ユーザーが認証できない、または 2 回認証する必要がある
この記事では、ユーザーの認証に影響する可能性のあるいくつかの問題について説明します。
アクセス拒否、制限された種類のログオン
この状況では、Windows 10 のユーザーが Windows 10 または Windows Server 2016 のコンピューターに接続しようとすると、次のメッセージでアクセスを拒否されます。
リモート デスクトップ接続: システム管理者は、使用できるログオンの種類 (ネットワークまたは対話型) を制限しました。 サポートが必要な場合は、システム管理者かテクニカル サポートに問い合わせてください。
この問題は、RDP 接続にネットワーク レベル認証 (NLA) が必要であり、ユーザーが Remote Desktop Users グループのメンバーでない場合に発生します。 リモート デスクトップ ユーザー グループがネットワークからこのコンピューターにアクセスするアクセスユーザー権限に割り当てられていない場合にも発生する可能性があります。
この問題を解決するには、次のいずれかを実行します。
- ユーザーのグループ メンバーシップまたはユーザー権利の割り当てを変更する
- NLA をオフにします (非推奨)。
- Windows 10 以外のリモート デスクトップ クライアントを使います。 たとえば、Windows 7 クライアントにはこの問題はありません。
ユーザーのグループ メンバーシップまたはユーザー権利の割り当てを変更する
この問題の影響を受けるユーザーが 1 人だけの場合、この問題の最も簡単な解決策は、ユーザーを Remote Desktop Users グループに追加することです。
ユーザーが既にこのグループのメンバーである場合は (または、複数のグループ メンバーに同じ問題がある場合は)、リモートの Windows 10 または Windows Server 2016 コンピューターでユーザー権利の構成を確認します。
グループ ポリシー オブジェクト エディター (GPE) を開き、リモート コンピューターのローカル ポリシーに接続します。
Computer 構成\Windows 設定\セキュリティ設定\ローカル ポリシー\ユーザー権利の割り当てに移動し、ネットワークからこのコンピューターにアクセスを右クリックし、Properties を選択します。
Remote Desktop Users (または親グループ) のユーザーとグループの一覧を確認します。
リストに Remote Desktop Users または Everyone のような親グループが含まれていない場合は、一覧に追加する必要があります。 展開に複数のコンピューターがある場合は、グループ ポリシー オブジェクトを使用してください。
たとえば、 [ネットワーク経由でのアクセス] の既定のメンバーシップには、Everyone が含まれています。 展開でグループ ポリシー オブジェクトを使って Everyone を削除している場合は、グループ ポリシー オブジェクトを更新して Remote Desktop Users を追加することにより、アクセスを復元することが必要な場合があります。
アクセス拒否、SAM データベースへのリモート呼び出しが拒否される
この動作が発生する可能性が最も高いのは、ドメイン コントローラーで Windows Server 2016 以降が実行されていて、ユーザーがカスタマイズされた接続アプリを使って接続しようとした場合です。 具体的には、Active Directory のユーザーのプロファイル情報にアクセスするアプリケーションは、アクセスを拒否されます。
この動作は、Windows に対する変更による結果です。 Windows Server 2012 R2 以前のバージョンでは、ユーザーがリモート デスクトップにサインインすると、リモート接続マネージャー (RCM) はドメイン コントローラー (DC) にアクセスし、Active Directory Domain Services (AD DS) 内のユーザー オブジェクト上にあるリモート デスクトップに固有の構成をクエリします。 この情報は、[Active Directory ユーザーとコンピューター] MMC スナップインで、ユーザーのオブジェクト プロパティの [リモート デスクトップ サービスのプロファイル] タブに表示されます。
Windows Server 2016 以降では、RCM は AD DS 内のユーザーのオブジェクトをクエリしなくなっています。 リモート デスクトップ サービスの属性を使っているため、RCM で AD DS をクエリする必要がある場合は、クエリを手動で有効にする必要があります。
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前にバックアップし、問題が発生した場合に復元できるようにします。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。
RD セッション ホスト サーバーで従来の RCM 動作を有効にするには、次のレジストリ エントリを構成し、 Remote Desktop Services サービスを再起動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
- 名前: fQueryUserConfigFromDC
- 種類: Reg_DWORD
- 値:1 (10 進)
RD セッション ホスト サーバー以外のサーバーで従来の RCM 動作を有効にするには、これらのレジストリ エントリと次の追加レジストリ エントリを構成します (その後、サービスを再起動します)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
この動作の詳細については、「Changes to Remote 接続マネージャー in Windows Server 2016」を参照してください。
ユーザーがスマート カードを使用してサインインできない
このセクションでは、ユーザーがスマート カードを使用してリモート デスクトップにサインインできない 3 つの一般的なシナリオについて説明します。
読み取り専用ドメイン コントローラー (RODC) を使用するブランチ オフィスにスマート カードでサインインできない
