OpenVPN mit LDAP Auth. an MS AD - Kennwortänderungsrichtlinie temp. umgehen

[Yoshisan]

Hallo liebe Community,

wir setzen in unserem Rechenzentrum Opnsense als Firewall vor Windows Server Kundennetzwerken ein.
Über die Opnsense findet ebenso die VPN-Einwahl über OpenVPN statt. Dabei werden die Benutzer am AD per LDAP-Verbindung der Firewall authentifiziert was auch wunderbar klappt.
Allerdings haben wir das Problem, dass wenn die Benutzer im konfigurierten Rhythmus ihr Kennwort ändern müssen sich nicht mehr per OpenVPN einwählen können. Der Workaround war bisher die Kennwortänderung am öffentlichen RD-Gatewayserver per Browser vorzunehmen. Dieser wird allerdings aufgrund von erhöhten Sicherheitsrichtlinien abgeschaltet wodurch der Zugriff nur noch per (Open)VPN möglich sein soll.
Gibt es eventuell eine Möglichkeit den Zugriff per OpenVPN trotzdem zu erlauben (override o.ä.?), die User aber zu zwingen nach der Anmeldung am Terminal-Server das Kennwort zu ändern?

Bin für jegliche Vorschläge dankbar  :D