Vorwort
Der folgende Artikel beschreibt eine Möglichkeit mit der Active Directory Benutzer eine Passwortänderung auf einer Website durchführen können. Dafür wird das Windows Feature “Web Access für Remote Desktop” etwas zweckentfremdet. Eine komplette Installation und Konfiguration der Remote Desktop Dienste ist dafür nicht erforderlich.
Hinweis: Der hier beschriebene Weg eignet sich nur dazu das bekannte Active Directory Passwort zu ändern. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit nicht möglich.
Die Passwort Änderung mittels Website ist für Benutzer interessant, die an Rechnern arbeiten, die nicht Mitglied des Active Directory sind.
Vorbereitung
Als Vorbereitung reicht ein installierter Server mit Windows Server 2016 oder Windows Server 2012 R2 aus. Der Server muss Mitglied des Active Directory sein und über die aktuellen Windows Updates verfügen.
Installation Web Access für Remote Desktop
Auf dem vorbereiteten Server kann nun via Server Manager die Rolle “Remotedesktopdienste” hinzugefügt werden:
Es müssen keine bestimmten Features hinzugefügt werden. Entsprechende Abhängigkeiten werden automatisch installiert. Daher kann hier einfach auf “Weiter” geklickt werden:
Als Rollendienst wird nur “Web Access für Remotedesktop” benötigt:
An dieser Stelle werden nun alle Abhängigkeiten für den Rollendienst “Web Access für Remotedesktop” hinzugefügt:
Die Rollendienste für den IIS Webserver können ebenfalls so belassen werden:
Nach der Zusammenfassung können die Rollen installiert werden:
Sobald die Rollen installiert wird, kann die Konfiguration beginnen.
Konfiguration
Damit man sich die URL für Passwortänderungen später einfacher merken kann, wird zunächst ein Alias für den Server im DNS angelegt. Ich hab als Beispiel den Alias “password” gewählt und lasse ihn auf den Server zeigen:
Im IIS Manager auf dem Server gibt es nun unter der “Default Web Site” die Anwendung “RDWeb”, darunter findet sich die Anwendung “Pages”. Die Anwendung “Pages” wird ausgewählt und die “Anwendungseinstellungen” geöffnet:
In den Anwendungseinstellungen muss nun die Einstellung “PasswordChangeEnabled” auf den Wert “true” geändert werden:
Jetzt kann bereits die Passwortänderung getestet werden. Das Portal zu Passwortänderung ist unter der folgenden URL erreichbar:
- https://localhost/RDWeb/Pages/de-DE/password.aspx
oder in meinem Fall (wie im DNS eingetragen):
- https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx
Die Seite sieht nun wie folgt aus:
Da aber die URL noch recht umständlich ist, wird noch eine Umleitung von der Default Web Site eingerichtet. Dazu wird im IIS Manager die “Default Web Site” ausgewählt und “HTTP-Umleitung” ausgewählt:
Als Ziel wird nun die URL des Portals eingetragen und die folgenden Einstellungen ausgewählt:
Wichtig: Als Umleitungsziel nicht die “localhost”-Url eingeben! In meinem Fall ist das Weiterleitungsziel https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx.
Die Umleitung sorgt dafür das Aufrufe für https://password.ad.frankysweb.com an das Passwortportal weitergeleitet werden:
Benutzer können nun mit ihrem Browser einfach die entsprechende URL aufrufen (https://password.ad.frankysweb.com) und ihr Passwort ändern. Allerdings sieht die Seite für ein Portal zu Passwortänderung noch ein bisschen merkwürdig aus. Mit ein paar Anpassungen lässt sich aber auch das beheben.
Anpassungen
Mit ein paar kleinen Anpassungen sieht die Seite eher wie ein Portal zu Passwort Änderung aus. In der folgenden Datei habe ich diese Strings angepasst:
- C:\Windows\Web\RDWeb\Pages\de-DE\RDWAStrings.xml
- PageTitle: Passwort ändern
- HeadingRDWA: Passwort ändern
- HeadingApplicationName: Portal zur Passwortänderung
Zusätzlich habe ich noch in der folgenden Datei einen String angepasst:
C:\Windows\Web\RDWeb\Pages\de-DE\password.aspx
- L_CompanyName_Text: Passwort ändern
Jetzt noch Logo der Seite austauschen, zum Beispiel gegen ein Schloss:
- C:\Windows\Web\RDWeb\Pages\images\logo_02.png (48×48 Pixel)
Jetzt sieht das Passwort Portal auch für den Benutzer ansprechend aus:
Mit ein paar weiteren Anpassungen geht es auch noch etwas schlichter oder angepasst an die Coporate Identity:
Bevor das Portal auf die Benutzer losgelassen wird, sollte noch ein entsprechendes SSL Zertifikat hinterlegt werden.