この問題は、RODC を使うブランチ サイトに RDSH サーバーが含まれる展開で発生します。 RDSH サーバーは、ルート ドメインでホストされます。 ブランチ サイトのユーザーは子ドメインに属し、認証にスマート カードを使います。 RODC はユーザーのパスワードをキャッシュするように構成されています (RODC は Allowed RODC Password Replication グループに属しています)。 ユーザーは、RDSH サーバー上のセッションにサインインしようとすると、次のようなメッセージを受け取ります。"実行しようとしたログオンは無効です。 ユーザー名または認証情報に誤りがあります。"
この問題は、ルート DC と RDOC によるユーザー資格情報の暗号化の管理方法が原因で発生します。 ルート DC では暗号化キーを使って資格情報が暗号化され、RODC では復号化キーがクライアントに提供されます。 ユーザーが "無効" エラーを受け取った場合は、2 つのキーが一致しないことを意味します。
この問題に対処するには、次のいずれかを試してみてください。
- RODC でパスワード キャッシュをオフにするか、書き込み可能 DC をブランチ サイトに展開して、DC トポロジを変更します。
- RDSH サーバーをそのユーザーと同じ子ドメインに移動します。
- ユーザーがスマート カードなしでサインインできるようにします。
これらのいずれの解決策でも、パフォーマンスまたはセキュリティ レベルの低下が避けられないことに留意してください。
ユーザーがスマート カードを使用して Windows Server 2008 SP2 のコンピューターにサインインできない
この問題は、ユーザーが KB4093227 (2018.4B) で更新された Windows Server 2008 SP2 コンピューターにサインインするときに発生します。 ユーザーがスマート カードを使用してサインインしようとすると、"有効な証明書が見つかりません。 カードが正しく挿入され、密着していることを確認してください。"同時に、Windows Server コンピューターでは次のアプリケーション イベントが記録されます。"挿入されたスマート カードからデジタル証明書を取得しているときにエラーが発生しました。 署名が無効です。"
この問題を解決するには、KB 4093227 「Windows Server 2008 における Windows リモート デスクトップ プロトコル (RDP) のサービス拒否の脆弱性を解決するためのセキュリティ更新プログラムについて:2018 年 4 月 10 日」の 2018.06 B の再リリースで Windows Server コンピューターを更新してください。
スマート カードでのサインインを維持できず、リモート デスクトップ サービスのサービスがハングする
この問題は、ユーザーが KB 4056446 で更新された Windows または Windows Server コンピューターにサインインするときに発生します。 最初、ユーザーはスマート カードを使ってシステムにサインインできる場合がありますが、その後 "SCARD_E_NO_SERVICE" のエラー メッセージを受け取ります。 リモート コンピューターが応答しなくなる可能性があります。
この問題を回避するには、リモート コンピューターを再起動します。
この問題を解決するには、適切な修正プログラムでリモート コンピューターを更新します。
- Windows Server 2008 SP2: KB 4090928、Windows の lsm.exe プロセスでハンドルがリークし、スマート カード アプリケーションで "SCARD_E_NO_SERVICE" エラーが表示される場合がある
- Windows Server 2012 R2: KB 4103724、 May 17、2018-KB4103724 (月次ロールアップのプレビュー)
- Windows Server 2016 および Windows 10 バージョン 1607: KB 4103720、 May 17、2018-KB4103720 (OS ビルド 14393.2273)
リモート PC がロックされている場合、ユーザーがパスワードを 2 回入力する必要がある
この問題は、RDP 接続に NLA を必要としない展開内の Windows 10 バージョン 1709 が実行されているリモート デスクトップにユーザーが接続しようとしたときに発生する可能性があります。 これらの条件下では、リモート デスクトップがロックされている場合、ユーザーは接続するときに資格情報を 2 回入力する必要があります。
この問題を解決するには、WINDOWS 10 バージョン 1709 コンピューターを KB 4343893 2018 年 8 月 30 日KB4343893 (OS ビルド 16299.637)で更新します。
ユーザーがサインインできず、"認証エラー" および "CredSSP 暗号化オラクルの修復" のメッセージを受け取る
ユーザーが Windows Vista SP2 以降のバージョンまたは Windows Server 2008 SP2 以降のバージョンから任意のバージョンの Windows を使用してサインインしようとすると、アクセスが拒否され、次のようなメッセージが受信されます。
認証エラーが発生しました。 要求された関数はサポートされていません。 ...これは、CredSSP 暗号化 Oracle の修復が原因である可能性があります。
"CredSSP 暗号化オラクルの修復" とは、2018 年の 3 月、4 月、5 月にリリースされた一連のセキュリティ更新プログラムのことです。 CredSSP は、他のアプリケーションに対する認証要求を処理する認証プロバイダーです。 2018 年 3 月 13 日の "3B" およびそれ以降の更新プログラムでは、攻撃者がユーザーの資格情報を中継してターゲット システムでコードを実行する悪用に対処しました。
初期更新プログラムでは、次の設定が可能な新しいグループ ポリシー オブジェクト Encryption Oracle 修復のサポートが追加されました。
Vulnerable (脆弱性あり):CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできますが、この動作はリモート デスクトップを攻撃の危険にさらします。 CredSSP を使用するサービスは、更新されていないクライアントを受け付けます。
