Windows Server 2016 и плановая смена пароля

[dooblikator]

Добрый день!

После перехода на Windows Server 2016 в качестве терминального сервера окно авторизации пользователя приобрело такой вид



И все бы ничего (хотя непривычно и пользователи пугаются поначалу), но у нас действует политика смены пароля через каждые 60 дней. Обычно, при работе на компьютере с windows, либо через RDP, либо через WTWARE с использованием WinServer 2008r2, если пароль просрочен, то после вводы пароля при входе в систему пользователю предлагалось принудительно сменить пароль. А после перехода на 2016 при попытке пользователя залогиниться с просроченным паролем выскакивает совершенно неинформативная для пользователя ошибка



Приходится каждому пользователю менять пароль в ручном режиме.

Подскажите, пожалуйста, как решить эту проблему, а лучше всего, как вернуться к виндовому окну ввода логина/пароля.

[aka]

Отключить NLA на сервере: https://wtware.ru/win/nla.html

[TechnoDom]

Доброго времени. Напишу в этой теме. Проблема аналогичная, только у нас терминальная ферма на Windows Server 2016. Если отключить NLA то пользователи не могут с wtware залогиниться. Получают ошибку что у них нет доступа подключаться к данному терминальному серверу и их надо добавить в группу удаленных рабочих столов. Такое ощущение, что после отключения NLA они не к коллекции сеансов пытаются подключиться через балансировщик, а непосредственно на брокер логинятся. При этом из винды через RDP файл подключаются на ура. Помогите пожалуйста разобраться с этой проблемой.

[aka]

А логи где?

[TechnoDom]

