Windows ServerでリモートデスクトップWebアクセスを介して期限切れのパスワードを変更するにはどうすればよいですか？

Windows Server 2012 R2以降では、 NLA （ネットワークレベル認証）は、リモートデスクトップ接続に対してデフォルトで有効になっています。 NLAは、パスワードの有効期限が切れている場合、または「ユーザーは最初のログオン時にパスワードを変更する必要がある」を持っている場合、ユーザーがRDP/RDSホストに接続できないようにします。 」オプションは、useraccountcontrolユーザー属性で有効になっています。 NLA（ref1、ref2）を無効にすることはできますが、これはセキュリティの観点からは良くありません。有効期限が切れたパスワードを使用してユーザーアカウントでRDSHサーバー（リモートデスクトップセッションホスト）に接続しようとすると、次のエラーメッセージが表示されます。

An authentication error has occurred.
The Local Security Authority cannot be contacted
Remote computer: lonSrvRDS1
This could be due to an expired password
Please update your password if it has expired.

NLAを使用する場合、リモートRDPユーザーは、RDSインフラストラクチャ以外に企業ネットワークにアクセスする方法がない場合、期限切れのパスワードを変更できません。確かに、事前にRDPセッションで直接パスワードを変更するようにユーザーに依頼するか、インタラクティブログオン：有効期限が切れる前にユーザーにパスワードの変更を促すを有効にすることができます。 GPOオプションのRDSホスト（[コンピューターの構成]->[Windowsの設定]->[ローカルポリシー]->[セキュリティオプション]）。ただし、ユーザーの一般的な忘却のため、常に機能するとは限りません。

Windows 2012 R2以降では、リモートユーザーは、リモートデスクトップWebアクセスを使用して、サーバー上の特別なWebページから手動でパスワード（現在のパスワードまたは期限切れのパスワード）をリセットできます。 役割。パスワードを変更するには、ユーザーはRDS-WebAccessサインインWebページを介して認証し、特別なaspxフォームを使用してパスワードを変更する必要があります。

リモートユーザーがRDWebアクセスホストで期限切れのパスワードをリセットできるようにするにはどうすればよいですか？

リモートパスワード変更オプションは、リモートデスクトップWebアクセス（RD Webアクセス）の役割を持つサーバーで使用できますが、この機能はデフォルトで無効になっています。

RDSサーバーファームを展開している場合は、RD接続ブローカーホストに展開構成を接続することで、RDS-WEB-Accessの役割がインストールされているサーバーを見つけることができます。

Get-RDServer -ConnectionBroker rdcb1.woshub.com| where {$_.roles -eq "RDS-WEB-ACCESS"}

パスワードを変更するには、 password.aspxのスクリプトを使用します C：\ Windows \ Web \ RDWeb \ Pages \ en-USにあるファイル 。

• C：\ Windows \ Web \ RDWeb \ Pages \ fr-FR –フランス語版のWindowsServerの場合
• C：\ Windows \ Web \ RDWeb \ Pages \ de-DE –ドイツ語版の場合。

パスワード変更オプションを有効にするには、 IIS Managerを実行する必要があります コンソール（inetmgr ）構成されたRDWebアクセスロールを持つサーバー上。 [サーバー名]–>サイト–>デフォルトのWebサイト–> RDWeb –>ページに移動します アプリケーション設定を開きます セクション。

右側のペインで、 PasswordChangeEnabledを見つけます パラメータを設定し、その値を trueに変更します 。

PasswordChangeEnabled パラメータを使用すると、ActiveDirectoryユーザーはRDWebアクセスポータルを介して期限切れのパスワードを変更できます。このオプションでは、ワークグループ環境（ドメインなし）のRDSホスト上のローカルユーザーのパスワードを変更することはできません。

コンソールからIISWebサーバーを再起動するか、次のコマンドを使用します。

iisreset 

パスワード変更ページが利用可能かどうかを確認するには、次のWebページにアクセスしてください。

https://lonSrvRDS1/RDWeb/Pages/en-US/password.aspx

ユーザー名、古いパスワード、新しいパスワードを2回入力します。

ユーザーのパスワードを正常に変更すると、次のメッセージが表示されます。

Your password has been successfully changed.

[OK]をクリックすると、ユーザーはRDWebログインページにリダイレクトされます。ユーザーのパスワードがドメインのパスワードポリシーと一致しない場合、警告メッセージが表示されます：

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password.

サポートされている認証の種類をIISマネージャーコンソールで一覧表示および変更できます。右ペインで[サイト]->[デフォルトのWebサイト]->[RDWeb]->[ページ]を選択し、[フォーム認証]を選択します。 。

これで、期限切れのパスワードを使用してRD Webアクセスサーバーに接続しようとすると、ユーザーはpassword.aspx Webページにリダイレクトされ、パスワードの変更が提案されます。

RDWebアクセスログインフォームへのパスワード変更リンクの追加

パスワード変更フォームへのリンクを、リモートデスクトップWebAccessサインインフォームに直接追加できます。これにより、ユーザーはパスワードの有効期限が切れるまで待たずにいつでもパスワードを変更できます。

password.aspxファイルへのリンクをRDWebサインインページに挿入します（編集する前にpassword.aspxファイルのバックアップコピーを作成します）。

1. RDWebサーバーで、ファイル C：\ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspxを見つけて開きます。 任意のテキストエディタで（私はNotepad ++が好きです）;
2. 429行目に移動します（Windows Server 2022では、次のHTMLブロックの後にあります<tr id="trPasswordExpiredNoChange" <%=strErrorMessageRowStyle%> > … </tr> ）そして次のコードを貼り付けます：
3. <!-- Begin: Add Change Password Link -->
<tr>
<td align="right"> <a href="password.aspx" title="Change AD User Password">Click here </a>to change your password.
</td>
</tr>
<!-- End: Add Change Password Link -->
4. login.aspxファイルに変更を保存し、IIS Webサイトを再起動して、パスワード変更ページへのリンクがRDWebサーバーのサインインページに表示されることを確認します。

リモートユーザーは、管理者の介入なしにRDSサーバーの期限切れのパスワードを変更できるようになりました。ドメインのキャッシュされた資格情報を使用してローカルコンピューターにログオンする場合、RDWebAccessを介してActiveDirectoryのパスワードを変更した後は更新されないことに注意してください。