Windows のリモートデスクトップにおける「NLA」チェックボックスについて

最近、「ひとり情シスに贈るWindows Server 2008/2008 R2からのサーバー移行ガイド」という本を購入しました。

その中に、以下のような記述がありました。

[ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する(推奨)] チェックボックスをオフにする。

このチェックボックスは標準でオンになっているので注意する。

このチェックボックスがオンのままだと、接続の際、ネットワークレベル認証により接続先コンピューターの情報が検証されるようになる。同じネットワーク内の接続であれば問題ないが、Active Directory を使用しない状態でルーターを介して接続するような場合に、認証が行えずに接続が失敗する

確かに今まであるエラーのトラウマにより惰性で「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する(推奨)」のチェックを外していた部分があったので、チェックを入れた方がいいかなと思っていた矢先にこの文章です。

ネットワーク越しのリモートデスクトップが本当に弾かれるのかを検証します。

接続先はこの設定

Microsoft 的には

その前に、「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する(推奨)」に関する Microsoft のスタンスは以下のとおりです。

– Windows Server 2012 R2 以前の NLA の無効化について
弊社としては、セキュリティ上の理由から NLA は有効のままでご利用いただく事を推奨しています。しかしながら、ご利用環境や、運用の計画により NLA を無効化しなければならない状況が発生することがあります。
例えば、RemoteApp を使用している以下のような利用環境の場合では、NLA を無効化することが対策の一つとなります。

Windows Server 2012 R2 以前と Windows Server 2016 の NLA 無効化の手順の違いについて | Technet

セキュリティレベルを下げる状態となりますので、弊社としては NLA を強制しないようにする事は推奨しておりません。

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響 | Technet

で、調べている限りは「ネットワーク越しだと AD 必須」というような感じはしないんですよね。

ネットワーク内でのリモートデスクトップ

まず同一セグメントでのリモートデスクトップを試してみます。接続元は Windows 10、接続先は Windows Server 2016 です。どちらもネットワークは 192.168.1/24 になっています。

ルータを挟んだリモートデスクトップ

次に間にルータを挟んでみます。ネットワーク的には接続元の Windows 10 が 192.168.1/24、接続先の Windows Server 2016 が 192.168.2/24 になっています。

 

 

 

普通にいけてしまった

 

結局のところ、接続元も接続先も 2018年5月9日以降に Windows Update をしていれば、「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する(推奨)」のチェックは入れても問題は無さそうです

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)