リモート デスクトップ接続時 「リモート接続を保護しています」の画面で時間がかかる場合があります

現象
Windows Vista 以降の OS 間でリモート デスクトップ接続した際に、以下の画面で時間がかかる場合があります。




原因
リモート デスクトップ接続を行う場合、接続元、接続先の間で使用可能なセキュリティ レベルのうち最も高いレベルの暗号化方式を使用して接続を行います。
Windows Vista 以降の OS では、リモート デスクトップ接続において SSL (TLS 1.0) プロトコルが採用されており、証明書を使用した暗号化が採用されます。
この場合、認証に、自己署名証明書 (既定)、もしくは、リモート セッション ホスト サーバー (ターミナル サーバー) にインストールした証明機関から発行された証明書を使用します。
自己署名の証明書を使用している場合、証明書の発行状況や失効確認を行うために、インターネット上へ信頼された証明書機関のリストを取得する動作が発生し、「リモート接続を保護しています」画面で時間を要する事象が発生します。

 
解決方法
回避策
本現象を回避するために、以下のいずれかを実施します。  

・自己署名の証明書を使用している場合、証明書を接続元にインポートする。
・暗号化レベルを Windows Server 2003 、および、Windows XP 相当のレベルに設定する。
・接続元で信頼された証明機関のリストを取得する処理を無効化する。

それぞれの設定につきまして、以下をご参照ください。

自己署名の証明書を使用している場合、証明書を接続元にインポートする。

接続先で以下を実施します。

1. 接続先に管理者でログオンを行い、[スタート] – [プログラムとファイルの検索] ボックスに mmc と入力し、検索結果から mmc を起動します。
2. メニュー [ファイル] – [スナップインの追加と削除] を選択します。
3. [利用できるスナップイン] から [証明書] を選択し、[追加] ボタンをクリックします。
4. [証明書のスナップイン] 画面 で [コンピューター アカウント] にチェックを入れ [次へ]をクリックします。
5. [コンピュータの選択] 画面で [ローカル コンピュータ] を選択し [完了] ボタンをクリックします。
6. [スナップインの追加と削除] に戻るので [OK] ボタンをクリックします。
7. コンソール画面の左ペインで [コンソール ルート] – [証明書 (ローカル コンピューター)] – [Remote Desktop] – [証明書] を展開します。
8. 中央のペインに証明書が表示されますので、ダブルクリックして開きます。
9. [詳細] タブで [ファイルにコピー] のボタンをクリックします。
10. [証明書のエクスポート ウィザード] が起動しますので、すべて既定の設定のまま、任意のフォルダにファイルを保存します。
11. エクスポートしたファイルを接続元のコンピュータに渡します。

引き続き接続元で以下を実施します。

12. 接続元に管理者でログオンを行い、[スタート] – [プログラムとファイルの検索] ボックスに mmc と入力し、検索結果から mmc を起動します。
13. メニュー [ファイル] – [スナップインの追加と削除] を選択します。
14. [利用できるスナップイン] から [証明書] を選択し、[追加] ボタンをクリックします。
15. [証明書のスナップイン]画面 で [コンピューター アカウント] にチェックを入れ [次へ]をクリックします。
16. [コンピュータの選択] 画面で [ローカル コンピュータ] を選択し [完了] ボタンをクリックします。
17. [スナップインの追加と削除] に戻るので [OK] ボタンをクリックします。
18. コンソール画面の左ペインで [証明書 (ローカルコンピューター)] – [信頼されたルート証明機関] – [証明書] を選択した状態で右クリックし、表示されるメニューから [すべてのタスク] – [インポート] を選択します。
19. [証明書のインポート ウィザード] が開始されます。ウィザードに沿ってインポートを開始します。
     [インポートする証明書ファイル] 画面では手順 11 で保存したファイルを指定します。
    [証明書ストア] の画面では、[証明書をすべて次のストアに配置する] が選択され、証明書ストアの場所が [信頼されたルート証明機関] であることを確認します。

注意 : 既定で使用される自己署名の証明書の有効期限は六か月です。
         有効期限を迎えた場合自動的に再作成されますが、その場合には改めて再作成された証明書を接続元にインポートする必要があります。

暗号化レベルを Windows Server 2003 、Windows XP 相当のレベルに設定する。

暗号化レベルを [低] に設定する、もしくは、セキュリティ層を [RDP セキュリティ層] に設定します。
このいずれかの設定を行った場合、Windows XP 相当の暗号化レベルとなり、接続元から接続先に送信されるデータは暗号化されますが、接続先から接続元に送信されるデータは暗号化されません。
また、NLA (ネットワーク レベル認証) も無効となります。
暗号化レベル、NLA につきましては以下の公開情報をご参照ください。

サーバー認証と暗号化レベルを構成する
リモート デスクトップ サービス接続のネットワーク レベル認証を構成する

1) 暗号化レベルを [低] に設定する方法
   1-1. [スタート] – [管理ツール] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホストの構成] を開きます。
   1-2. 画面中央の [接続] に表示されています [RDP-Tcp] をダブルクリックして開きます。
   1-3. [全般] タブで [暗号化レベル] を [低] に指定し [OK] ボタンをクリックします。

上記 UI はリモートセッション ホスト サーバー (ターミナル サーバー) にのみ用意されております。なお、接続先で以下のグループ ポリシーを有効にすることでも同等の設定を行えます。

[コンピュータの構成] – [管理用テンプレート] – [Windows コンポーネント] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホスト] – [セキュリティ]
クライアントの暗号化レベルを設定する
暗号化レベル : 低レベル

2) セキュリティ層を [RDP セキュリティ層] に設定する方法
   2-1. [スタート] – [管理ツール] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホストの構成] を開きます。
   2-2. 画面中央の [接続] に表示されています [RDP-Tcp] をダブルクリックして開きます。
   2-3. [全般] タブで [セキュリティ層] を [RDP セキュリティ層] に指定し [OK] ボタンをクリックします。

上記 UI はリモートセッション ホスト サーバー (ターミナル サーバー) にのみ用意されております。接続先で以下のグループ ポリシーを有効にすることでも同等の設定を行えます。

[コンピュータの構成] – [管理用テンプレート] – [Windows コンポーネント] – [リモート デスクトップ サービス] – [リモート デスクトップ セッション ホスト] – [セキュリティ]
リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする
セキュリティ レイヤー : RDP

接続元で信頼された証明機関のリストを取得する処理を無効化する。
 
この設定を行った場合、リモート デスクトップ接続に限らず、すべてのアプリケーションで、信頼されていないルート機関から発行された証明書を受信した際にこの発行元機関を Microsoft が信頼した証明機関に追加したか確認するために Windows Update サイトを参照する処理が行われなくなります。
接続元で以下を設定します。

1. [スタート] - [プログラムとファイルの検索] に "regedit" と入力し、レジストリ エディタを開きます。
2. 以下レジストリの設定を実施します。
    キー : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    種類 : DWORD (32 ビット) 値
    名前 : DisableRootAutoUpdate
    データ : 1
    レジストリ値が存在しない場合は、新規に 作成する必要がございます。
    設定反映のための再起動は必要ございません。

接続元で以下のグループ ポリシーを有効にすることでも同等の設定を行えます。

[コンピュータの構成] – [管理用テンプレート] – [システム] – [インターネット通信の管理] – [インターネット通信の設定]
ルート証明書の自動更新をオフにする 


状況
詳細
関連情報
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2915774 - 最終更新日: 05/29/2014 07:24:00 - リビジョン: 2.0

Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 8.1, Windows 8, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Standard

  • kbtermserv KB2915774
フィードバック