[samba-jp:23211] Re: windows update(KB5028185)後リモートディスクトップが接続できない

矢野 崇 takasi.yano @ nifty.com
2023年 7月 15日 (土) 10:58:07 JST 

矢野です。

接続先のリモートデスクトップ接続の設定でネットワークレベル認証が無効になっていました。
有効にしてみましたがやはり繋がります。
Kerberos認証になってました。
-----Original Message-----
From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of 矢野 崇
Sent: Saturday, July 15, 2023 6:54 AM
To: 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
Subject: [samba-jp:23210] Re: windows update(KB5028185)後リモートディスクトップが接続できない

矢野です。

NTLM認証になっていませんでした。なんでだろう…

詳細な認証情報:
	ログオン プロセス:		Advapi  
	認証パッケージ:	Negotiate
	移行されたサービス:	-
	パッケージ名 (NTLM のみ):	-
	キーの長さ:		0

-----Original Message-----
From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of 矢野 崇
Sent: Saturday, July 15, 2023 6:28 AM
To: 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
Subject: [samba-jp:23209] Re: windows update(KB5028185)後リモートディスクトップが接続できない

矢野です。

すみません。

Windows 11にKB5028185をインストールしたのは7/12
Smabaに4.18.4をインストールしたのは7/10でした。
KB5028185と4.18.3の組み合わせはやっていません。

-----Original Message-----
From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of 矢野 崇
Sent: Saturday, July 15, 2023 6:23 AM
To: 'Sambaについての様々な質疑応答用' <samba-jp @ samba.gr.jp>
Subject: [samba-jp:23208] Re: windows update(KB5028185)後リモートディスクトップが接続できない

矢野です。

ADサーバー: Samba 4.18.4
Windows 11: 22H2
でADアカウントによるリモートデスクトップ接続できています。4.18.3の時も問題ありませんでした。なんでだろう…

-----Original Message-----
From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of TAKEDA Yasuma
Sent: Friday, July 14, 2023 5:34 PM
To: samba-jp @ samba.gr.jp
Subject: [samba-jp:23207] Re: windows update(KB5028185)後リモートディスクトップが接続できない

武田@OSSTechです。

On 2023/07/14 17:12, 広瀬 晃清 wrote:
> 以下の環境でwindows update(KB5028185)インストール後、ローカルPCアカウン 
> トではリモートディスクトップに接続できるがADアカウントではリモートディス 
> クトップに接続できません。
> 
> KB5028185をアンインストールすると接続できます。
> 
> また、Windowsのみで同様の環境を構築したところ接続できました。
> 
> KB5028185アップデートののちWindows のOSビルドは22621.1992になります。
> 
> このOSビルドからリモートディスクトップ接続の認証が変わったようです、何か 
> 解決策はないでしょうか?
> 

Windows Updateでの仕様変更で、Netlogonプロトコルの通信に変更があり
Samba側が対応していなかったため、セキュアチャネルの破損が発生します。

セキュアチャネルを通じたNTLM認証が失敗するため、
   - IPアドレスで共有に接続すると失敗する
   - RDPが失敗する
   - SambaのNTドメインでドメインログオンが失敗する
といった影響があるようです。

Kerberos認証は問題ありませんので、ADドメインへの
ドメインログオンなどは成功します。

Sambaの修正パッチの作成が進んでいますが、手元にくるまでは
対応策がありませんので、一時的にWindows Updateを
削除するしかありません >_<;

-- 
武田 保真 : yasuma @ osstech.co.jp
  OSSTech株式会社 https://www.osstech.co.jp

samba-jp メーリングリストの案内