Problemas al cambiar la contraseña de Escritorio Remoto en Windows Server Sigue estos pasos

¿Problemas al cambiar la contraseña de Escritorio Remoto en Windows Server? Sigue estos pasos

Cuando trabajamos con servidores Windows nos podemos encontrar fácilmente situaciones en que se nos pide cambiar la contraseña de nuestra cuenta de usuario. Puede darse una variedad de situaciones que nos impedirían acceder con normalidad y una de las más comunes es la que detallaré hoy.

Conexión a Escritorio Remoto: La contraseña se debe cambiar para poder iniciar sesión por primera vez. Actualícela o póngase en contacto con el administrador del sistema o el personal de soporte técnico

Este mensaje aparece tal cual en versiones Windows Server 2016/2019, aunque es parecida en todas las versiones anteriores.

Nos encontramos por tanto con una paradoja: necesitamos actualizar la contraseña para poder iniciar una sesión RDP (escritorio remoto) con el servidor, pero al mismo tiempo necesitamos acceder vía RDP para poder cambiarla, ya que no tenemos el equipo cerca físicamente.

Solución al error “La contraseña se debe cambiar para iniciar sesión por primera vez” en Windows Server

Este error se daría si nunca hemos accedido a dicho servidor anteriormente. Quizá tus dudas se centran simplemente en como cambiar la contraseña en Windows a través de Escritorio Remoto, escoge según tu situación.

Causante

Esto se debe a que en el Directorio Activo de Windows se ha marcado la casilla “el usuario debe cambiar la contraseña en el próximo inicio de sesión“.

user must change the password at the next logon

En estos casos veremos lo siguiente:

user must change the password at the next logon

En mi ejemplo aparece en inglés, pero es exactamente el mismo error.

Opciones

Básicamente, podemos solucionar este problema de dos maneras:

  • Añadir un parámetro para desactivar NLA en el cliente
  • Desactivar Network Level Authentication en el servidor

Estos ejemplos funcionan a la perfección en entornos de dominio con Directorio Activo. La opción 1 nos valdrá solamente si tenemos acceso al servidor con el rol de Escritorio remoto a través de una cuenta con permisos suficientes.

Añadir un parámetro para desactivar NLA en el cliente

Si el servidor lo permite, podemos desactivar temporalmente CredSSP – Credential Security Support Provider en el cliente de escritorio remoto del equipo desde el que nos conectamos.

Esto inhabilita NLA o Autenticación a nivel de red. Se trata de un mecanismo de autenticación que actúa como paso previo a la conexión vía RDP. Network Level Authentication debería esta siempre activo por seguridad, pero temporalmente nos hará el “apaño”.

Desde la GUI o interfaz gráfica de Escritorio Remoto no podemos, así que haremos lo siguiente:

  • Abriremos RDP (teclas WIN+R y escribiremos mstsc.exe)
  • Ahora haremos clic sobre mostrar opciones > Guardar como.

Cambiar contraseña mediante escritorio remoto (4)

  • Renombraremos el archivo rdg o rpd resultante por uno diferente a Default. Esto es muy importante para que funcione.
  • Abriremos el archivo con notepad y añadiremos la siguiente linea al final:
enablecredsspsupport:i:0

Es decir:

enablecredsspsupport

  • Guardaremos el archivo con nuestro bloc de notas.
  • Ahora iniciaremos ese acceso directo a RDP, introduciendo los datos y cuenta de usuario del dominio con el que tenemos el problema.

En lugar del aviso de error deberíamos ver ahora la pantalla de inicio de sesión como aparece debajo (1).

Si nuestra de cuenta de usuario de Directorio Activo tiene marcada la opción de cambio obligatorio de contraseña durante el primer inicio de sesión, se nos informará (2).

Introduciremos los nuevos datos y se nos confirmará el cambio (3).

El pase de diapositivas requiere JavaScript.

En cualquier caso, si recibimos un error como el que aparece a continuación significará que nuestro usuario no cuenta con los permisos suficientes.

error rdp

Si has seguido este procedimiento, recuerda restablecer la seguridad de red a su punto inicial o utiliza este acceso únicamente cuando quieras solventar este tipo de problemas.

¿El servidor requiere CredSSP?

Es posible que el servidor esté forzando a los clientes que quieran conectar mediante escritorio remoto a realizar autenticación a nivel de red. En este caso deberemos modificar el ajuste necesario desde el propio servidor.

El servidor requiere CredSSP

En este caso, intentaremos conectarnos usando esta vez el FQDN (Fully Qualified Domain Name) del equipo. Es decir, contoso.local.com en lugar de contoso. También podemos probar a conectarnos desde otro servidor en el mismo dominio y que nos permita desactivar CredSSP.

Desactivar Network Level Authentication en el servidor

Accederemos al Terminal Server (el que tiene el rol TS habilitado) y navegamos por: Administrador del servidor > Servicios de Escritorio Remoto (1). Después pulsamos sobre “tareas” (manage, en la imagen) > Editar las propiedades.

Editar propiedades terminal Server

Una vez dentro de las propiedades buscaremos el apartado “Seguridad”. Aquí nos interesa localizar el apartado que dice “permitir conexiones solo de equipos que ejecuten Escritorio Remoto con Autenticación a nivel de red“. Lo desmarcaremos.

Anuncios

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.