Benutzer müssen allerdings auch rechtzeitig informiert werden, damit Sie ihr Passwort ändern, dies könnte man per Mail erledigen. Ein entsprechender Artikel dazu folgt.
Update: Hier gibt es nun ein Beispiel Script um Benutzer per Mail an die Passwortänderung zu erinnern: Mail wenn Passwort abläuft
Hallo,
erstmal danke für die sehr ausführliche Anleitung!
Funktioniert diese auch auf einen Windows 2022 DC Server?
Habe es versucht und nicht einmal der Test mit
https://localhost/RDWeb/Pages/de-DE/password.aspx
funktioniert!
Hast Du evtl. eine Idee woran es liegen könnte?
Danke Axel
Hat schon jemand eine Möglichkeit gefunden bei der Passwort Änderung ein MFA abzufragen?
Wir würden das ganz gerne für User nutzen deren Passwort abgelaufen ist diese aber dauerhaft im Homeoffice sitzen und dann auf die Seite müssen.
Jetzt wollen wir die aber nicht so ins Web aufmachen da ja quasi Brute Force ein Kinderspiel ist.
Jemand eine Idee?
Hallo Christoph,
mich würde dieses Thema auch interessieren. Hast Du dafür bereits eine Lösung gefunden?
VG
Wie sieht das denn nach 120 Tagen aus? Läuft das dann immer noch? Oder braucht’s an der Stelle noch keine RDS-CALs?
Würde ich auch gerne wissen
Moin,
wozu RD-Cals? Ihr ruft eine Webseite auf. Mehr nicht.
Und das Microsoft empfiehlt einen Application Server mit nichts anderem zu beschäftigen sollte ja bekannt sein.
Hi,
besteht die Möglichkeit die alte Schreibweise Domäne\Benutzername durch den UPN zu ersetzen?
Wir haben unsere User gerade dazu erzogen wegen O365 ihren UPN (gleich der Emailadresse) zu benutzen..
Wäre blöd denen jetzt wieder sagen zu müssen, „Merkt Euch Eure Domäne“ für die Remote Passwortänderung..
LG
Super Anleitung. Vielen Dank.
Intern klappt das wunderbar, jedoch von extern habe ich Probleme. Ich komme über den url https://webseite.domäne.de und wenn die Webseite antwortet wird die Anfrage umgeleitet auf den internen Server https://hostname.domäne.intern/RDweb/pages/de-de/password.aspx. Das kann natürlich nicht aufgelöst werden.
Was muss man einstellen damit diese Umleitung nicht durchgeführt wird?
Super Arbeit Franky, vielen Dank!!!
Eine Frage, ist es möglich einen zentralen IIS für Passwortänderung so zu konfigurieren das man verschiedene Domänen auswählen kann? Wir haben z.B. 2 Domänen und würde gern einen IIS Server für beide Domänen haben um das Passwort zu ändern. Danke im Voraus
Hallo, leider gleicher Fehler 404
https://localhost/RDWeb/Pages/de-DE/password.aspx
Server 2019
AHAH
Fehler selbst gefunden, evtl. trifft es auch auf die anderen zu:
Ich habe mich an die Anleitung gehalten und beim Link „de-DE“ verwendet, selbst habe ich aber die englische Version von Server 2019 installiert, hier beim Link anstelle „de-DE“ eben „en-US“ angeben, korrekte Ablage der aspx-Seite unter C:\Windows\Web zu finden.
Aloha
Ich bekomme leider ein 404 requested ressource not found unter Win2019….Was mache ich da falsch?
Hallo Franky,
da man hier Remotedesktopdienste für die User aktiviert, wie sieht es da mit der Microsoft Lizenzierung aus?
