概要
条件が限られるものの、頻繁にご相談をうけるリモートデスクトップ接続時の認証に関する問題についてまとめます。
事象
具体的には下記の事象です。
・ Windows 環境でリモート デスクトップ接続の認証に失敗し接続ができない。
・ 認証が失敗するのはホスト名で接続先を指定した場合のみであり、接続先を IP アドレスで指定した場合には発生しない。
・ ホスト名を指定しての接続でも必ず発生するわけではない。
・ 環境はドメイン環境であり、複数のドメイン コントローラーが環境内に存在する。
対処策
記録されていた場合には 全ドメイン コントローラーに 2022 年 11 月以降の更新プログラムを適用するになります。
とはいえ全ドメイン コントローラーに更新を適用しろと言われても、実施できない場合もあるかと思います。(というよりまずできないでしょう)
その場合、ドメイン コントローラーのシステム ログを確認し イベント ID 43 または 44 が記録されていないか確認します。
事象発生の理由
ドメイン コントローラーのシステム ログにイベント ID 43 または 44 が記録されるのは、
下記 CVE-2022-37967 の影響により、PAC 署名が見つからない場合や、署名が無効で、(Kerberos での)認証を拒否された場合です。
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 - Microsoft サポート
上記公開情報より下記の BLOG をご確認いただいたほうがわかりやすいかと思います。
CVE-2022-37967 への対応とその影響について | Microsoft Japan Windows Technology Support Blog
なお、認証するドメイン コントローラーが CVE-2022-37967 に対処されているか否かにより、接続されたりされなかったりとなります。
また、 IP アドレスの指定だと接続できるのかというと下記にMicrosoft 公開情報に記載があるように IP アドレスを指定して接続を行った場合には認証方法として Kerberos 認証が行われず、 NTLM よる認証が行わわれるためです。
<参考情報>
IP アドレス用 Kerberos の構成 | Microsoft Learn
いずれにせよ該当のログが記録されている場合は、品質更新プログラムの適用がその対処策となります。
事象が発生しうるパターン 2 選
事象が発生しうるパターンとしては下記です。
-
オフラインでの運用などで品質更新プログラムを適用していないドメイン環境で、ドメイン コントローラーの更新のため、最新の品質更新プログラムを適用したドメイン コントローラーを追加した
-
コンスタントにドメイン コントローラーへ品質更新プログラムを適用を実施している環境に、更新プログラム未適用のインストールメディアを使用してインストールしたドメイン コントローラーを追加した
なお、前者がほとんどという印象です。
更新プログラム適用以外での対処方法
基本的に更新プログラムを適用するしかありませんが、ドメイン コントローラー間での品質更新プログラムの差異により事象が発生しますの、状況によっては品質更新プログラムの適用ができないドメイン コントローラーは運用からはずすという選択肢もあります。
特に Windows Server 2008 および Windows Server 2008 R2 のドメイン コントローラーの場合 ESU 契約を結んでいないと対処するための更新プログラムが入手できないので、運用から外す方向で検討いただくのが妥当かと思います。
<参考情報>
製品ライフサイクルに関する FAQ - 拡張セキュリティ更新プログラム | Microsoft Learn
最後に
本事象にかかわらず、環境内で品質更新プログラムの適用に差異がある場合、さまざまな問題の発生要因になりえます。
その為可能な限りですが環境内の更新プログラムの適用状態に差異が生じないようにしていただければと思います。