概要
トランスポート層セキュリティ (TLS) 1.0 は、サーバー認証を提供し、RD セッション ホスト サーバー通信を暗号化することで、セッションのセキュリティを強化します。クライアントがリモート接続を適切に行い、TLS によるセキュリティ強化を可能にするには、RD セッション ホストとクライアント コンピューターを適切に構成する必要があります。たとえば、リモート デスクトップ プロトコル (RDP) 接続中に、SSL (TLS 1.0) を使用してクライアントと RD セッション ホスト サーバー間の通信をセキュリティ保護している場合、RD セッション ホスト サーバーを認証するには証明書が必要となります。
解決方法
この問題を解決するには、イベント ID をチェックし、次のセクションでそのイベントのトラブルシューティング情報を確認します。
次のイベント ID の解決手順: 1054
この問題を解決するには、次の手順を実行します。
RD セッション ホスト サーバーで TLS 1.0 (SSL) に使用するように構成されている証明書に、正しい拡張キー使用法 (EKU) の値がないことを確認します。証明書には、サーバー認証 (1.3.6.1.5.5.7.3.1) の EKU があるか、または EKU がない必要があります。
証明書がこれらの要件を満たしていない場合、これらの要件を満たす代わりの証明書を RD セッション ホスト サーバーにインストールし、この証明書を TLS 1.0 (SSL) に使用するように RD セッション ホスト サーバーを構成します。
証明書の要件については、このトピックの後に記載されている「証明書の要件」セクションを参照してください。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD セッション ホスト サーバーで TLS 1.0 (SSL) に使用するように構成されている証明書に、正しい EKU 値がないことを確認する
証明書に正しい EKU 値がないことを確認するには:
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. 詳細ウィンドウの [接続] の下で、接続 (たとえば RDP-tcp) を右クリックし、[プロパティ] をクリックします。
3. [全般] タブで、[選択] をクリックします。
4. [証明書の選択] ダイアログ ボックスで、証明書が選択されていることを確認し、[証明書の表示] をクリックします。
5. [証明書] ダイアログ ボックスで、[詳細] をクリックし、EKU 値を確認します。証明書に、サーバー認証 (1.3.6.1.5.5.7.3.1) の EKU があるか、または EKU がない。証明書にこれらのいずれの値もない場合、「有効な証明書を RD セッション ホスト サーバーにインポートする方法」と「TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成する」の説明に従って、代わりの証明書を RD セッション ホスト サーバーに指定する必要があります。
6. [OK] をクリックして [証明書] ダイアログ ボックスを閉じます。
7. [OK] をクリックして [証明書の選択] ダイアログ ボックスを閉じます。
8. [OK] をクリックして、接続の [プロパティ] ダイアログ ボックスを閉じます。
RD セッション ホスト サーバーに証明書をインストールする
重要: 信頼できる発行元から取得した証明書のみインストールする必要があります。改変された証明書または信頼できない証明書をインストールすると、その証明書を使用するシステム コンポーネントのセキュリティが低下することがあります。
RD セッション ホスト サーバーに証明書をインストールするには、次の手順に従います。
1. インストールする証明書を見つけて、ダブルクリックします。証明書は RD セッション ホスト サーバーに存在しているか、または共有に配置されていることがあります。
2. 証明書ファイルを開くかどうかを確認するメッセージが表示されたら、[開く] をクリックします。
3. [証明書のプロパティ] ダイアログ ボックスの [全般] タブで、[証明書のインストール] をクリックします。
4. 証明書のインポート ウィザードの [開始] ページで、[次へ] をクリックします。
5. [証明書ストア] ページで、次のいずれかを実行します。
6. 証明書の種類に基づいて、証明書を自動的に証明書ストアに配置する場合は、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックします。
7. 証明書の保存先を指定する場合は、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。[証明書ストアの選択] で、使用する証明書ストアをクリックし、[OK] をクリックします。
8. [証明書ストア] ページで、[次へ] をクリックします。
9. [証明書のインポート ウィザードの完了] ページで、[完了] をクリックします。
証明書のインストール後、次の手順に従って、証明書が RD セッション ホスト サーバーによって使用されるように指定する必要があります。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成する