Вот кусок где подключается с NLA

Код: Выделить всё

16-40-43-853| [        rdpsnd] [ 1259.143430] Link lost.
16-40-45-710| [            gm] [ 1261.025480] Run '/sbin/resolver 0x1d40718 dns [vm-term-cb01.technodom.kz]', log '', env '', pid ''.
16-40-45-928| [          pfac] [ 1261.025649] Run /sbin/resolver 0x1d40718 dns [vm-term-cb01.technodom.kz].
16-40-45-928| [          pfac] [ 1261.025665] Ok, PID 977.
16-40-45-944| [          pfac] [ 1261.027825] Process pid 977 terminated, status 00000000.
16-40-45-959| [            gm] [ 1261.030034] vm-term-cb01.technodom.kz => 172.16.12.152.
16-40-55-944| [            gm] [ 1271.264231] Free ram before fork terminal client /sbin/rdpclient-SSE (session 5): 1892636 Kb.
16-40-55-959| [            gm] [ 1271.264292] Run '/sbin/rdpclient-SSE 5', log '/tmp/rdpclient.out', env '', pid ''.
16-40-55-959| [          pfac] [ 1271.264401] Run /sbin/rdpclient-SSE 5.
16-40-55-959| [          pfac] [ 1271.264414] Ok, PID 978.
16-40-55-975| [ rdpclient 978] [ 1271.265740] RDP Terminal Client, WTware 5.8.34, pipe 5, pid 978.
16-40-55-975| [ rdpclient 978] [ 1271.268226] Use /lib/ui32-SSE.so.
16-40-55-975| [ rdpclient 978] [ 1271.268364] Redirect sound.
16-40-55-991| [ rdpclient 978] [ 1271.270155] Make RDP session with 172.16.12.152, port 3389.
16-40-55-991| [ rdpclient 978] [ 1271.270179]  Username: "tsexpress".
16-40-56-006| [ rdpclient 978] [ 1271.270191]  Password: present.
16-40-56-006| [ rdpclient 978] [ 1271.270203]  No PIN.
16-40-56-022| [ rdpclient 978] [ 1271.270214]  Domain: "technodom".
16-40-56-022| [ rdpclient 978] [ 1271.270238]  No shell.
16-40-56-037| [ rdpclient 978] [ 1271.270249]  No directory.
16-40-56-037| [ rdpclient 978] [ 1271.270260]  Window: 1600x900@24.
16-40-56-037| [ rdpclient 978] [ 1271.270270]  Second monitor: [1600:0..3199:899].
16-40-56-037| [ rdpclient 978] [ 1271.270280]  PFlags 0x00000184.
16-40-56-053| [ rdpclient 978] [ 1271.270291]  Keyboard 00000409:00000000.
16-40-56-053| [ rdpclient 978] [ 1271.270301]  My hostname "wtw001999D40420".
16-40-56-069| [ rdpclient 978] [ 1271.270311] TCP: connecting to 172.16.12.152:3389.
16-40-56-069| [ rdpclient 978] [ 1271.270607] TCP: connection with 172.16.12.152:3389 established.
16-40-56-084| [ rdpclient 978] [ 1271.270621] Turn keepalive on.
16-40-56-084| [ rdpclient 978] [ 1271.270793] Free ram after buffers allocation: 1892264 KB.
16-40-56-084| [ rdpclient 978] [ 1271.270804] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-40-56-084| [ rdpclient 978] [ 1271.274004] Reconnect with NLA enabled.
16-40-56-100| [ rdpclient 978] [ 1271.274023] TCP: reconnecting to 172.16.12.152:3389.
16-40-56-100| [ rdpclient 978] [ 1271.274309] TCP: connection with 172.16.12.152:3389 established.
16-40-56-115| [ rdpclient 978] [ 1271.274322] Turn keepalive on.
16-40-56-115| [ rdpclient 978] [ 1271.274333] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-40-56-131| [ rdpclient 978] [ 1271.276507] Server supports GFX Pipeline.
16-40-56-131| [ rdpclient 978] [ 1271.276523] NLA.
16-40-56-131| [ rdpclient 978] [ 1271.276535] SSL/TLS.
16-40-56-147| [ rdpclient 978] [ 1271.303546] Enable font smoothing and Desktop Composition.
16-40-56-147| [ rdpclient 978] [ 1271.368702] Server Redirection flags 0x00000b0d.
16-40-56-147| [ rdpclient 978] [ 1271.368735]  Server 172.16.12.151.
16-40-56-162| [ rdpclient 978] [ 1271.368750]  User "tsexpress".
16-40-56-162| [ rdpclient 978] [ 1271.368762]  Domain "TECHNODOM".
16-40-56-162| [            gm] [ 1271.368772] TSClient (sessionId 5, pid 978) gracefully end.
16-40-56-162| [ rdpclient 978] [ 1271.368776] Send Disconnect Provider Ultimatum.
