Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft bei der Behebung eines Fehlers, der beim Verarbeiten der Kennwortänderung für einen Benutzer auftritt, bei dem das Kennwort abgelaufen ist oder bei der nächsten Anmeldung geändert werden soll.
Ursprüngliche KB-Nummer: 2879424
Symptome
Sie verfügen über einen Server in einer DMZ, die kein Mitglied einer Domäne ist. Für die Verwaltung verfügen Sie über eine Reihe lokaler Benutzer, die Administratoren sind.
Wenn Sie einen neuen Benutzer auf dem Server für die Verwaltung hinzufügen, legen Sie ein erstes Kennwort fest und legen "Benutzer muss das Kennwort bei der nächsten Anmeldung ändern". Der Benutzer meldet sich über Remotedesktopdienste beim Server an. Der Benutzer wird aufgefordert, das Kennwort zu ändern, und nachdem er es eingegeben hat, erhält der Benutzer eine Fehlermeldung" "Nicht genügend Speicherplatz ist verfügbar, um diesen Befehl zu verarbeiten":
Wenn der RDS-Server NLA aktiviert hat, schlägt der Versuch, sich beim Server anzumelden, mit dem abgelaufenen Kennwort fehl, das den Fehler zeigt:
[Fenstertitel]
Remotedesktopverbindung[Inhalt]Ein Authentifizierungsfehler ist aufgetreten.
Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.Remotecomputer: <Computername>
Dies kann auf ein abgelaufenes Kennwort zurückzuführen sein.
Aktualisieren Sie Ihr Kennwort, sofern es abgelaufen ist.
Bitten Sie Ihren Administrator oder den technischen Support um Hilfe.[OK]
Das Fehlerdialogfeld sieht wie folgt aus:
Ursache
Bei der Verarbeitung der Kennwortänderung für einen Benutzer, bei dem das Kennwort abgelaufen ist oder für die Änderung bei der nächsten Anmeldung festgelegt ist, verwendet Winlogon ein anonymes Token, um die Kennwortänderungsanforderung zu verarbeiten.
Das Dialogfeld "Kennwortänderung" ermöglicht auch das Ändern von Kennwörtern für Remotecomputer, sodass die API-Aufrufe Remotable-Schnittstellen über RPC über Named Pipes über SMB verwenden. Für diese Protokollsequenz liest die RPC-Laufzeit eine Richtlinieneinstellung "Server2003NegotiateDisable" aus dem Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc.
Dies schlägt im Kontext des anonymen Tokens fehl, da die Standardberechtigungen nur authentifizierten Benutzern, Administratoren und LocalSystem das Lesen des Schlüssels ermöglichen.
Wenn NLA aktiviert ist, wird die Benutzersitzungsanforderung nicht überprüft und schlägt daher fehl.
Lösung
Die Ansätze, um dieses Problem zu vermeiden, sind:
- Ändern Sie das Kennwort remote. Beachten Sie, dass der Benutzer im Kontext, in dem Sie die Remotekennwortänderung ausführen, sich mit den Standardanmeldeinformationen (oder bereits mit SMB zum Zeitpunkt der Kennwortänderung mit dem Server verbunden) anmelden muss.
- Ändern Sie die Berechtigungen des Schlüssels
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc, um anonym das Lesen des Schlüssels zuzulassen. Wenn der Schlüssel nicht vorhanden ist, können Sie ihn erstellen und dann die Leseberechtigungen für das anonyme Konto hinzufügen.
Notiz
Bei Ansatz 2 kann es vorkommen, dass der Gruppenrichtliniendienst die Schlüssel löscht und diese mithilfe von Standardberechtigungen neu erstellt. In diesem Fall müssen Sie die Berechtigungen erneut anwenden.
Sie können das Festlegen der Berechtigungen für die Verwendung der Registrierungssicherheitsrichtlinie automatisieren, wenn der Computer Mitglied der Domäne ist. Für Arbeitsgruppencomputer können Sie diesen Text als rpc-pol.inf-Datei importieren:
---------------------------
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Keys]
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"
------------------------------
Sie können sie mithilfe von:
secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.log Beachten Sie, dass der Schlüssel vorhanden sein muss, damit dies erfolgreich ist.
Weitere Informationen
Die Funktionalität zum Ändern von Arbeitsgruppen- oder Remotemitgliedscomputer-Kennwörtern muss eine Reihe von Kompatibilitätsanforderungen berücksichtigen. Das Szenario ist bis heute ein grenzübergreifendes Thema.
Für RDS-Sitzungen, die mit NLA gesichert sind, ist es nicht möglich, eine Remotesitzung mit einem abgelaufenen Kennwort zu starten. Wenn Sie NLA verwenden möchten, müssen Sie das Kennwort remote in einer Sitzung ändern, die mit einem anderen Benutzer authentifiziert wurde.