本稿は,Windows環境においてリモートデスクトップ接続先でパスワード変更ができない場合の原因と対処方法について解説します。
結論として,リモートデスクトップ環境では「Ctrl」+「Alt」+「End」を使用しないとパスワード変更できない点が重要です。
実際の現場で,「ドメインコントローラーから構成情報を取得できませんでした」とのエラーに遭遇し,原因特定に時間を要しました。
今回は上記事象と解決方法に加え,リモートデスクトップ特有の注意点についてもまとめます。
同様の事象でお困りの方の参考になれば幸いです。
前提知識
Active Directory
Microsoftが提供している,同一ネットワーク上のユーザ情報や端末・プリンタ等の機器情報を一元管理できる機能です。
ADと略して表現することもあります。
共通したパスワードポリシーの設定等,ADを利用することで様々な共通設定を適用することが可能となります。
リモートデスクトップ
異なる場所にある端末(サーバ等)に接続して,手元にあるPCやタブレット等の端末で遠隔操作することができる機能です。
RDPと表現することもあります。
本機能を利用することで,在宅勤務等のテレワークをするうえでのIT環境構築も可能となります。
環境
2種類のAD環境(AD環境AとAD環境B)があり,AD環境Aの端末からAD環境Bの端末へリモートデスクトップ接続をします。
それぞれ別のADサーバが管理しており,今回はAD環境Bにおけるアカウントのパスワード変更について解説します。
設定方法
- スタートメニューから「リモートデスクトップ」を選択します。
※「ファイル名を指定して実行」から「mstsc」と入力して「OK」でも可
- 「リモートデスクトップ接続」にて,「コンピュータ」へ接続先のIPアドレスorホスト名を入力のうえ「接続」を押下します。
※ユーザ名とパスワード入力のダイアログが出た場合は入力します。 - リモートデスクトップ接続先において「Ctrl」+「Alt」+「End」を押下のうえ,「パスワード変更」を選択してパスワードを変更します。
実務での対応
事象
ユーザの方から,パスワード変更をしようとしたところエラーが出てパスワード変更ができないと問合せがありました。
具体的なエラー内容は以下の通りです。
コンピューターが利用できないか、またはアクセスが拒否されているため、ドメインコントローラーから構成情報を取得できませんでした。
上記エラーは,ADサーバとのネットワーク通信ができなくなっている際によく出るエラーメッセージです。
切り分け
原因調査に際して,ユーザの方へ以下を依頼しました。
- 他のアカウントでのパスワード変更可否
→問合せのあったユーザの方以外,パスワード変更ができた。
- 別端末でのパスワード変更可否
→パスワード変更できなかった。
また,以下も併せて確認して,問題ないことを確認しました。
- 該当アカウントの「SELF」(※)にパスワード変更権限が付与してあること。
- 検証環境にてパスワード変更を試みて,問題なく変更できたこと。
(※)ADサーバ上の「Active Directory ユーザーとコンピューター」にて,アカウントのプロパティで確認可能です。
上記を踏まえて,ADサーバとの通信は問題なくできていることと,検証環境では問題なく変更できたことから「操作誤り」を疑いました。
原因:「Ctrl」+「Alt」+「End」を使用していなかった
見立ての通り,「操作誤り」が原因でした。
実際にユーザの方の下へ訪れて操作を確認したところ,リモート接続先にて「Ctrl」+「Alt」+「Del」を押下していました。
なお,事前に提供していた手順には「Ctrl」+「Alt」+「End」を押下すると明記してありました。
ハヤト手順はよく読まないとですね。
イツキ本番事故にもつながりかねないから,細心の注意が必要だね。
対処:「Ctrl」+「Alt」+「End」でパスワード変更
リモート接続先にて「Ctrl」+「Alt」+「End」を押下いただき,問題なくパスワードを変更することができました。
キーボード操作の送信先
今回のようにパスワード変更のための画面を出す場合,キーボード操作に注意が必要です。
リモート接続先において「Ctrl」+「Alt」+「Del」を押下した場合
リモートデスクトップの接続元(≒ローカル環境)において,パスワード変更のための画面が出てきます。
今回の例では,AD環境Aにあるアカウントに関するパスワード変更画面が出てきます。
ユーザの方はAD環境Aのパスワード変更を試みて,AD環境AのGPO(グループポリシー)等に抵触したことでパスワード変更ができなかった可能性が高いです。
「Ctrl」+「Alt」+「Del」はローカル環境に送信される仕様のため,リモート先操作には使用できません。
リモート接続先において「Ctrl」+「Alt」+「End」を押下した場合
リモートデスクトップの接続先において,パスワード変更のための画面が出てきます。
今回の例では,本操作を実施することでAD環境Bでのパスワード変更が可能となります。
多段リモートデスクトップ接続をしている場合
例には出していませんが,AD環境BからさらにAD環境Cへ接続したうえでAD環境Cにてパスワード変更をする場合,キーボード操作だけではパスワード変更できません。
三重以上の多段リモートデスクトップ接続をしている場合は,「スクリーンキーボード」を使用する必要があります。
スタートメニューから「スクリーンキーボード」を選択のうえ,実際のキーボードで「Ctrl」+「Alt」を押した状態で「Del」をスクリーンキーボード上にて押下します。
なお,「ファイル名を指定して実行」で,「osk」と入力して「OK」を押下することでも起動可能です。
多段接続の場合,キーボード入力は手前の接続端末が優先となる操作もあります。
意図した接続先までキー操作が伝播しない点に注意が必要です。
よくある勘違い
- 「Ctrl」+「Alt」+「Del」でも変更できるとの思い込み
ローカル環境で変更する場合は問題ありませんが,リモート接続先で変更する場合は「Del」でなく「End」を押下する必要があります。
- エラーメッセージに従った調査
エラーメッセージに関して真っ先にAD設定やネットワーク調査をするのは間違っていませんが,多角的な観点を持つことも重要です。
まとめ
本稿の要点をまとめると以下の通りです。
- リモートデスクトップ接続先では「Ctrl」+「Alt」+「End」を使用する。
- 「Ctrl」+「Alt」+「Del」はローカル環境での操作扱いとなるため注意する。
- 多段接続の場合はスクリーンキーボードを活用する。
セキュリティを考慮して,定期的なパスワード変更はとても大切です。
しかし,リモートデスクトップにおいては,キーボード操作が意図しない結果を招く可能性があることも理解いただけたかと思います。
また,実際に出てきたエラーメッセージにおいても,直接的な原因を示していない可能性もある点に注意する必要があります。
ぜひ,多角的なエラー調査に役立てていただけたら幸いです。
