最初にログオンする前にパスワードを変更する必要があります。パスワードを更新するか、システム管理者またはテクニカルサポートに問い合わせてください。

Windows Server 2012 R2 にリモートデスクトップ接続すると、次のようなメッセージが表示され接続できないことがあります。

最初にログオンする前にパスワードを変更する必要があります。パスワードを更新するか、システム管理者またはテクニカルサポートに問い合わせてください。
最初にログオンする前にパスワードを変更する必要があります。パスワードを更新するか、システム管理者またはテクニカルサポートに問い合わせてください。

まず、最初のログオン時にパスワードの変更を求められていますので、接続先のサーバで作成したユーザの [ユーザーは次回ログオン時にパスワードの変更が必要] の項目にチェックが入っているはずです。これが発生要因のひとつになります。

なぜログオン時にパスワード変更できないのでしょうか。

NLA認証によりパスワードの変更処理を受け渡せない

Windows Server 2012R2ではRDPのセッションを確立する前に資格情報を要求するネットワークレベル認証(Network Level Authenticatin: NLA)が使われます。NLAでは、仕組み上パスワード変更処理を受け渡せないので、パスワードの変更が必要な場合はログオンに失敗します。

NLAによりパスワード変更処理ができず、RDP接続の確立ができないのは次の2パターンです 。

1. 接続先のWindows Server 側でNLAを強制している

NLAを強制しない場合は、NLAでのRDP接続確立に失敗すると、NLAを無効化した状態で接続を確立します。従って、NLAを強制しないように接続先サーバーの設定を変更することで、接続を確立後にパスワード変更できるようになります。なお、NLAを強制するとは、具体的には以下の赤枠で囲んだ部分にチェックが入っている状態のことです。

ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する


2. NLAを強制していないが、NLA接続に失敗したあとに、NLAを無効化した接続を行わない

特定の組み合わせ、例えばWindows 10からWindows Server 2012 R2にリモートデスクトップ接続をNLA有効で実施し失敗した場合、NLAを強制していない場合でも、NLAを無効化しした接続がおこなわれないため、接続に失敗します。※具体的な組み合わせは以下を参考にしてください。

出典: Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について

この場合の現実的な解決方策は以下2つです。

  1. サーバ側でNLAを完全無効化し、セッション確立前に資格情報を要求しないようにする。
  2. クライアント側でNLA認証で利用されるCredSSPを使った接続を行わないようにする。

上記それぞれについては以下にページに記載しましたので、ご参照ください。


●NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする

●RDP接続時にクライアントがネットワークレベル認証を利用しないように設定する

(参考サイト)
Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について


コメント