1. 事象
Windows Serverにリモートデスクトップ接続すると、次のようなメッセージが表示され接続できないことがあります。
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
2. 原因
2.1. 原因①
まず、最初のログオン時にパスワードの変更を求められていますので、接続先のサーバで作成したユーザの ユーザーは次回ログオン時にパスワードの変更が必要 の項目にチェックが入っているはずです。これが発生要因のひとつになります。
※参考:「ローカルユーザーとグループ」の開き方
なぜログオン時にパスワード変更できないのでしょうか。
2.1. 原因②
NLA認証によりパスワードの変更処理を受け渡せない
Windows Server 2012R2以降ではRDPのセッションを確立する前に資格情報を要求するネットワークレベル認証(Network Level Authenticatin: NLA)が使われます。NLAでは、仕組み上パスワード変更処理を受け渡せないので、パスワードの変更が必要な場合はログオンに失敗します。
3. NLAによりパスワード変更処理ができないパターン
NLAによりパスワード変更処理ができず、RDP接続の確立ができないのは次の2パターンです 。
1. 接続先のWindows Server 側でNLAを強制している
NLAを強制しない場合は、NLAでのRDP接続確立に失敗すると、NLAを無効化した状態で接続を確立します。従って、NLAを強制しないように接続先サーバーの設定を変更することで、接続を確立後にパスワード変更できるようになります。なお、NLAを強制するとは、具体的には以下の赤枠で囲んだ部分にチェックが入っている状態のことです。
※参考:「システムのプロパティ」の開き方
2. NLAを強制していないが、NLA接続に失敗したあとに、NLAを無効化した接続を行わない
特定の組み合わせ、例えばWindows 10からWindows Server 2012 R2にリモートデスクトップ接続をするようなケースでは NLAを強制していない場合でも、NLAを無効化しした接続がおこなわれないため、接続に失敗します。※具体的な組み合わせは以下を参考にしてください。
この場合の現実的な解決方策は以下2つです。
- サーバ側でNLAを完全無効化し、セッション確立前に資格情報を要求しないようにする。
- クライアント側でNLA認証で利用されるCredSSPを使った接続を行わないようにする。
上記それぞれについては以下にページに記載しましたので、ご参照ください。
●NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする
●RDP接続時にクライアントがネットワークレベル認証を利用しないように設定する
(参考サイト)
・Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について
コメント