16-40-56-178| [          pfac] [ 1271.369067] Run /sbin/rdpclient-SSE 6.
16-40-56-178| [            gm] [ 1271.369077] Free ram before fork terminal client /sbin/rdpclient-SSE (session 6): 1892140 Kb.
16-40-56-193| [          pfac] [ 1271.369091] Ok, PID 979.
16-40-56-193| [            gm] [ 1271.369095] Run '/sbin/rdpclient-SSE 6', log '/tmp/rdpclient.out', env '', pid ''.
16-40-56-209| [        rdpsnd] [ 1271.369236] Link lost.
16-40-56-209| [          pfac] [ 1271.369295] Process pid 978 terminated, status 00000009.
16-40-56-209| [ rdpclient 979] [ 1271.370502] RDP Terminal Client, WTware 5.8.34, pipe 6, pid 979.
16-40-56-209| [ rdpclient 979] [ 1271.370885] Use /lib/ui32-SSE.so.
16-40-56-225| [ rdpclient 979] [ 1271.371023] Redirect sound.
16-40-56-225| [ rdpclient 979] [ 1271.371091] Make RDP session with 172.16.12.151, port 3389.
16-40-56-240| [ rdpclient 979] [ 1271.371113]  Username: "tsexpress".
16-40-56-240| [ rdpclient 979] [ 1271.371132]  Password: present.
16-40-56-240| [ rdpclient 979] [ 1271.371150]  No PIN.
16-40-56-240| [ rdpclient 979] [ 1271.371169]  Domain: "TECHNODOM".
16-40-56-256| [ rdpclient 979] [ 1271.371187]  No shell.
16-40-56-256| [ rdpclient 979] [ 1271.371206]  No directory.
16-40-56-256| [ rdpclient 979] [ 1271.371225]  Window: 1600x900@24.
16-40-56-271| [ rdpclient 979] [ 1271.371246]  Second monitor: [1600:0..3199:899].
16-40-56-271| [ rdpclient 979] [ 1271.371265]  PFlags 0x00000184.
16-40-56-271| [ rdpclient 979] [ 1271.371284]  Keyboard 00000409:00000000.
16-40-56-287| [ rdpclient 979] [ 1271.371303]  My hostname "wtw001999D40420".
16-40-56-287| [ rdpclient 979] [ 1271.371323] TCP: connecting to 172.16.12.151:3389.
16-40-56-287| [ rdpclient 979] [ 1271.371720] TCP: connection with 172.16.12.151:3389 established.
16-40-56-287| [ rdpclient 979] [ 1271.371755] Turn keepalive on.
16-40-56-303| [ rdpclient 979] [ 1271.371955] Free ram after buffers allocation: 1891816 KB.
16-40-56-303| [ rdpclient 979] [ 1271.371981] Empty Balance Info.
16-40-56-318| [ rdpclient 979] [ 1271.375832] Reconnect with NLA enabled.
16-40-56-318| [ rdpclient 979] [ 1271.375872] TCP: reconnecting to 172.16.12.151:3389.
16-40-56-318| [ rdpclient 979] [ 1271.376204] TCP: connection with 172.16.12.151:3389 established.
16-40-56-318| [ rdpclient 979] [ 1271.376239] Turn keepalive on.
16-40-56-334| [ rdpclient 979] [ 1271.376271] Empty Balance Info.
16-40-56-334| [ rdpclient 979] [ 1271.378857] Server supports GFX Pipeline.
16-40-56-334| [ rdpclient 979] [ 1271.378888] NLA.
16-40-56-349| [ rdpclient 979] [ 1271.378909] SSL/TLS.
16-40-56-349| [ rdpclient 979] [ 1271.391235] Redirected Session ID 0x00000000.
16-40-56-349| [ rdpclient 979] [ 1271.394275] Enable font smoothing and Desktop Composition.
16-40-56-365| [ rdpclient 979] [ 1271.397537] RDP5 encryption (X.509).
16-40-56-365| [ rdpclient 979] [ 1271.457570] GFX codec.
16-40-56-490| [ rdpclient 979] [ 1271.816542] LOGON_EX_LOGONERRORS: ErrorNotificationType 0xfffffffe, ErrorNotificationData 0x00000026.
16-40-56-708| [ rdpclient 979] [ 1271.869616] Run 2 tile threads.
16-40-58-424| [ rdpclient 979] [ 1273.738340] SessionId 0x00000026: TECHNODOM\tsexpress.
16-41-16-833| [ rdpclient 979] [ 1292.148025] errorInfo 0x0000000c.
16-41-17-036| [ rdpclient 979] [ 1292.148055] ERRINFO_LOGOFF_BY_USER: The disconnection was initiated by the user logging off his or her session on the server.
16-41-17-036| [ rdpclient 979] [ 1292.251463] Receive Disconnect Provider Ultimatum.
16-41-17-051| [            gm] [ 1292.251500] TSClient (sessionId 6, pid 979) gracefully end.
16-41-17-067| [        rdpsnd] [ 1292.255364] Link lost.

