- ベストアンサー
リモートデスクトップ接続できない問題の解決方法
- 自宅PCから社内のPCへリモートデスクトップ接続を行おうとしていますが、うまく接続できません。エラーメッセージは「リモートデスクトップはリモートコンピューターに接続できません」と表示されます。現在のログインユーザーや権限の設定を確認して解決を試みましたが、うまくいきません。
- 自宅PCからAへのリモートデスクトップ接続やAからBへのリモートデスクトップ接続は成功していますが、自宅PCから直接Bに接続することができません。ADユーザーの権限や所属グループの設定に問題がある可能性があります。
- BのログインユーザーはAdministrators、Domain Admins、Domain Users、Remote Desktop Usersの所属グループです。解決方法をご存知の方がいらっしゃいましたら、教えていただけると助かります。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
メッセージの内容からすると、やはりAD周りの認証の話ではなく、 コネクション接続レベルの話だと思います。 PC-BのWindowsファイアーウォール設定やセキュリティソフトの設定で LAN内からのリモートデスクトップ接続は許可するけど、 LAN外からのリモートデスクトップ接続は拒否するような 設定になっていないか確認してみてください。 あと、Windowsファイアーウォールやセキュリティソフトで パケット通過ログを採取できますので、それを確認すれば リモートデスクトップ接続の着信がPCまで来ているか どうか切り分けできると思います。 また、イベントビューアーで、 アプリケーションとサービスログ - Microsoft - Windows の TerminalServices-LocalSessionManager/Operationalや TerminalServices-RemoteConnectionManager/Operationalに リモートデスクトップの接続/切断状況が記録されていますので そのログも参考になると思います。 それと、ポート番号3389は、リモートデスクトップ接続のデフォルト 着信ポート番号ですので、別のポート番号に変更して使用することを 強くお勧めします。 (参考) http://rinux.jp/2012/07/20/%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%83%87%E3%82%B9%E3%82%AF%E3%83%88%E3%83%83%E3%83%97%E3%83%9D%E3%83%BC%E3%83%88%E5%A4%89%E6%9B%B4windows7/ もし仮に将来リモートデスクトップで重大な脆弱性が発見されたら ポート番号3389をオープンしているPCが片っぱしから狙われますよ。 脆弱性がなくても、今世界中の誰でもあなたの会社のPCのログイン画面 を表示してログインをトライできる状態になってます。 本来はNo.2さんがお勧めしている通り、VPNを使用すべきだと思います。 (参考) http://itpro.nikkeibp.co.jp/article/NEWS/20110907/368233/
その他の回答 (2)
- koi1234
- ベストアンサー率53% (1866/3459)
No1 です 本題とはそれた内容になってしまい申し訳ありませんが >何か良い代替案があれば教えて頂けると助かります。 VPNなどを構築された方がいいのではないでしょうか (直接リモート接続公開よりもVPN介して方が多いのではないかと思います)
お礼
ありがとうございます。 VPNもセキュリティーを考えれば良い案ですよね。 新規で、このような前提でネットワークを構築したいということであれば 私もVPNを薦めると思います。 今回のケースでは、自宅と会社なのでハードウェア的なVPNの構築は厳しいので やるとしたらソフトウェアVPNで、UT-VPNなんかを使うのもありかもしれませんね。 ただ接続するだけだったらそれほど難しくないのですが・・・設定が難しくて セキュリティー的に自信を持って設定ができないので手を出していません。
- koi1234
- ベストアンサー率53% (1866/3459)
回答ではないです そういった確認はきちんとされてはいると思うのですが念のため ・PC A/B共にサーピスポートも 3389 に変更している ・自宅からは グロールIP:3389 に対して接続していて PC Aへの転送設定では問題ない 上記満たしたうえで 会社のルータの転送設定をPC A から PC B に変更しただけなのにつながらない ・自宅PCからはグローバルIP:3389 でアクセスしている ということでいいですか?(どこか間違ってるとこありますか?) エラーメッセージ的にはサービスが起動していないから接続できないといったときに 表示されるものでありOS認証以前の問題のはずです 話変わりますが ポート変更しているとは言ってもそれだけでネット上にリモートサービス 後悔しちゃうのはセキュリティとしてちょっと弱いんではないでしょうか
補足
koi1234さん、レスありがとうございます。 確認されている内容については、おっしゃる通りで間違いありません。 >ポート変更しているとは言ってもそれだけでネット上にリモートサービス >公開しちゃうのはセキュリティとしてちょっと弱いんではないでしょうか エンドユーザーさんで、1年ほどかけてパスワードを解析された例も実際にありましたので、おっしゃる通りだと思います。 一応、パスワードは10文字以上の英数大小文字・記号・数字を含めたものに設定してはおります。 利便性とセキュリティーは相反する部分が大きいので難しいところです。 ルータのポートも長期的に使わないときは塞ぐようにはしています。 逆に、何か良い代替案があれば教えて頂けると助かります。
お礼
レスありがとうございます。 おかげさまで無事解決いたしました。 原因は、ご指摘の通りの部分で初歩的な設定ミスでした。 >LAN内からのリモートデスクトップ接続は許可するけど、 >LAN外からのリモートデスクトップ接続は拒否するような >設定になっていないか確認してみてください。 →LAN内外で共通の設定だと思っていたのですが別々に存在しておりました。 >それと、ポート番号3389は、リモートデスクトップ接続のデフォルト >着信ポート番号ですので、別のポート番号に変更して使用することを >強くお勧めします。 →はい。おっしゃる通りで、ポートは変更済みです。 ただ、下記の通りVPNの導入を検討してみます。 >もし仮に将来リモートデスクトップで重大な脆弱性が発見されたら >ポート番号3389をオープンしているPCが片っぱしから狙われますよ。 >脆弱性がなくても、今世界中の誰でもあなたの会社のPCのログイン画面 >を表示してログインをトライできる状態になってます。 >本来はNo.2さんがお勧めしている通り、VPNを使用すべきだと思います。 →分ってはいた事なのですが、改めて文章として読んでみるとやはり怖い気がしてきました。 ソフトウェアVPNで何か探してみます。 セキュリティーに関しても、アドバイス頂き助かりました。 ありがとうございました^^