RDP リモートデスクトップ 「最初にログオンする前にパスワードを変更する必要があります。~」というメッセージが表示されて接続できないという事象があるようです。
これOSのバージョンによって仕様が変わったそうなのですが、Windows Server 2016、Windows Server 2019でリモートデスクトップ接続経由でパスワードを変更することがある場合は注意が必要です。
まずフォーラムにそれに関連する問い合わせがありました。
Windows Server 2016におけるCredSSP認証の回避策について
現在Azure上にVM(Windows Server 2016)を作成しており、VM上でローカルユーザーを作成し、各メンバーに利用させたいと考えています。
その際ユーザーにパスワードの変更を促すために、ローカルユーザー作成時に「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れて、ユーザーに配布を行っています。
ただ、この状態で各ユーザーのパソコンからリモートデスクトップ接続を行うと、「最初にログオンする前にパスワードを変更する必要があります。パスワードを更新するか、システム管理者またはテクニカルサポートに問い合わせてください。」というポップアップが出現し、ログインできない状態になっております。
これに関して調べたところ、NLA のリモート デスクトップ接続では、パスワード変更処理を受け渡す動作を行わないためであり、.rdp ファイルを作成し、CredSSP を用いた接続を行わないよう設定することで問題を回避できるという情報を見つけました。~
これについてマイクロソフトの公開情報があります。
Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について | Microsoft Docs
以下の環境で、リモート デスクトップ接続時に、ユーザーのパスワード変更ができなくなりました。原因と回避策について教えてください。<環境>[接続元]OS: Windows Server 2012 R2[接続先]OS: Windows Server 2012 R2
●[システムのプロパティ] にて、[ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する (推奨) ] のチェックを外している。(ネットワーク レベル認証が強制されていない)
●接続に使用するユーザーは、[ユーザーは次回ログオン時にパスワード変更が必要] にチェックがついている。
事象
ご質問内容の通り、 [ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する] のチェックボックスを外すのみでは、以下の表の "NO" と示された接続元・接続先 OS の組み合わせでは、リモート デスクトップ接続でのパスワード変更 (次回ログオン時のパスワード変更 および パスワードの有効期限超過時のパスワード変更) が行えません。
これは、ワークグループ環境、ドメイン環境を問いません。
NLA が強制されている場合、リモート デスクトップ接続上で、ログオン時にユーザーのパスワード変更は行えず、これは、NLA のリモート デスクトップ接続では、パスワード変更処理を受け渡す動作を行わないためであり、想定された動作となるそうです。
[システムのプロパティ] にて、[ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する (推奨) ] のチェックを外しているとパスワードの変更ができなくなる問題が発生するので、注意が必要です。
