前回、ネットワークレベル認証を強制していない場合でも、パスワード変更が必要な場合にリモートデスクトップ接続に失敗する可能性があることをお伝えしました。その場合の解決策の一つとして「NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする」方法があります。今回の記事ではその方法を説明したいと思います。
手順
1.「ローカルグループポリシーエディター」を開く
※参考:ローカル グループポリシー エディターの開き方
2.「セキュリティ]フォルダを開く
コンピューターの構成 – 管理用テンプレート – Windows コンポーネント – リモート デスクトップ サービス –
リモート デスクトップ セッション ホスト – セキュリティ
3. 下図のとおり、3つのポリシーのうち、2つを有効にします
![](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_001-1024x530.png)
[必須]
①「リモート接続にネットワークレベル認証を使用したユーザ認証を必要とする」を有効にする
![](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_002.png)
[どちらか一つでよい(両方設定しても問題なし)]
②[クライアント接続の暗号化レベルを設定する] を[有効]にし、[暗号化レベル] を[低レベル]にする。
![クライアント接続の暗号化レベルを設定する](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_003.png)
③ [リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする]を[有効]にし、[セキュリティレイヤー]を[RDP]にします。
![リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_004.png)
4. サーバーを再起動し、設定の変更を有効にします。
![gpupdate /force](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_005.png)
手順は以上です。これで、NLAが完全に無効になるので、 パスワード変更が必要な場合にリモートデスクトップ接続できるようになります。
補足
上記の設定をしてRDP接続すると、接続時の画面が以下のようになります。
![このコンピュータのIDを識別できません。接続しますか?](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/nla_disabled_006.png)
パスワード変更も行えるようになりました。
![](http://win2012r2.com/win2012r2/wp-content/uploads/2019/02/rdp_password_007.png)
以上。
コメント