Gruß
Hallo Franky,
könntest du ggf. auch noch die Einrichtung der Seite zur Passwortänderung in einer Sophos UTM erklären?
Wir haben 4 feste IP Adressen, einer habe ich einen DNS Eintrag zugeordnet (diese wurde bisweilen nirgends genutzt). Unser AD Domainname ist nicht identisch mit unserer öffentlichen Domain.
Wenn ich jetzt über die feste IP oder den DNS auf die Seite verbinden möchte um die Passwortänderungsseite anzuzeigen, kommt der Fehler, dass ich keine Zugriffserlaubnis auf die Seite hätte.
Bin dabei so hier vorgegangen: https://www.fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection
Vielen Dank vorab, falls du in die Richtung auch noch eine Erläuterung machst :)
Kleine Ergänzung zu meinem Eintrag vom 17.12.2017:
Nun geht es, geändert wurde nichts. Phänomenal…
Ich habe exakt das gleiche Phänomen wie Christian (03. Juli 2017).
Intern in der Domäne gehts auf allen PCs und Servern, von extern geht es nicht…
Gibts dazu eine Lösung?
Hallo, danke für die super Anleitung!
Jedoch klappt bei mir der Aufruf der Passwortänderungsseite nur auf dem IIS direkt. Nehme ich den Link für den Client dann kann er die Seite nicht finden.
Serverfehler in der Anwendung /.
——————————————————————————–
Die Ressource kann nicht gefunden werden.
Beschreibung: HTTP 404. Die gesuchte Ressource oder eine ihrer Abhängigkeiten wurde möglicherweise entfernt, umbenannt oder ist vorübergehend nicht verfügbar. Überprüfen Sie folgende URL, und stellen Sie sicher, dass sie richtig geschrieben wurde.
Angeforderter URL: /RDWeb/Pages/de-DE/password.aspx
Ist das richtig das die aspx-Files unter Windows liegen?
Kannst du bitte helfen?
Hallo,
es ist doch bestimmt möglich ein Dropdownfeld für die Domänen anzubieten oder?
Leider kann ich nicht programmieren und weiß nicht wonach ich suchen soll.
Super wäre es auch wenn das Dropdown die Domänen automatisch auslesen könnte.
Gruß,
Matthias
Hallo
Ich bekomme leider beim Passwortwechsel die Meldung, dass es nicht den Richtlinien entspricht (Your new password must meet complexity and length requirements). In der GPO ist es aber alles ausgeschaltet. Gibt es hier einen Workaround oder Lösungansatz?
Gruss
Peter
Hallo Peter,
über diese Problem bin ich beim Testen auch gefallen. In diesem Fall lag es an dem Eintrag „Minimales Kennwortalter“ diese Stand bei mit auf einem Tag.
Nachdem ist das geändert hatte, funktioniert alles tadellos.
MfG
Dominic
Geht auch für 2008R2 siehe http://microsoftplatform.blogspot.de/2012/11/password-change-option-also-available.html
Hallo zusammen,
können mit dem Formular auch abgelaufene Kennwörter neu gesetzt werden?
Viele Grüße!
Andreas
Wie soll das gehen – wenn Passwort abgelaufen keine Anmeldung mehr möglich – keine Chance auf die Seite zu kommen, oder?
Moin,
ja, das funktioniert auch mit abgelaufenen Passwort, hauptsache du kommst an die Webseite! :-)
Wir haben uns über MobileIron einen Webclip gebaut, der die intere Website des Passwortportals über web@work öffnet. So können unsere Benutzer ihre abgelaufenen Passwörter ganz einfach über ihr iPhone ändern, auch dann wenn Sie sich z.B. im HomeOffice befinden und sich aufgrund des abgelaufenen Passworts nicht mit VPN verbinden können.
Für uns eine perfekte Lösung!
Gruß
Christian
In Zeiten, wo jeder irgendwie einen ADFS-Service (Für Office 365 o.ä.) betreibt, finde ich den Weg über ADFS schneller und ohne zusätzliche Dienste.
http://www.msxfaq.de/cloud/authentifizierung/adfspasswordchange.htm
Hi,
ist dafür zwingend ein Server 2012R2/2016 notwenig oder geht es auch mit einem 2008R2 ? Anpassungen notwendig ?
Danke,
Ingo