FIPS 暗号化を使用した Windows Server へのリモート アシスタンス接続が機能しない

  • [アーティクル]

この記事では、FIPS 暗号化を持つ Windows Server ベースのサーバーへのリモート アシスタンス接続が機能しない問題の回避策について説明します。

適用対象: Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 811770

現象

Microsoft は、Windows Server のターミナル サービス暗号化レベルのオプションに FIPS 準拠 設定を追加しました。 暗号化レベルが FIPS 準拠に設定されている Windows Server ベースのサーバーでは、Windows 10を実行しているコンピューターからのリモート アシスタンス接続を許可できません。

Windows 10 ベースのクライアントからターミナル サービス サーバーに接続しようとすると、接続が成功せず、次のエラー メッセージが表示される場合があります。

セキュリティ エラーのため、クライアントはターミナル サーバーに接続できませんでした。 ネットワークにログオンしていることを確認してからサーバーに接続し直してください。

原因

この問題は、Windows 10 ベースのコンピューターが、FIPS 互換の暗号化を必要とするように構成されている Windows Server ベースのコンピューターにリモート アシスタンス接続を提供できないために発生します。

解決方法

この問題を解決するには、リモート デスクトップ接続 6.0 をインストールします。 リモート デスクトップ接続の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

925876 リモート デスクトップ接続 (ターミナル サービス クライアント 6.0)

回避策

リモート デスクトップ接続 (ターミナル サービス クライアント 6.0) は、Windows 10を実行しているクライアント コンピューターにインストールできます。

Windows 10でこの問題を回避するには、FIPS 暗号化レベルを無効にします。 FIPS 暗号化レベルを無効にするには、[RDP-Tcp プロパティ] ダイアログ ボックスで [暗号化レベル] 設定を変更するか、グループ ポリシー オブジェクトを使用して FIPS データ暗号化をシステム全体で無効にすることができます。 FIPS 暗号化レベルを無効にするには、次のいずれかの方法を使用します。

注:

FIPS 暗号化レベルを有効にする方法は 2 つあります。 ターミナル サービスの FIPS 暗号化レベルを無効にする必要がある場合は、FIPS 暗号化レベルを有効にするために最初に使用したのと同じ方法を使用してこれを行う必要があります。

方法 1

[RDP-Tcp プロパティ] ダイアログ ボックスの [暗号化レベル] 設定を変更して FIPS 暗号化レベルを無効にするには、次の手順に従います。

  1. [ スタート] をクリックし、[ 実行] をクリックし、[ 開く ] ボックスに「tscc.msc」と入力し、[OK] をクリック します

  2. [Connections] をクリックし、右側のウィンドウで [RDP-Tcp] をダブルクリックします。

  3. [ 暗号化レベル ] ボックスで、 FIPS 準拠以外の暗号化レベルをクリックして選択します。

    注:

    [暗号化レベル] 設定を変更しようとしたときに [暗号化レベル] 設定が無効になっている場合、[システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] のシステム全体の設定が有効になっており、方法 2 を使用してこのシステム全体の設定を無効にする必要があります。

方法 2

グループ ポリシー オブジェクトを使用して FIPS データ暗号化をシステム全体で無効にするには、次の手順に従います。

  1. [ スタート] をクリックし、[ 実行] をクリックし、[ 開く ] ボックスに「gpedit.msc」と入力し、[OK] をクリック します

  2. [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ ローカル ポリシー] を展開して、[ セキュリティ オプション] をクリックします。

  3. 右側のウィンドウで、[ システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する] をダブルクリックし、[ 無効] をクリックし、[OK] をクリック します

    注:

    FIPS が有効になっている場合、ターミナル サーバーの暗号化レベルの設定は使用できません。

状態

マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。

詳細

FIPS 準拠の設定では、クライアントとサーバーの間のすべてのデータが、連邦情報処理標準 140-1 で検証される暗号化方法を使用して暗号化されている必要があります。 Windows 10 ベースのクライアントが、FIPS 準拠の暗号化を必要とする Windows Server ベースのコンピューターに接続しようとすると、次のエラーが発生します。

  • クライアントで、リモート アシスタンスから次のエラー メッセージが表示されます。

    リモート アシスタンス接続を確立できませんでした。 ネットワークの問題をチェックするか、招待の有効期限が切れているか、送信したユーザーによってキャンセルされたかを判断できます。

  • 次のエラーは、サーバー上のシステム ログに記録されます。

    イベント ID: 50
    ソース: TermDD
    型: エラー
    説明: RDP プロトコル コンポーネント "DATA ENCRYPTION" は、プロトコル ストリームでエラーを検出し、クライアントを切断しました。