А вот с отключенным NLA

Код: Выделить всё

16-50-50-312| [        rdpsnd] [  138.522063] Link lost.
16-50-50-312| [          pfac] [  138.522180] Process pid 950 terminated, status 00000009.
16-50-51-202| [            gm] [  139.427367] Run '/sbin/resolver 0x1b236d0 dns [vm-term-cb01.technodom.kz]', log '', env '', pid ''.
16-50-51-233| [          pfac] [  139.427556] Run /sbin/resolver 0x1b236d0 dns [vm-term-cb01.technodom.kz].
16-50-51-233| [          pfac] [  139.427656] Ok, PID 961.
16-50-51-248| [          pfac] [  139.429872] Process pid 961 terminated, status 00000000.
16-50-51-248| [            gm] [  139.431674] vm-term-cb01.technodom.kz => 172.16.12.152.
16-50-51-248| [            gm] [  139.456231] Free ram before fork terminal client /sbin/rdpclient-SSE (session 2): 1892728 Kb.
16-50-51-248| [            gm] [  139.456277] Run '/sbin/rdpclient-SSE 2', log '/tmp/rdpclient.out', env '', pid ''.
16-50-51-264| [          pfac] [  139.456399] Run /sbin/rdpclient-SSE 2.
16-50-51-264| [          pfac] [  139.456421] Ok, PID 962.
16-50-51-280| [ rdpclient 962] [  139.457729] RDP Terminal Client, WTware 5.8.34, pipe 2, pid 962.
16-50-51-280| [ rdpclient 962] [  139.460406] Use /lib/ui32-SSE.so.
16-50-51-280| [ rdpclient 962] [  139.460841] Redirect sound.
16-50-51-280| [ rdpclient 962] [  139.461074] Make RDP session with 172.16.12.152, port 3389.
16-50-51-295| [ rdpclient 962] [  139.461103]  No username.
16-50-51-295| [ rdpclient 962] [  139.461123]  No password.
16-50-51-295| [ rdpclient 962] [  139.461143]  No PIN.
16-50-51-295| [ rdpclient 962] [  139.461166]  Domain: "technodom".
16-50-51-311| [ rdpclient 962] [  139.461186]  No shell.
16-50-51-311| [ rdpclient 962] [  139.461206]  No directory.
16-50-51-326| [ rdpclient 962] [  139.461226]  Window: 1600x900@24.
16-50-51-326| [ rdpclient 962] [  139.461248]  Second monitor: [1600:0..3199:899].
16-50-51-326| [ rdpclient 962] [  139.461270]  PFlags 0x00000184.
16-50-51-326| [ rdpclient 962] [  139.461292]  Keyboard 00000409:00000000.
16-50-51-342| [ rdpclient 962] [  139.461361]  My hostname "wtw001999D40420".
16-50-51-342| [ rdpclient 962] [  139.461387] TCP: connecting to 172.16.12.152:3389.
16-50-51-451| [ rdpclient 962] [  139.461880] TCP: connection with 172.16.12.152:3389 established.
16-50-51-451| [ rdpclient 962] [  139.461918] Turn keepalive on.
16-50-51-451| [ rdpclient 962] [  139.462122] Free ram after buffers allocation: 1892224 KB.
16-50-51-451| [ rdpclient 962] [  139.462148] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-50-51-467| [ rdpclient 962] [  139.465132] Reconnect with TLS/SSL enabled.
16-50-51-467| [ rdpclient 962] [  139.465183] TCP: reconnecting to 172.16.12.152:3389.
16-50-51-482| [ rdpclient 962] [  139.465537] TCP: connection with 172.16.12.152:3389 established.
16-50-51-482| [ rdpclient 962] [  139.465569] Turn keepalive on.
16-50-51-482| [ rdpclient 962] [  139.465601] Use Balance Info 52 bytes: 'tsv://MS Terminal Services Plugin.1.vm-terminal-2016'.
16-50-51-498| [ rdpclient 962] [  139.467681] Server supports GFX Pipeline.
16-50-51-498| [ rdpclient 962] [  139.467715] TLS.
16-50-51-498| [ rdpclient 962] [  139.467738] SSL/TLS.
16-50-51-514| [ rdpclient 962] [  139.476915] Enable font smoothing and Desktop Composition.
16-50-51-514| [ rdpclient 962] [  139.508754] GFX codec.
16-50-51-654| [ rdpclient 962] [  139.843600] Run 2 tile threads.
16-51-28-892| [            gm] [  177.116961] Power key pressed.

