今回はリモートデスクトップ接続の下記のオプションについて解説したいと思います。以下の記事も合わせてご参照ください。
※参考:RDPのネットワークレベル認証とは
ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する
1. ドメインユーザーでRDP接続する場合のNLAの動き
ドメインに参加しているサーバにドメインユーザーでリモートデスクトップ接続しようとすると(①)、サーバーは資格情報をクライアントに要求します(②)。クライアントから資格情報を受け取ると(③)、受け取った資格情報をドメインコントローラーに確認します(④)。ドメインユーザーの資格情報はドメインコントローラーに保管されているからです。これがネットワークレベル認証(NLA)の動作概要になります。
次にドメインコントローラーやNWに障害が起きて接続先のサーバーとドメインコントローラーが通信できない場合を考えてみたいと思います。この場合はサーバーはドメインコントローラーに対して資格情報の確認ができないため、ネットワークレベル認証に失敗します。
以下の設定を有効にしている場合は、ドメインユーザーでサーバーにリモートデスクトップ接続することができなくなります。
ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する
一方で、上記の設定を無効にしている場合、ネットワークレベル認証ができない場合は、接続先のサーバーにあるキャッシュ情報を使ってログインすることができます。
2. ローカルユーザーでRDP接続する場合のNLAの動き
ローカルユーザーでリモートデスクトップ接続する場合は動きが異なります。なぜならローカルユーザーの資格情報は接続先のサーバー上に保管されているからです。ネットワークレベル認証はクライアントとサーバー間で完結します。
以上。
補足
「ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する」を有効にすると以下のような事象が発生する可能性があります。
※参考: 接続しようとしているリモート コンピューターには ネットワーク レベル認証 (NLA) が必要ですが、お使いの Windows のドメイン コントローラーに接続して NLA を実行することができません
コメント