RDP Fehlermeldung bei Passwortänderungen

Problem:

Die Sicherheitsrichtlinie verlangt es, dass das Passwort geändert wird. Meldet man sich an einem System über RDP an kann das Passwort nicht geändert werden.

Fehler: Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Der Computer ist entweder nicht verfügbar, oder der Zugriff wurde verweigert.

Analyse:

Die Fehlermeldung ist irreführend, denn das System muss nicht in einer Domäne integriert sein.
Die Ursache liegt darin, dass das System für die Passwortänderung nur die Information des Users bekommt, also z.B. U.NAME. Es muss aber die komplette Authentifizierung inkl. Servername übergeben werden, z.B. SYSTEMNAME\U.NAME.

Lösung:

Bearbeiten Sie die RDP-Verbindung dahingehend, dass im Feld User der Servername ink. Benutzername hinterlegt wird, z.B. SYSTEMNAME\U.NAME. Im Anschluss verbinden Sie sich mit dem System und ändern das Passwort.


Teil 2

Wenn sich ein Client über RDP mit einen Windows Server 2008 R2 und Windows Server 2012 R2 verbindet und der Benutzer beim Anmeldung der Passwort ändern muss wird die Fehlermeldung „You must change your password before logging on the first time. Please change the password or contact your network administrator or technical support for assistance.“ angezeigt. Leider lässt sich das Passwort aber über die RDP-Session ohne weitere Konfiguration nicht ändern.

Das liegt daran, dass bei den betroffenen Systemen die “Network Level Authentication” (NLA) aktiviert ist. Diese hat den Vorteil, dass unter anderem weniger Ressourcen verwendet werden, bevor der Benutzer authentifiziert ist. Zudem kann es die Sicherheit vor denial-of-service-attacks erhöhen.

Hierfür müssen Sie folgende Konfiguration durchführen:

  1. Melden Sie sich am Server an
  2. Starten Sie mmc.exe und fügen das SnapIn Gruppenrichtlinienobjekt Editor für das lokale System hinzu
  3. Öffen Sie die Baumstruktur wie folgt:
    Richtlinien für Lokale Computer / Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktopsitzungs-Host / Sicherheit
  4. Öffnen Sie die folgende Einstellung und setzen den Wert auf Deaktiviert
    Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich
  5. Starten Sie das System neu
  6. Damit die Kommunikation erfolgreich ausgeführt werden muss, starten Sie auf dem Client die Remotedesktopverbindung. Zusätzlich muss seitens Client für RDP-Verbindung der Parameter gesetzt werden.
  7. Klicken Sie im RDP Fenster auf Optionen einblenden und klicken auf speichern unter und vergeben einen gewünschten Namen.
  8. Öffnen Sie die Datei mit einem Editor.
  9. Fügen Sie am ende der Zeile den folgenden Wert ein:
    enablecredsspsupport:i:0
  10. Speichern Sie diese Einstellung
  11. Öffnen Sie nun die RDP-Vorlage durch einen Doppelklick, tragen den gewünschten Server ein und bauen eine Verbindung auf.
  12. Nun können Sie auf dem System die Passwortänderung bei einem Login durchführen.

Weitere Links
ESCDE

Leave a Reply