当社では、PC を段階的に Windows 7 にアップグレードしているところですが、アップグレードしたマシンへの RDP 接続を開いてリモート管理することができないことが何度かありました。ある時点で、ネットワーク レベル認証が原因であることに気付き、それ以降に展開したイメージではこれを無効にしました。
今朝、次のことを試したにもかかわらず、接続できなかった別のマシンがありました。
- RDS サーバー経由のリモート デスクトップ (2008R2)
- 同じLAN/サブネット上の別のWindows 7マシンにリモートデスクトップ接続し、そこから接続を開いてみます。
AFAICTnmapによると、ポート 3389 は開いていません。
問題のマシンは数百キロ離れているため、物理的にアクセスしてローカル ログインを実行するのはやや困難です (また、ユーザーに修正してもらうためにローカル ログインの詳細を渡すことは避けたいです)。
「グループポリシー」が存在しない理由は2つあります。マシンがドメインに接続されていない、
使用しているので霧イメージングと管理については、レジストリ ハックまたはバッチ/PowerShell スクリプトを展開して無効にできる可能性があります。解決策について何か提案はありますか?
答え1
ネットワーク レベル認証 (NLA) では、セッションを開始するホストとリモート ホストの両方で認証を行う必要があります。つまり、いくつかのユーザー名/ホスト名の変数の組み合わせがあり、それらはすべて適切に機能する必要があります。
- 現在ログインしているユーザー名/アカウント
- リモートシステムにログインするために使用しようとしているユーザー名/アカウント
- セッションを開始するために使用しているローカルホスト
- リモート デスクトップ セッションを作成するリモート ホスト。
これにより、NLA を使用したリモート デスクトップが機能しなくなる可能性があります。
リモートデスクトップセッションを開始するローカルホストがNLAをサポートしていない場合(これはVistaより前のWindowsバージョンで、RDC バージョン 6.1 以上これは、NLA をサポートしていないクライアントを使用する Linux などのホストにも当てはまります。
リモート デスクトップ セッションを開始するローカル アカウントがローカルで認証できない場合。通常、セッションを開始するローカル ホストにログインできないアカウントを使用している場合、または権限が制限されている場合に発生します。ドメイン アカウントの場合は、「net use /domain」を使用して、ユーザー アカウントの Workstations Allowed / Workstations Restricted リストを参照してください。アカウントがホストのセットに制限されている場合は、両方RDP が NLA で動作するには、ローカル ホストとリモート ホストがリストに含まれている必要があります。
答え2
ようやく問題のあるマシン (ラップトップ) が戻ってきて、リモート デスクトップが完全に無効になっていることがわかりました。問題の原因を特定するには、物理的なアクセスに代わるものがないこともあります。