ユーザーが認証できない、または 2 回認証する必要がある

  • [アーティクル]

この記事では、ユーザー認証に影響を与える問題を引き起こす可能性のあるいくつかの問題について説明します。

アクセスが拒否され、ログオンの種類が制限されている

この状況では、Windows 10 または Windows Server 2016 コンピューターに接続しようとしているWindows 10 ユーザーは、次のメッセージでアクセスを拒否されます。

リモート デスクトップ接続: システム管理者は、使用できるログオンの種類 (ネットワークまたは対話型) を制限しました。 サポートについては、システム管理者またはテクニカル サポートにお問い合わせください。

この問題は、RDP 接続にネットワーク レベル認証 (NLA) が必要であり、ユーザーが リモート デスクトップ ユーザー グループのメンバーでない場合に発生します。 また、 リモート デスクトップ ユーザー グループがネットワーク ユーザー権利 から [このコンピューターにアクセス する] に割り当てられていない場合にも発生する可能性があります。

この問題を解決するには、次のいずれかの操作を行います。

ユーザーのグループ メンバーシップまたはユーザー権限の割り当てを変更する

この問題が 1 人のユーザーに影響する場合、この問題の最も簡単な解決策は、 ユーザーをリモート デスクトップ ユーザー グループに追加することです。

ユーザーが既にこのグループのメンバーである場合 (または複数のグループ メンバーに同じ問題がある場合)、リモート Windows 10またはWindows Server 2016 コンピューターでユーザー権限の構成をチェックします。

  1. グループ ポリシー オブジェクト エディター (GPE) を開き、リモート コンピューターのローカル ポリシーに接続します。

  2. [コンピューターの構成\] [Windows 設定]\[セキュリティ設定\] [ローカル ポリシー] [ユーザー権利の\割り当て] に移動し、[ネットワークからこのコンピューターにアクセス] を右クリックし、[プロパティ] を選択します

  3. リモート デスクトップ ユーザー (または親グループ) のユーザーとグループの一覧を確認します。

  4. リストに リモート デスクトップ ユーザー または Everyone のような親グループが含まれていない場合は、リストに追加する必要があります。 展開に複数のコンピューターがある場合は、グループ ポリシー オブジェクトを使用します。

    たとえば、 ネットワークからこのコンピューターにアクセス するための既定のメンバーシップには、 Everyone が含まれます。 展開でグループ ポリシー オブジェクトを使用して Everyone を削除する場合は、グループ ポリシー オブジェクトを更新して リモート デスクトップ ユーザーを追加することで、アクセスを復元する必要がある場合があります。

アクセスが拒否されました。SAM データベースへのリモート呼び出しが拒否されました

この動作は、ドメイン コントローラーがWindows Server 2016以降を実行していて、ユーザーがカスタマイズされた接続アプリを使用して接続を試みる場合に発生する可能性が最も高くなります。 特に、Active Directory でユーザーのプロファイル情報にアクセスするアプリケーションは、アクセスを拒否されます。

この動作は、Windows に変更が行われます。 Windows Server 2012 R2 以前のバージョンでは、ユーザーがリモート デスクトップにサインインすると、リモート 接続マネージャー (RCM) がドメイン コントローラー (DC) に接続し、Active Directory Domain Services (AD DS) のユーザー オブジェクトのリモート デスクトップに固有の構成を照会します。 この情報は、Active Directory ユーザーとコンピューター MMC スナップインのユーザーのオブジェクト プロパティの [リモート デスクトップ サービス プロファイル] タブに表示されます。

Windows Server 2016以降、RCM は AD DS でユーザーのオブジェクトに対してクエリを実行しなくなりました。 リモート デスクトップ サービス属性を使用しているために AD DS に対してクエリを実行する RCM が必要な場合は、クエリを手動で有効にする必要があります。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護のために、レジストリを変更する前にレジストリをバックアップして、問題が発生した場合にレジストリを復元できるようにします。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

RD セッション ホスト サーバーで従来の RCM 動作を有効にするには、次のレジストリ エントリを構成してから、 リモート デスクトップ サービス サービスを再起動します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\
    • 名前: fQueryUserConfigFromDC
    • 型: Reg_DWORD
    • 値: 1 (10 進数)

RD セッション ホスト サーバー以外のサーバーで従来の RCM 動作を有効にするには、これらのレジストリ エントリと次の追加レジストリ エントリを構成します (その後、サービスを再起動します)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

