So setzen Sie ein abgelaufenes Kennwort mithilfe des Remotedesktop-Webzugriffs auf einem Windows Server zurück

Das Zurücksetzen von Passwörtern auf RDS-Servern kann ganz schön kompliziert sein, wenn man mit den technischen Details nicht vertraut ist. Besonders dann, wenn Remote-Benutzer ihre abgelaufenen Passwörter nicht über eine normale RDP-Verbindung ändern können, da die Netzwerkauthentifizierung (NLA) in Windows Server 2012 R2 und neueren Versionen so konfiguriert ist. NLA ist zwar eine gute Sicherheitsfunktion, aber sie erschwert die Sache, da sie Passwortaktualisierungen während Remotesitzungen blockiert, wenn Passwörter bereits abgelaufen sind. Das ist natürlich nicht optimal, wenn Benutzer ausgesperrt sind und das Problem nicht selbst beheben können.

Die Lösung besteht darin, ihnen ein Webportal – beispielsweise ein spezielles Webformular auf der RD-Webzugriffsseite – zur Verfügung zu stellen, über das sie ihre Passwörter aktualisieren können, ohne sich per RDP verbinden zu müssen. Dies ist besonders hilfreich, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden und nicht einfach ein VPN nutzen oder auf ihren lokalen Rechner zugreifen können. In manchen Fällen hat sich diese Lösung als äußerst hilfreich erwiesen, erfordert jedoch zuvor einige Konfigurationsarbeiten.

So aktivieren Sie die Fernpasswortzurücksetzung über den RD-Webzugriff

Stellen Sie sicher, dass Sie den richtigen Server und die richtige Rolle haben.

  • Prüfen Sie zunächst, ob auf Ihrem Server die Rolle „Remotedesktop-Webzugriff“ installiert ist. Dies erfolgt üblicherweise über den Server-Manager unter „Rollen und Features hinzufügen “.Wenn Sie eine Serverfarm verwenden, ermitteln Sie den richtigen Server mit der Rolle „RDS-Webzugriff“ – versuchen Sie dazu, den folgenden PowerShell-Befehl auszuführen:
Get-RDServer -ConnectionBroker rdcb1.yourdomain.com | where {$_.roles -contains "RDS-WEB-ACCESS"}
  • Vergewissern Sie sich, dass Ihre Bereitstellung ordnungsgemäß eingerichtet ist und Sie über Administratorzugriff auf den Webserver verfügen, auf dem die RD-Webzugriffsrolle gehostet wird.
  • Konfigurieren Sie die Kennwortänderungsfunktion in IIS.

    • Öffnen Sie auf dem Server, auf dem RD Web Access ausgeführt wird, den IIS-Managerinetmgr. Navigieren Sie zu [Servername] > Websites > Standardwebsite > RDWeb > Seiten und suchen Sie die Datei Web.config. Der Pfad lautet üblicherweise <Pfad> C:\Windows\Web\RDWeb\Pages\en-US\Web.config, kann aber je nach Sprachversion (z.fr-FRB. Französisch) abweichen.
    • Suchen Sie nach dem Parameter „PasswordChangeEnabled“. Falls er fehlt, fügen Sie ihn hinzu.Ändern Sie seinen Wert wie folgt auf „true“ :
    <add key="PasswordChangeEnabled" value="true" />
  • Vergessen Sie nicht, IIS anschließend neu zu starten, damit die Änderungen wirksam werden – führen Sie dazu einfach einen iisresetBefehl in einer PowerShell-Konsole mit Administratorrechten oder in der Eingabeaufforderung aus.
  • Überprüfen Sie, ob es funktioniert.

    • Sobald IIS neu gestartet wurde, rufen Sie die Seite zum Ändern des Passworts manuell unter folgender Adresse auf: https://yourserver/RDWeb/Pages/en-US/password.aspx.
    • Melden Sie sich mit einem Benutzerkonto an, dessen Passwort abgelaufen ist. Sie sollten dann aufgefordert werden, es zu aktualisieren. Falls das SSL-Zertifikat noch nicht eingerichtet ist, kann dies zu Problemen führen. Verwenden Sie daher nach Möglichkeit ein kostenloses SSL-Zertifikat wie Let’s Encrypt. Andernfalls blockieren Browser möglicherweise den Zugriff auf die Seite.

    Hinweis zu den Authentifizierungsmethoden

    Diese Funktion ist nur verfügbar, wenn die Formularauthentifizierung in IIS für die RD-Webzugriffswebsite aktiviert ist. Bei aktivierter Windows-Authentifizierung wird die Option zum Ändern des Kennworts nicht angezeigt. Sie können dies im IIS-Manager unter den Authentifizierungseinstellungen für den Ordner „RDWeb“ überprüfen. Die Umstellung auf Formularauthentifizierung ist erforderlich, um das formularbasierte Ändern des Kennworts zu ermöglichen.

    Hinzufügen eines direkten Links zur Seite zum Ändern des Passworts auf der Anmeldeseite

    1. Sichern Sie Ihre login.aspx- Datei, die sich unter C:\Windows\Web\RDWeb\Pages\en-US\login.aspx befindet.Öffnen Sie sie anschließend mit einem beliebigen Texteditor (Notepad++, VSCode usw.).
    2. Navigieren Sie zu etwa Zeile 429 oder suchen Sie nach dem HTML-Block, der Meldungen über abgelaufene Passwörter enthält. Normalerweise befindet sich dort ein Platzhalter wie <tr id="trPasswordExpiredNoChange">.
    3. Fügen Sie den folgenden Codeausschnitt ein, um einen Link direkt zur Seite zum Ändern des Passworts einzufügen:
    4. <!-- Begin: Add Change Password Link --> <tr> <td align="right"> <a href="password.aspx" title="Change AD User Password">Click here</a> to change your password.</td> </tr> <!-- End: Add Change Password Link -->
    5. Speichern Sie die Datei und starten Sie IIS anschließend neu iisreset. Wenn Benutzer nun die Anmeldeseite aufrufen, sehen sie einen praktischen Link, über den sie ihr Passwort jederzeit ändern können.

    Diese kleine Änderung kann viel Ärger ersparen, wenn Nutzer vergessen, ihr Passwort vor dessen Ablauf zu ändern oder ausgesperrt zu werden. Ein Hinweis: Lokal zwischengespeicherte Anmeldeinformationen werden nach einer Passwortänderung über dieses Webportal nicht automatisch aktualisiert. Dennoch ist es deutlich besser als nichts.

    Die Einrichtung ist zwar nicht ganz einfach, aber sobald es funktioniert, können die Nutzer ihre Passwörter selbst verwalten – ein großer Vorteil. Es kann jedoch etwas Feintuning erfordern, um alles reibungslos und sicher einzurichten.

    Zusammenfassung

    • Aktivieren Sie PasswordChangeEnabled in der IIS Web.config.
    • Starten Sie IIS neu mit iisreset.
    • Testen Sie den Zugriff unter yourserver/RDWeb/Pages/en-US/password.aspx.
    • Fügen Sie einen Link zur Anmeldeseite hinzu, um einen schnellen Zugriff zu ermöglichen.

    Zusammenfassung

    Mit ein paar Konfigurationseinstellungen in IIS können Remote-Benutzer ihre abgelaufenen Passwörter problemlos aktualisieren. Das Tool ist vorhanden, muss nur aktiviert und die Webseiten angepasst werden. Hoffentlich erspart Ihnen das die ständigen Support-Anrufe. Ich hoffe, das hilft allen, die neu in der RDS-Umgebung sind.