LmCompatibility を使用する場合のターミナル サービス クライアント接続エラーの0xC000035B

この記事では、リモート デスクトップ プロトコル (RDP) 8.0 を使用して Windows Server 2012 RD ゲートウェイ サーバー経由で接続するターミナル サービス クライアント接続時に発生するエラー 0xC000035Bの解決策について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2903333

現象

リモート デスクトップ プロトコル (RDP) 8.0 を使用してWindows Server 2012 RD ゲートウェイ サーバー経由で接続するターミナル サービス クライアント接続が失敗し、次のエラー メッセージが生成されます。

このコンピューターはリモート コンピューターに接続できません。

さらに、イベント 4625 はゲートウェイ サーバーのセキュリティ サインインに記録され、0xC000035B エラーが報告されます。

ログ名: セキュリティ
ソース: Microsoft-Windows-Security-Auditing
Date: <DateTime>
イベント ID: 4625
タスク カテゴリ: ログオン
レベル: 情報
キーワード: 監査エラー
ユーザー: N/A
コンピューター: RDGW.CONTOSO.COM
説明:
アカウントのログオンに失敗しました。

件名：
セキュリティ ID: NULL SID
アカウント名: -
アカウント ドメイン: -
ログオン ID: 0x0
ログオンの種類: 3
ログオンに失敗したアカウント:
セキュリティ ID: NULL SID
アカウント名: Myuser
アカウント ドメイン: Contoso
エラー情報:
エラーの理由: ログオン中にエラーが発生しました。
状態: 0xC000035B
サブ状態: 0x0

原因

この問題は、システムで NTLMv1 を強制的に使用するように LmCompatibility レジストリ値が構成されている場合に発生します。 LmCompatibility の値が 3 未満の場合、システムは NTLMv1 を強制的に使用します。

既定では、Windows Server 2012は RDP 8.0 でチャネル バインドを適用します。 NTLMv1 を使用すると、これらのバインドは送信されないため、認証は失敗し、「クライアントが提供するセキュリティ サポート プロバイダー インターフェイス (SSPI) チャネル バインドが正しくありませんでした」という0xC000035Bが生成されます。 チャネル バインドが無効であることを示します。

解決方法

レジストリを編集する方法の詳細については、レジストリ エディターの「キーと値の変更」ヘルプ トピックを参照してください。

この問題を解決するには、以下のいずれかの方法を使用します。

方法 1

クライアントの LmCompatibility レジストリ値を 3 以上に設定して NTLMv1 を強制しないように調整します。 LmCompatibility レジストリ値の詳細については、「LmCompatibilityLevel」を参照してください。

方法 2

Gateway サーバーで不足しているチャネル バインドを無視するには、 EnforceChannelBinding レジストリ値を 0 (ゼロ) に設定します。 これを行うには、次のレジストリ サブキーを見つけて、指定された仕様を使用します。

HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
型: REG_DWORD
名前: EnforceChannelBinding
値: 0 (10 進数)