С отключенным NLA пользователю выдает такое сообщение.

IMG_20190329_172400.jpg (206.35 КБ) 48815 просмотров

[aka]

Логин и пароль оно не спрашивало, сразу ругается?
Отключается только NLA, одна позиция в политиках, дургих изменений нет?
Английского сервера рядом нет? Чтобы текст ошибки гуглить.

[TechnoDom]

Логин и пароль оно не спрашивало, сразу ругается?

Логин пароль ввел в виндовом интерфейсе, после ввода получил эту ошибку

Отключается только NLA, одна позиция в политиках, дургих изменений нет?

Отключил NLA по этой методичке https://wtware.ru/win/nla.html, а так-же в настройках безопасности коллекции убрал галку требовать NLA как на картинке ниже

12Снимок.JPG (52.06 КБ) 48813 просмотров

Английского сервера рядом нет? Чтобы текст ошибки гуглить.

Настроенных как терминальная ферма нет под рукой.

[aka]

Логин пароль ввел в виндовом интерфейсе, после ввода получил эту ошибку

Попробуй указать логин и пароль в конфиге терминала. Проверь, что с включенным NLA логин и пароль из конфига работают, логинится ничего не спрашивая. И потом попробуй с тем же конфигом без NLA. Что будет?

[TechnoDom]

Попробуй указать логин и пароль в конфиге терминала. Проверь, что с включенным NLA логин и пароль из конфига работают, логинится ничего не спрашивая. И потом попробуй с тем же конфигом без NLA. Что будет?

Проверил. С включенным NLA логинится, без NLA так-же говорит нет доступа подключаться к данному терминальному серверу пользователя надо добавить в группу удаленных рабочих столов.

[aka]

Оба лога целиком покажи. Можно почтой на support@wtware.ru

[TechnoDom]

Оба лога целиком покажи. Можно почтой на support@wtware.ru

Отправил на почту.

[aka]

Надо внимательно прочитать и выполнить так, как написано: https://wtware.ru/logs.html

[TechnoDom]

Отправил повторно.

[aka]

Не получилось. Надо ещё раз прочитать. Особенно сосредоточиться на пунктах 2 и 4: https://wtware.ru/logs.html

[TechnoDom]

Повторил.

[aka]

Да, теперь со стороны втвари соединения происходят в точности одинаково. Сервер сопротивляется. Там, где переподключается к другому серверу, сервер не начинает слать графику, а присылает указание переподключаться к другому серверу. Там, где экран с руганью - сервер начинает слать картинки для рисования на экрна. Не знаю, что дальше делать. Надо гуглить...

[Everest]

Добрый день!
Аналогичная проблема, как и у ТС.
Версия WTware 5.8.38 Терминальный сервер MS Windows Server 2016.
Есть какое-нибудь решение?

[aka]

Отключить NLA на сервере: https://wtware.ru/win/nla.html
Или отключить плановую смену пароля, если NLA нужен для чего-то-ещё.

[Everest]

Да, но оба эти решения снижают уровень безопасности. Поэтому и спросил нет ли другого решения без отключения NLA или отключения плановой смены паролей.

[aka]

Не могу согласиться с тем, что отключение NLA снижает уровень безопасности.

NLA сделаны для виндовых клиентов, которые хранят пароли. Вот там да - хранить на клиенте криптованый пароль и потом отдавать его в NLA безопаснее, чем хранить открытый пароль и отдавать его RDP. Именно потому, что на клиенте хранится открываемый пароль.

Для втвари (надеюсь, никто, способный выговорить "уровень безопасности", не станет хранить пароли в втваревых конфигах, а заставляет пользователей вводить пароль при каждом подключении) отсутствие NLA безопаснее. Потому что пароль вводится прямо в виндовс и не добавляется втварь как лишнее знающее пароль звено.