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書を指定するには、リモート デスクトップ セッション ホストの構成スナップインを使用することをお勧めします。リモート デスクトップ セッション ホストの構成を使用して、このトピックの後の「証明書の要件」に記載されている要件を満たさない証明書のインストールを試みても、その証明書はインストールされません。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成するには、次の手順に従います。
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. 詳細ウィンドウの [接続] の下で、接続 (たとえば RDP-tcp) を右クリックし、[プロパティ] をクリックします。
3. [全般] タブで、[選択] をクリックします。
4. [証明書の選択] ダイアログ ボックスで、使用する証明書をクリックして、[OK] をクリックします。
証明書の要件
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書は、次の要件を満たす必要があります。
証明書がコンピューター証明書である。
証明書に対応する秘密キーがある。キーのコンテナーに NT AUTHORITY\Network Service アカウントがアクセスできる必要がある。
証明書にサーバー認証 (1.3.6.1.5.5.7.3.1) の拡張キー使用法 (EKU) があるか、または EKU がない。
証明書に CERT_KEY_ENCIPHERMENT_KEY_USAGE というキー使用法の値が設定されている。
証明書の有効期限が切れていない。証明書がインストール日から 1 年間有効であるようにすることをお勧めします。
次のイベント ID の解決手順: 1055、1051
この問題を解決するには、次の手順を実行します。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD セッション ホスト サーバーに証明書をインストールする
重要: 信頼できる発行元から取得した証明書のみインストールする必要があります。改変された証明書または信頼できない証明書をインストールすると、その証明書を使用するシステム コンポーネントのセキュリティが低下することがあります。
RD セッション ホスト サーバーに証明書をインストールするには、次の手順に従います。
1. RD セッション ホスト サーバーで、インストールする証明書を見つけて、ダブルクリックします。証明書は RD セッション ホスト サーバーに存在しているか、または共有に配置されていることがあります。
2. 証明書ファイルを開くかどうかを確認するメッセージが表示されたら、[開く] をクリックします。
3. [証明書のプロパティ] ダイアログ ボックスの [全般] タブで、[証明書のインストール] をクリックします。
4. 証明書のインポート ウィザードの [開始] ページで、[次へ] をクリックします。
5. [証明書ストア] ページで、次のいずれかを実行します。
6. 証明書の種類に基づいて、証明書を自動的に証明書ストアに配置する場合は、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックします。
7. 証明書の保存先を指定する場合は、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。[証明書ストアの選択] で、使用する証明書ストアをクリックし、[OK] をクリックします。
8. [証明書ストア] ページで、[次へ] をクリックします。
9. [証明書のインポート ウィザードの完了] ページで、[完了] をクリックします。
証明書のインストール後、次の手順に従って、証明書が RD セッション ホスト サーバーによって使用されるように指定する必要があります。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成する
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書を指定するには、リモート デスクトップ セッション ホストの構成スナップインを使用することをお勧めします。リモート デスクトップ セッション ホストの構成を使用して証明書の要件を満たさない証明書のインストールを試みても、その証明書はインストールされません。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成するには、次の手順に従います。
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. 詳細ウィンドウの [接続] の下で、接続 (たとえば RDP-tcp) を右クリックし、[プロパティ] をクリックします。
3. [全般] タブで、[選択] をクリックします。
4. [証明書の選択] で、使用する証明書をクリックし、[OK] をクリックします。
証明書の要件
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書は、次の要件を満たす必要があります。
証明書がコンピューター証明書である。
証明書に対応する秘密キーがある。キーのコンテナーに NT AUTHORITY\Network Service アカウントがアクセスできる必要がある。
証明書にサーバー認証 (1.3.6.1.5.5.7.3.1) の拡張キー使用法 (EKU) があるか、または EKU がない。
証明書に CERT_KEY_ENCIPHERMENT_KEY_USAGE というキー使用法の値が設定されている。
