이 문서에서는 원격 사용자가 Windows Server 2022/2019/2016/2012 R2에서 RD 웹 액세스 역할이 있는 RDS(원격 데스크톱 서비스) 서버의 특수 웹 양식을 사용하여 만료된 암호를 변경하는 방법을 보여줍니다.
원격 데스크톱 세션에서 만료된 비밀번호를 변경할 수 없음
Windows Server 2012 R2 이상에서는 NLA (네트워크 수준 인증)은 기본적으로 원격 데스크톱 연결에 대해 활성화되어 있습니다. NLA는 암호가 만료되었거나 "사용자가 처음 로그온할 때 암호를 변경해야 함이 있는 사용자가 RDP/RDS 호스트에 연결할 수 없도록 합니다. ” 옵션은 useraccountcontrol 사용자 속성에서 활성화되었습니다. NLA(ref1, ref2)를 비활성화할 수 있지만 이는 보안상 좋지 않습니다. 암호가 만료된 사용자 계정으로 RDSH 서버(원격 데스크톱 세션 호스트)에 연결하려고 하면 다음 오류 메시지가 나타납니다.
An authentication error has occurred. The Local Security Authority cannot be contacted Remote computer: lonSrvRDS1 This could be due to an expired password Please update your password if it has expired.
NLA를 사용할 때 원격 RDP 사용자는 RDS 인프라 외에 회사 네트워크에 액세스할 수 있는 다른 방법이 없는 경우 만료된 암호를 변경할 수 없습니다. 물론 사전에 RDP 세션에서 직접 비밀번호를 변경하도록 사용자에게 요청하거나 대화형 로그온:만료 전에 사용자에게 비밀번호 변경 요청을 활성화하여 사용자에게 요청할 수 있습니다. GPO 옵션 RDS 호스트(컴퓨터 구성 -> Windows 설정 -> 로컬 정책 -> 보안 옵션), 하지만 사용자가 흔히 잊어버리는 문제로 인해 항상 작동하는 것은 아닙니다.
Windows 2012 R2 이상에서 원격 사용자는 원격 데스크톱 웹 액세스가 있는 서버의 특수 웹 페이지를 통해 암호(현재 암호 또는 만료된 암호)를 수동으로 재설정할 수 있습니다. 역할. 비밀번호를 변경하려면 사용자가 RDS-WebAccess 로그인 웹페이지를 통해 인증하고 특별한 aspx 형식을 사용하여 비밀번호를 변경해야 합니다.
참고 . Windows Server 2003에서 도메인 사용자는 작은 웹 애플리케이션IISADMPWD를 사용하여 만료된 비밀번호를 변경할 수 있었습니다. (공식적으로 지원되지는 않지만). 원격 사용자가 RDWeb 액세스 호스트에서 만료된 비밀번호를 재설정하도록 허용하는 방법
원격 암호 변경 옵션은 원격 데스크톱 웹 액세스(RD 웹 액세스) 역할이 있는 서버에서 사용할 수 있지만 이 기능은 기본적으로 비활성화되어 있습니다.
RDS 서버 팜이 배포된 경우 RD 연결 브로커 호스트에서 배포 구성을 연결하여 RDS-WEB-Access 역할이 설치된 서버를 찾을 수 있습니다.
Get-RDServer -ConnectionBroker rdcb1.woshub.com| where {$_.roles -eq "RDS-WEB-ACCESS"}
비밀번호를 변경하려면 password.aspx의 스크립트를 사용하세요. C:\Windows\Web\RDWeb\Pages\en-US에 있는 파일 .
지역화된 버전의 Windows Server(언어 팩 없음)를 사용하는 경우 password.aspx 파일의 경로는 다음과 같이 달라집니다.- C:\Windows\Web\RDWeb\Pages\fr-FR – Windows Server 프랑스어 버전용
- C:\Windows\Web\RDWeb\Pages\DE-DE – 독일어 버전용.
