Windows 7 および Windows Server 2008 R2 のセキュリティ イベント ID 4624 のクライアント IP アドレスが無効です

  • [アーティクル]

この記事では、RDP 8.0 を実行しているホスト コンピューターにクライアント コンピューターがアクセスしようとしたときに、イベント 4624 と無効なクライアント IP アドレスとポート番号が生成される問題を解決します。

適用対象: Windows Server 2008 R2 Service Pack 1、Windows 7 Service Pack 1
元の KB 番号: 3097467

現象

Windows 7 および Windows Server 2008 R2 (KB2592687) のリモート デスクトップ プロトコル (RDP) 8.0 更新プログラムがインストールされ、ポリシー設定を通じて有効になっているとします。 ユーザーのリモート デスクトップがそのコンピューターにログオンすると、セキュリティ イベント ID 4624 がログに記録され、無効なクライアント IP アドレスとポート番号が次のように表示されます。

ログ名: セキュリティ
ソース: Microsoft-Windows-Security-Auditing
日付: 2015 年 9 月 14 日午後 6:10:36
イベント ID: 4624
タスク カテゴリ: ログオン
レベル: 情報
キーワード: Audit SuccessUser: N/A
コンピューター: <computerFQDN>
説明:
アカウントが正常にログオンしました。

件名:
セキュリティ ID: SYSTEM
アカウント名: < MachineName>$
アカウント ドメイン: <DomainName>
ログオン ID: 0x3e7

ログオンの種類: 10

新しいログオン: セキュリティ ID: < DomainName>\<username>
アカウント名: < UserName>
アカウント ドメイン: <DomainName>
ログオン ID: 0x35137
ログオン GUID: {00000000-0000-0000-0000-000000000000}

プロセス情報:
プロセス ID: 0x7cc
プロセス名: C:\Windows\System32\winlogon.exe

ネットワーク情報:
ワークステーション名:<computername>
送信元ネットワーク アドレス: 244.230.0.0
ソース ポート: 0

詳細情報:
ログオン プロセス: User32
認証パッケージ: ネゴシエート
転送されたサービス: -
パッケージ名 (NTLM のみ): -
キーの長さ: 0

このイベントは、ログオン セッションの作成時に生成されます。 アクセスされたコンピューターで生成されます。
サブジェクト フィールドは、ログオンを要求したローカル システム上のアカウントを示します。 これは最も一般的に、サーバー サービスなどのサービス、または Winlogon.exe や Services.exe などのローカル プロセスです。 [ログオンの種類] フィールドは、発生したログオンの種類を示します。 最も一般的な種類は、2 (対話型) と 3 (ネットワーク) です。 [ログオンの種類] フィールドは、発生したログオンの種類を示します。 最も一般的な種類は、2 (対話型) と 3 (ネットワーク) です。 [新しいログオン] フィールドは、新しいログオンが作成されたアカウント (ログオンしたアカウント) を示します。 ネットワーク フィールドは、リモート ログオン要求が発生した場所を示します。 ワークステーション名は常に使用できるわけではないので、場合によっては空白のままになることがあります。

認証情報フィールドには、この特定のログオン要求に関する詳細情報が表示されます。

  • ログオン GUID は、このイベントを KDC イベントと関連付けるために使用できる一意の識別子です。
  • 転送されたサービスは、このログオン要求に参加している中間サービスを示します。
  • パッケージ名は、NTLM プロトコル間で使用されたサブプロトコルを示します。
  • キーの長さは、生成されたセッション キーの長さを示します。 セッション キーが要求されなかった場合、これは 0 になります。

原因

この問題は、RDP 8.0 でコードが変更されたために発生します。 RDP 8.0 では、クライアント IP アドレスはWTS_SOCKADDR構造に格納されます。 これは RDP 7.0 (Windows 7 および Windows Server 2008 R2 の既定の RDP バージョン) とは異なります。

Windows 8とWindows Server 2012 (以降のバージョンの Windows) では、このイベントをログに記録するためのコード ロジックが、新しい設計に基づいて書き換えられます。 これにより、この問題が発生するのを防ぐことができます。

解決方法

この問題を解決するには、RDP ターゲット コンピューターを Windows 8 または Windows Server 2012 (以降) にアップグレードします。 または、Windows 7 または Windows Server 2008 R2 で RDP 8.0 を無効にします。

詳細

また、サード パーティの RDP コンポーネントを使用して Windows 7 または Windows Server 2008 R2 にログオンしている場合は、そのサード パーティ製コンポーネントが同じWTS_SOCKADDR構造を使用している場合にも、この問題が発生する可能性があります。 このような場合は、OS のアップグレードを検討するか、コンポーネント プロバイダーに問い合わせてサポートを受けてください。