この動作の詳細については、「Windows Server 2016でのリモート 接続マネージャーの変更」を参照してください。

ユーザーがスマート カードを使用してサインインできない

このセクションでは、ユーザーがスマート カードを使用してリモート デスクトップにサインインできない 3 つの一般的なシナリオについて説明します。

読み取り専用ドメイン コントローラー (RODC) を使用してブランチ オフィスでスマート カードを使用してサインインできない

この問題は、RODC を使用するブランチ サイトの RDSH サーバーを含む展開で発生します。 RDSH サーバーはルート ドメインでホストされます。 ブランチ サイトのユーザーは子ドメインに属しており、認証にはスマート カードを使用します。 RODC は、ユーザー パスワードをキャッシュするように構成されています (RODC は 許可された RODC パスワード レプリケーション グループに属しています)。 ユーザーが RDSH サーバー上のセッションにサインインしようとすると、"ログオンが試行されましたが無効です" などのメッセージが表示されます。 これは、ユーザー名または認証情報が正しくないためです。

この問題は、ルート DC と RDOC がユーザー資格情報の暗号化を管理する方法によって発生します。 ルート DC は暗号化キーを使用して資格情報を暗号化し、RODC はクライアントに暗号化解除キーを与えます。 ユーザーが "無効" エラーを受け取った場合、これは 2 つのキーが一致しないことを意味します。

この問題を回避するには、次のいずれかを試してください。

  • RODC でパスワード キャッシュをオフにするか、書き込み可能 DC をブランチ サイトに展開して、DC トポロジを変更します。
  • RDSH サーバーをユーザーと同じ子ドメインに移動します。
  • ユーザーがスマート カードなしでサインインできるようにする。

これらのソリューションのすべてに、パフォーマンスレベルまたはセキュリティ レベルでの侵害が必要であることをお勧めします。

ユーザーがスマート カードを使用して Windows Server 2008 SP2 コンピューターにサインインできない

この問題は、ユーザーが KB4093227 (2018.4B) で更新された Windows Server 2008 SP2 コンピューターにサインインするときに発生します。 ユーザーがスマート カードを使用してサインインしようとすると、"有効な証明書が見つかりません" などのメッセージによるアクセスが拒否されます。 カードが正しく挿入され、しっかりとフィットしていることを確認してください。同時に、Windows Server コンピューターは Application イベント "挿入されたスマート カードからデジタル証明書を取得中にエラーが発生しました。 無効な署名。

この問題を解決するには、Kb 4093227 の 2018.06 B の再リリース、 Windows Server 2008 の Windows リモート デスクトップ プロトコル (RDP) サービス拒否の脆弱性のセキュリティ更新プログラムの説明: 2018 年 4 月 10 日で Windows Server コンピューターを更新します。

スマート カードとリモート デスクトップ サービス サービスがハングしてサインインしたままにできない

この問題は、KB 4056446で更新された Windows または Windows Server コンピューターにユーザーがサインインするときに発生します。 最初に、ユーザーはスマート カードを使用してシステムにサインインできますが、"SCARD_E_NO_SERVICE" エラー メッセージが表示されます。 リモート コンピューターが応答しなくなる可能性があります。

この問題を回避するには、リモート コンピューターを再起動します。

この問題を解決するには、適切な修正プログラムを使用してリモート コンピューターを更新します。

リモート PC がロックされている場合、ユーザーはパスワードを 2 回入力する必要があります

この問題は、RDP 接続が NLA を必要としない展開で、ユーザーがバージョン 1709 Windows 10実行しているリモート デスクトップに接続しようとしたときに発生する可能性があります。 このような状況では、リモート デスクトップがロックされている場合、ユーザーは接続時に資格情報を 2 回入力する必要があります。

この問題を解決するには、KB 4343893、2018-KB4343893 (OS ビルド 16299.637) を使用して、Windows 10 バージョン 1709 コンピューターを更新します。

ユーザーがサインインできないと、"認証エラー" メッセージと "CredSSP 暗号化 Oracle 修復" メッセージが表示される

ユーザーが Windows Vista SP2 以降のバージョンまたは Windows Server 2008 SP2 以降のバージョンから任意のバージョンの Windows を使用してサインインしようとすると、アクセスが拒否され、次のようなメッセージが受信されます。

認証エラーが発生しました。 The function requested is not supported. ...これは、CredSSP 暗号化 oracle 修復 ... が原因である可能性があります。

