DirectAccess などのリモート アクセス接続におけるドメイン リソースへのアクセス障害

現象
モバイル通信カード等によるダイヤルアップ回線を経由して Active Directory ドメイン環境へ DirectAccess や VPN などでリモート アクセス接続を行う際にドメイン リソースへアクセスできない場合があります。 
原因
モバイル通信接続に利用した資格情報がクライアント端末の資格情報マネージャーにキャッシュされ、ドメイン リソースへのアクセスの際にその資格情報が利用されてしまうことが原因です。 
解決方法
資格情報キャッシュの削除

以下の方法で接続に使用した資格情報のキャッシュをクリアすることができます。再び接続した際にはキャッシュが再生成されますので、モバイル接続のたびに作業を行う必要があります。
  1. モバイル カード経由で DirectAccess などのリモート アクセス接続を確立します。
  2. 以下のコマンドを実行します。
    cmdkey /delete /ras

UseRasCredentials の無効化

RAS 資格情報のキャッシュを無効化します。
  1. 下記のファイルをメモ帳などのテキスト エディターで開きます。

    ユーザー個別のプロファイル使用時 :
    %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk

    全ユーザー用のプロファイル使用時 :
    C:\Users\All Users\Microsoft\Network\Connections\PBK\rasphone.pbk
  2. 下記の値を変更し、ファイルを保存します。

    - 変更前
    [<プロファイル名>]
    ・・・
    UseRasCredentials=1

    - 変更後
    [<プロファイル名>]
    ・・・
    UseRasCredentials=0
設定は一度行えば恒久的に反映されますが、モバイル接続に用いるソフトウェア等によっては、変更しても上書きしてしまうものがあります。その場合はこの方法で解決することはできません。


資格情報マネージャーの無効化

資格情報マネージャー機能を無効化します。資格情報の記憶機能が設定を実施したコンピューター上で無効になります。これにより、ファイル サーバーへのアクセスなどの際の認証ポップアップの画面で表示されていた資格情報を保存するためのチェック ボックスが表示されなくなります。
  1. リモート アクセス接続元でレジストリ エディター (regedit.exe) を起動し、以下のレジストリの値を変更します。

    キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    値: disabledomaincreds (DWORD)
    設定値: 1 
    0 = 資格情報がキャッシュに保存されることを許可 (初期値)
    1 = 資格情報がキャッシュに保存されないようにする
  2. コンピューターを再起動します。

注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2890473 - 最終更新日: 09/29/2016 10:47:00 - リビジョン: 4.0

Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional

  • KB2890473
フィードバック