비밀번호 변경 옵션을 사용하려면 IIS 관리자를 실행해야 합니다. 콘솔(inetmgr ) 구성된 RD 웹 액세스 역할이 있는 서버에서. [서버 이름] –> 사이트 –> 기본 웹 사이트 –> RDWeb –> 페이지로 이동합니다. 애플리케이션 설정을 엽니다. 섹션.
오른쪽 창에서 PasswordChangeEnabled를 찾습니다. 매개변수를 지정하고 값을 true로 변경 .
비밀번호 변경 가능 매개 변수를 사용하면 Active Directory 사용자가 RD 웹 액세스 포털을 통해 만료된 암호를 변경할 수 있습니다. 이 옵션은 작업 그룹 환경(도메인 없음)의 RDS 호스트에서 로컬 사용자의 암호 변경을 허용하지 않습니다.
콘솔에서 IIS 웹 서버를 다시 시작하거나 다음 명령을 사용하십시오.
iisreset
비밀번호 변경 페이지의 가용성을 확인하려면 다음 웹페이지로 이동하십시오.
https://lonSrvRDS1/RDWeb/Pages/en-US/password.aspx
RD 웹 액세스에는 유효한 SSL 인증서가 설치되어 있어야 합니다. IIS에서 무료 Let's Encrypt 인증서를 사용할 수 있습니다.사용자 이름, 이전 비밀번호, 새 비밀번호를 두 번 입력합니다.
사용자의 비밀번호를 성공적으로 변경한 후 다음 메시지가 표시되어야 합니다.
Your password has been successfully changed.
확인을 클릭하면 사용자가 RD 웹 로그인 페이지로 리디렉션됩니다. 사용자의 비밀번호가 도메인의 비밀번호 정책과 일치하지 않으면 경고 메시지가 나타납니다:
Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password.
IIS 관리자 콘솔에서 지원되는 인증 유형을 나열하고 변경할 수 있습니다. 오른쪽 창에서 사이트 -> 기본 웹 사이트 -> RDWeb -> 페이지를 선택하고 양식 인증을 선택합니다. .
이제 만료된 암호로 RD 웹 액세스 서버에 연결하려고 하면 사용자가 password.aspx 웹 페이지로 리디렉션되고 암호를 변경하라는 제안이 표시됩니다.
RD 웹 액세스 로그인 양식에 비밀번호 변경 링크 추가
원격 데스크톱 WebAccess 로그인 양식에 직접 암호 변경 양식에 대한 링크를 추가할 수 있습니다. 이를 통해 사용자는 만료될 때까지 기다리지 않고 언제든지 비밀번호를 변경할 수 있습니다.
RDWeb 로그인 페이지에 password.aspx 파일에 대한 링크를 삽입합니다(편집하기 전에 password.aspx 파일의 백업 복사본 만들기).
- RDWeb 서버에서 C:\Windows\Web\RDWeb\Pages\en-US\login.aspx 파일을 찾아 엽니다. 모든 텍스트 편집기에서(나는 메모장++을 선호함);
- 429행으로 이동(Windows Server 2022에서는 다음 HTML 블록
<tr id="trPasswordExpiredNoChange" <%=strErrorMessageRowStyle%> > … </tr>뒤에 있습니다. ) 다음 코드를 붙여넣습니다. <!-- Begin: Add Change Password Link -->
<tr>
<td align="right"> <a href="password.aspx" title="Change AD User Password">Click here </a>to change your password.
</td>
</tr>
<!-- End: Add Change Password Link -->
- login.aspx 파일에 변경 사항을 저장하고 IIS 웹 사이트를 다시 시작한 다음 RD 웹 서버의 로그인 페이지에 암호 변경 페이지에 대한 링크가 나타나는지 확인하십시오.
원격 사용자는 이제 관리자 개입 없이 RDS 서버에서 만료된 암호를 변경할 수 있습니다. 도메인 캐시 자격 증명을 사용하여 로컬 컴퓨터에 로그온하는 경우 RDWebAccess를 통해 Active Directory 암호를 변경한 후 업데이트되지 않습니다.