"CredSSP 暗号化 Oracle 修復" とは、2018 年 3 月、4 月、5 月にリリースされた一連のセキュリティ更新プログラムを指します。 CredSSP は、他のアプリケーションの認証要求を処理する認証プロバイダーです。 2018 年 3 月 13 日、"3B" 以降の更新プログラムは、攻撃者がユーザーの資格情報を中継してターゲット システムでコードを実行できる悪用に対処しました。

初期更新プログラムでは、次の設定が可能な新しいグループ ポリシー オブジェクト Encryption Oracle 修復のサポートが追加されました。

  • 脆弱: CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできますが、この動作によってリモート デスクトップが攻撃にさらされる可能性があります。 CredSSP を使用するサービスは、更新されていないクライアントを受け入れます。

  • 軽減策: CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできませんが、CredSSP を使用するサービスは更新されていないクライアントを受け入れます。

  • 強制的に更新されたクライアント: CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできません。また、CredSSP を使用するサービスでは、パッチが適用されていないクライアントは受け入れられません。

    注:

    すべてのリモート ホストが最新バージョンをサポートするまで、この設定を展開しないでください。

2018 年 5 月 8 日の更新プログラムでは、既定の [暗号化 Oracle 修復] 設定が [脆弱] から [軽減済み] に変更されました。 この変更により、更新プログラムを持つリモート デスクトップ クライアントは、更新されていないサーバー (または再起動されていない更新されたサーバー) に接続できません。 CredSSP 更新プログラムの詳細については、「 KB 4093492」を参照してください。

この問題を解決するには、すべてのシステムを更新して再起動します。 更新プログラムの完全な一覧と脆弱性の詳細については、「 CVE-2018-0886 |CredSSP のリモート コード実行の脆弱性

更新が完了するまでこの問題を回避するには、許可される種類の接続に対して KB 4093492をチェックします。 実行可能な代替手段がない場合は、次のいずれかの方法を検討してください。

  • 影響を受けるクライアント コンピューターの場合は、Encryption Oracle 修復ポリシーを [脆弱] に戻します。
  • [コンピューターの構成\] [管理用テンプレート\] [Windows コンポーネント]\[リモート デスクトップ サービス\]リモート デスクトップ セッション ホスト\セキュリティ グループ ポリシー フォルダーの次のポリシーを変更します。

    • リモート (RDP) 接続に特定のセキュリティレイヤーを使用する必要があります: [有効] に設定し、[RDP] を選択 します

    • ネットワーク レベル認証を使用してリモート接続にユーザー認証を要求する: [ 無効] に設定します。

      重要

      これらのグループ ポリシーを変更すると、デプロイのセキュリティが低下します。 一時的にのみ使用することをお勧めします(まったくの場合)。

グループ ポリシーの操作の詳細については、「 ブロッキング GPO の変更」を参照してください。

クライアント コンピューターを更新した後、一部のユーザーは 2 回サインインする必要があります

ユーザーが Windows 7 またはバージョン 1709 Windows 10を実行しているコンピューターを使用してリモート デスクトップにサインインすると、すぐに 2 番目のサインイン プロンプトが表示されます。 この問題は、クライアント コンピューターに次の更新プログラムがある場合に発生します。

この問題を解決するには、ユーザーが接続するコンピューター (RDSH または RDVI サーバー) が 2018 年 6 月まで完全に更新されていることを確認します。 これには、次の更新プログラムが含まれます。

複数の RD 接続ブローカーでリモート資格情報ガードを使用する展開でユーザーのアクセスが拒否される

この問題は、リモート 資格情報ガードが使用されている場合、2 つ以上のリモート デスクトップ接続ブローカーを使用する高可用性デプロイWindows Defender発生します。 ユーザーはリモート デスクトップにサインインできません。

この問題は、リモート資格情報ガードで認証に Kerberos が使用され、NTLM が制限されるために発生します。 ただし、負荷分散を使用した高可用性構成では、RD 接続ブローカーは Kerberos 操作をサポートできません。

負荷分散された RD 接続ブローカーで高可用性構成を使用する必要がある場合は、リモート資格情報ガードを無効にしてこの問題を回避できます。 リモート資格情報ガードWindows Defender管理する方法の詳細については、「リモート 資格情報ガードWindows Defender使用してリモート デスクトップ資格情報を保護する」を参照してください。