Mitigated (軽減済み):CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできませんが、CredSSP を使用するサービスは更新されていないクライアントを受け付けます。
Force Updated Clients (更新されたクライアントを強制する):CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできず、CredSSP を使用するサービスは修正プログラムが適用されていないクライアントを受け付けません。
注意
この設定は、すべてのリモート ホストが最新バージョンをサポートするようになるまで、展開しないでください。
2018 年 5 月 8 日の更新プログラムでは、暗号化オラクルの修復の既定の設定が Vulnerable (脆弱性あり) から Mitigated (軽減済み) に変更されました。 この変更により、更新プログラムが適用されたリモート デスクトップ クライアントは、適用されていないサーバー (または、更新後に再起動されていないサーバー) に接続できません。 CredSSP 更新プログラムの詳細については、KB 4093492 に関するページをご覧ください。
この問題を解決するには、すべてのシステムを更新して再起動します。 更新プログラムの完全な一覧および脆弱性の詳細については、「CVE-2018-0886 | CredSSP のリモートでコードが実行される脆弱性」をご覧ください。
更新が完了するまでこの問題を回避するには、KB 4093492 で許可される接続の種類を確認してください。 実行可能な代替手段がない場合は、次のいずれかの方法を検討してください。
- 影響を受けているクライアント コンピューターで、暗号化オラクルの修復のポリシーを [Vulnerable](脆弱性あり) に戻します。
- Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security グループ ポリシー フォルダー内の次のポリシーを変更します。
[リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする] : [有効] に設定し、 [RDP] を選択します。
[リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする] : [無効] に設定します。
重要
これらのグループ ポリシーを変更すると、展開のセキュリティが低下します。 これらは一時的にのみ使用することをお勧めします。
グループ ポリシーの使用について詳しくは、「ブロックしている GPO を変更する」をご覧ください。
クライアント コンピューターを更新した後、一部のユーザーが 2 回サインインする必要がある
ユーザーが Windows 7 または Windows 10 バージョン1709 が実行されているコンピューターを使用してリモート デスクトップにサインインすると、2 つ目のサインイン プロンプトがすぐに表示されます。 この問題は、クライアント コンピューターに次の更新プログラムがある場合に発生します。
- Windows 7: KB 4103718、 May 8、2018-KB4103718 (月次ロールアップ)
- Windows 10 1709: KB 4103727、 May 8、2018-KB4103727 (OS ビルド 16299.431)
この問題を解決するには、ユーザーが接続するコンピューター (RDSH または RDVI サーバー) が 2018 年 6 月まで完全に更新されていることを確認します。 これには次の更新プログラムが含まれます。
- Windows Server 2016: KB 4284880、 June 12、2018-KB4284880 (OS ビルド 14393.2312)
- Windows Server 2012 R2: KB 4284815、 June 12、2018-KB4284815 (月次ロールアップ)
- Windows Server 2012: KB 4284855、 June 12、2018-KB4284855 (月次ロールアップ)
- Windows Server 2008 R2: KB 4284826、 June 12、2018-KB4284826 (月次ロールアップ)
- Windows Server 2008 SP2: KB4056564, Description of the security update for the CredSSP remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady 2009, and Windows Embedded Standard 2009:March 13, 2018 (Windows Server 2008、Windows Embedded POSReady 2009、Windows Embedded Standard 2009 での CredSSP リモート コード実行の脆弱性に対するセキュリティ更新プログラムの説明: 2018 年 3 月 13 日)
複数の RD 接続ブローカーを含む Remote Credential Guard を使用する展開でユーザーがアクセスを拒否される
この問題は、Windows Defender Remote Credential Guard が使われている場合に、複数のリモート デスクトップ接続ブローカーを使用する高可用性の展開で発生します。 ユーザーは、リモート デスクトップにサインインできません。
この問題は、Remote Credential Guard では認証に Kerberos が使われていて、NTLM が制限されるために発生します。 ただし、負荷分散されている高可用性構成の RD 接続ブローカーでは、Kerberos の操作をサポートできません。
負荷分散された RD 接続ブローカーが含まれる高可用性構成を使う必要がある場合は、Remote Credential Guard を無効にすることで、この問題を回避できます。 Windows Defender Remote Credential Guard の管理方法について詳しくは、「Windows Defender Remote Credential Guard を使用してリモート デスクトップの資格情報を保護する」をご覧ください。