Оставить комментарий

Роман 27.04.2015
проделал все как в статье, но при подключении получаю
«Ошибка сервера в приложении ‘/RDWeb/Pages’.
———————————————————————————
Не удалось найти данный ресурс.
Описание: HTTP 404. Возможно, искомый ресурс (или одна из его зависимостей) удален, получил другое имя или временно недоступен. Просмотрите следующий URL-адрес и проверьте, что он введен правильно.
Запрошенный URL: /RDWeb/Pages/en-US/password.aspx
«
Ответить
- itpro 28.04.2015
  У вас случайно не русская версия Windows Server?
  Работает ли служба RD Web Access и открываются ли ее страницы?
  Файл password.aspx имеется?
  Ответить
  - Роман 28.04.2015
    Разобрался, но отписался, действительно русская версия, по ссылке с ru-ru все работает
    Ответить
MMC 26.06.2015
В тексте про password.aspx сказано про строку 583, на скриншоте строка 538.
В моём файле это тоже строка 538.
Ответить
- itpro 26.06.2015
  Вы правы, опечатался немного
  Ответить
aleksander 22.04.2020
у меня уже стоит разрешение. но пользователи самостоятельно не могут менять пароль. когда переходят по ссылке. нельзя ввести логин.
пароль можно изменить только в том случае если просрочен
Ответить
Aionik 20.10.2020
Настроил всё по инструкции. После перехода на страницу смены пароля и ввода всех данных (логин, старый пароль, новый пароль) и нажатия кнопки «отправить» получаю ошибку «Вы ввели недопустимое имя пользователя или пароль.»
Ответить
- itpro 10.11.2020
  Скорее всего сложность пароля не соответствует доменной политике паролей
  Ответить
  - Евгений 12.08.2022
    «Вы ввели недопустимое имя пользователя или пароль. Повторите ввод.»
    Такая же проблема. Со сложностью всё хорошо. Подскажите, куда копать.
    Всё по инструкции делалось
    Ответить
    - Евгений 15.08.2022
      Всё. Разобрался.
      dom.local\User — не хавается для смены пароля. Надо прописывать dom\User — тогда всё как по маслу
      Ответить
      - nazar 09.11.2022
        де це пропосувати дайте скрін
DartZEK 24.03.2021
А есть способ ограничить группу людей, которым будет доступен такой вариант смены пароля? Например наличие пользователя в определенной группе или оюшке
Ответить
Ираклий 21.06.2021
Мне точно достаточно в строке 538 заменить текст
table border=»0″ cellspacing=»0″ cellpadding=»0″ style=»display:none» id=»tablePublicOption»
на мой
a href=»https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx»> Смена пароля Смена пароля</a
выше в ссылки все переделалось
Ответить
Ануар 11.01.2023
Настроил по инструкции, страница сброса пароля открывается, но при попытке сброса ничего не происходит (никаких ошибок и уведомлений). Не могли бы вы подсказать в какую сторону смотреть?
Ответить
- itpro 13.01.2023
  Попробуйте при смене пароля указать учетную запись в формате:
  WINITPRO\username
  Если не оно, включите политику аудита Audit Account Management в Computer Configuration — Policies -Windows Settings — Security Settings — Local Policy — Audit Policy
  И смотрите события в журнале Security
  Ответить
Андрей 09.06.2023
спасибо за статью, все настроил, вопрос появился, а будет ли работать SSO при включении Form Auth?
Ответить
Андрей 21.03.2024
Всё так, пользователя указываю с доменом, получаю ошибку: «Ваш пароль невозможно изменить. Обратитесь за помощью к администратору.» Может быть из-за того, что сервер не в Active Directory ?
Ответить
- Евгений 28.10.2024
  Разобрались с проблемой? Возникла та же
  Ответить
олег 21.08.2024
Добрый день. пробую проделать тоже самое но на Windows 2012, не R2, ни чего не выходит такое чувство что просто нет нужных шаблонов в IIS скажите данная статья применима только R2 и выше?
Ответить

Оставить комментарий