[Everest]

Для втвари (надеюсь, никто, способный выговорить "уровень безопасности", не станет хранить пароли в втваревых конфигах, а заставляет пользователей вводить пароль при каждом подключении) отсутствие NLA безопаснее. Потому что пароль вводится прямо в виндовс и не добавляется втварь как лишнее знающее пароль звено.

Естественно, что ни о каком хранении паролей в конфигурационных файлах втвари речи не идёт и пользователи вводят пароль при каждом подключении. Я, возможно, ошибаюсь, но разве пароль, который пользователь вводит на заставке втвари не в открытом виде передается в RDP для подключения к терминальному серверу?

[aka]

RDP начинается с согласования шифрований и обмена ключами. Пароль уходит после того, как сервер с терминалом договорятся про шифрование. Весь трафик к этому моменту уже шифруется, и пароль тоже. Если только специально не отламывать шифрование на сервере, то RDP по умолчанию шифрует вполне хорошо. Я б не взялся вскрывать пароль сниферя сетевой трафик RDP.

Когда пароль запрашивается в интерфейсе втвари - втварь совершенно точно знает, что это пароль, втварь в памяти его какое-то время хранит незашифрованным. Пользователям придется верить, что втварь хранит введенный пароль аккуратно, а не отправляет товарищу майору.

Когда NLA отключен и пароль запрашивается в интерфейсе виндвоса - втварь не знает, что сейчас запрашивается пароль, не выделяет, не хранит его.

[TechnoDom]

Да, теперь со стороны втвари соединения происходят в точности одинаково. Сервер сопротивляется. Там, где переподключается к другому серверу, сервер не начинает слать графику, а присылает указание переподключаться к другому серверу. Там, где экран с руганью - сервер начинает слать картинки для рисования на экрна. Не знаю, что дальше делать. Надо гуглить...

Доброго дня! Есть какие-то подвижки с этой проблемой? Сейчас приходится техподдержке менять просроченные пароли пользователям, жуть как не удобно.

[aka]

Нет. И не знаю куда копать.

[aka]

Такое решение нагуглилось:

...выделить отдельный сервер БЕЗ роли Remote Desktop Session Host предназначенный только для смены паролей и только на нем отключить NLA.

На этом сервере пользователей НЕ НУЖНО включать в группу Remote Desktop Users так как проверка и смена пароля выполняются до входа в систему. В этом случае пользователь при подключении по RDP сможет поменяет пароль, но не сможет зайти на сервер.

[DZB]

Поделюсь немного своим опытом. Если политика партии позволяет отключить NLA, то чтобы работала смена паролей нужно:
1. Отключить NLA на RDS серверах с ролями Connection Broker и Sesson Host
2. В качестве хранилища профилей использовать контейнеры fslogix. С ними в отличие от UPD не происходит монтирования диска с профилем на брокер, т.к. за само монтирование отвечает агент на сервере сеансов, которого на брокере просто нет (точнее мы его туда сознательно не ставим)

Т.к. смена пароля произойдет именно при подключении к брокеру, то для повышения пользовательского комфорта он должен иметь русскую локализацию, иначе пользователю про необходимость смены пароля скажут по английски=)

Интересная особенность в том, что без NLA, пользователь хоть и подключается сначала к брокеру, но фактического фхода в систему, обработки политик и всего прочего не происходит. В т.ч. не создается папка профиля. Но вот если происходит смена пароля, то на брокере создается пустая папка профиля пользователя.

Из минусов такого решения:
1. Мелькание окошек при подключении
2. Создается пустая папка с профилем на брокере после смены пароля
3. После смены пароля пользователь получит сообщение о неверном пароле, и его спросят его еще раз. Связано с тем что wtware передает старый пароль при переходе с брокера на узел сеансов (опция в конфиге ask_password=on), а пароль только что изменился
4. Брокеры тоже надо русифицировать, если пользователи совсем не в ладах с английским