LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@valpasucucci43(ヴァル パスクチ)inNTTデータ先端技術

リモートデスクトップ接続する際に、ホスト名(コンピューター名)で接続先を指定すると認証ができない場合がある

Last updated at Posted at 2024-06-23

概要

条件が限られるものの、頻繁にご相談をうけるリモートデスクトップ接続時の認証に関する問題についてまとめます。

※ 2024 年 6 月 30 日脆弱性の言及に不足があり追記、並びに編集しました。
※ 2024 年 8 月 29 日類似の更新について補足

事象

具体的には下記の事象です。

・ Windows 環境でリモート デスクトップ接続の認証に失敗し接続ができない。
・ 認証が失敗するのはホスト名で接続先を指定した場合のみであり、接続先を IP アドレスで指定した場合には発生しない。
・ ホスト名を指定しての接続でも必ず発生するわけではない。
・ 環境はドメイン環境であり、複数のドメイン コントローラーが環境内に存在する。

対処策

全ドメイン コントローラーで更新プログラムの適用状況に差異が生じないように、古い更新プログラムが適用されているドメイン コントローラーに更新プログラムを適用します。

具体的には本事象の場合、2022 年 11 月以降の更新プログラムを全ドメイン コントローラーに適用することで事象が解消します。

全ドメイン コントローラーに更新を適用しろと言われても、実施できない場合もあるかと思います。(というよりまずできないでしょう)

その場合、ドメイン コントローラーのシステム ログを確認しID 35 37 43 44 が記録されていないか確認します。

事象発生の理由 イベント ID 35 または 37

ドメイン コントローラーのシステム ログにイベント ID 35 または 37 が記録されるのは、
下記 CVE-2021-42287 の影響により、ドメイン コントローラーがKebreos 認証で TGTの拒否した際に記録されKerberos 認証の失敗の要因になります。

KB5008380 - 認証の更新プログラム (CVE-2021-42287) - Microsoft サポート

下記 Microsoft 社員さんの BLOG に詳しく動作についてまとめられております。

CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて | Microsoft Japan Windows Technology Support Blog

事象発生の理由 イベント ID 43 または 44

ドメイン コントローラーのシステム ログにイベント ID 43 または 44 が記録されるのは、
下記 CVE-2022-37967 の影響により、PAC 署名が見つからない場合や、署名が無効で、(Kerberos での)認証を拒否された場合です。

KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法 - Microsoft サポート

上記公開情報より下記の BLOG をご確認いただいたほうがわかりやすいかと思います。

CVE-2022-37967 への対応とその影響について | Microsoft Japan Windows Technology Support Blog

IP アドレスの指定では接続できる理由

IP アドレスの指定だと接続できるのかというと下記にMicrosoft 公開情報に記載があるように IP アドレスを指定して接続を行った場合には認証方法として Kerberos 認証が行われず、 NTLM よる認証が行わわれるためです。

<参考情報>
IP アドレス用 Kerberos の構成 | Microsoft Learn

いずれにせよ該当のログが記録されている場合は、品質更新プログラムの適用がその対処策となります。

事象が発生しうるパターン 2 選

事象が発生しうるパターンとしては下記です。

  1. オフラインでの運用などで品質更新プログラムを適用していないドメイン環境で、ドメイン コントローラーの更新のため、最新の品質更新プログラムを適用したドメイン コントローラーを追加した

  2. コンスタントにドメイン コントローラーへ品質更新プログラムを適用を実施している環境に、更新プログラム未適用のインストールメディアを使用してインストールしたドメイン コントローラーを追加した

なお、前者がほとんどという印象です。

更新プログラム適用以外での対処方法

基本的に更新プログラムを適用するしかありませんが、ドメイン コントローラー間での品質更新プログラムの差異により事象が発生しますの、状況によっては品質更新プログラムの適用ができないドメイン コントローラーは運用からはずすという選択肢もあります。

特に Windows Server 2008 および Windows Server 2008 R2 のドメイン コントローラーの場合 ESU 契約を結んでいないと対処するための更新プログラムが入手できないので、運用から外す方向で検討いただくのが妥当かと思います。

<参考情報>
製品ライフサイクルに関する FAQ - 拡張セキュリティ更新プログラム | Microsoft Learn

2024 年 8 月 29 日追記

下記でも同じような事象が発生する可能性があるため、イベントID 21/22/23/5842/5843 も確認いただき、記録されている場合には2024年4月以降の更新プログラムを適用を検討してください。

最後に

本事象にかかわらず、環境内で品質更新プログラムの適用に差異がある場合、さまざまな問題の発生要因になりえます。
その為可能な限りですが環境内の更新プログラムの適用状態に差異が生じないようにしていただければと思います。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?