証明書の有効期限が切れていない。証明書がインストール日から 1 年間有効であるようにすることをお勧めします。
次のイベント ID の解決手順: 1133
この問題を解決するには、RD セッション ホスト サーバーから証明書を削除してから、Remote Desktop Services サービスを再起動してください。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD セッション ホスト サーバーから証明書を削除する
RD セッション ホスト サーバーから証明書を削除するには、次の手順に従います。
1. RD セッション ホスト サーバーで、証明書スナップインを開きます。証明書スナップインを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書] をクリックし、[追加] をクリックします。
4. [コンピューター アカウント] オプションを選択し、[次へ] をクリックします。
5. [完了] をクリックし、[OK] をクリックします。
6. [証明書] を展開し、削除する証明書が含まれている証明書ストアを展開します。
7. 証明書を右クリックし、[削除] をクリックします。
8. [はい] をクリックして、証明書を削除することを確認します。
証明書を削除したら、次の手順に従って、RD セッション ホスト サーバー上で Remote Desktop Services サービスを再起動する必要があります。
Remote Desktop Services サービスを再起動する
Remote Desktop Services サービスを再起動するには、次の手順に従います。
1. RD セッション ホスト サーバーで、サービス スナップインを開きます。サービス スナップインを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。
2. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。
3. [サービス] ウィンドウで、[Remote Desktop Services] を右クリックし、[再起動] をクリックします。
4. 他のサービスを再起動するかどうかを確認するメッセージが表示されたら、[はい] をクリックします。
5. Remote Desktop Services のサービスの [状態] 列に「開始」と表示されていることを確認します。
次のイベント ID の解決手順: 1058、1057
この問題を解決するには、使用可能なメモリを増やします。この状況が引き続き発生する場合は、Microsoft カスタマー サービス & サポートにお問い合わせください。CSS への問い合わせ方法については、「Microsoft サービスのサポート オプション」( http://go.microsoft.com/fwlink/?LinkId=52267) を参照してください。
使用可能なメモリの量を増やす方法の 1 つとして、RD セッション ホスト サーバーで実行されているプログラムやプロセスの中に終了できるものがあるかを判断する方法があります。タスク マネージャーを使用すると、最も多くのメモリが使用されているプロセスを特定して、そのプロセスを終了することができます。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
タスク マネージャーを使用して RD セッション ホスト サーバー上のメモリを解放するには、次の手順に従います。
1. RD セッション ホスト サーバーで、タスクバーの空いている場所を右クリックし、[タスク マネージャーの起動] をクリックします。
2. [プロセス] タブをクリックします。
3. [ユーザー名] 列および [メモリ (プライベート ワーキング セット)] 列が表示されることを確認します。表示されない場合、[表示] メニューの [列の選択] をクリックし、[ユーザー名] と [メモリ (プライベート ワーキング セット)] チェック ボックスをオンにして [OK] をクリックします。
4. タブの最下部で、[全ユーザーのプロセスを表示する] チェック ボックスをオンにします。
5. メモリ使用量の順にプロセスを並べ替えるには、[メモリ (プライベート ワーキング セット)] 列の見出しをクリックします。
6. メモリ使用量の多いプロセスの中に終了できるものがあるか確認します。
7. プロセスを終了するには、プロセス名をクリックし、次に [プロセスの終了] をクリックします。
8. [プロセスの終了] をクリックし、そのプロセスを終了することを確認します。
タスク マネージャーを使用してもメモリを解放できない場合、またはメモリを解放した後もこの問題が引き続き発生する場合は、RD セッション ホスト サーバーを再起動します。
次のイベント ID の解決手順: 1062
この問題を解決するには、RD セッション ホスト サーバーに登録されているサーバー証明書の基準として Active Directory 証明書サービス (AD CS) で使用される証明書テンプレートを変更する必要があります。証明書テンプレートは、証明書の代わりのサブジェクト名が、RD セッション ホスト サーバーの DNS 名と一致するように変更する必要があります。
この手順を実行するには、フォレスト ルート ドメインの Enterprise Admins グループまたは Domain Admins グループのメンバーであるか、適切な権限を委任されている必要があります。
RD セッション ホスト サーバーの DNS 名と一致するように、証明書の代わりのサブジェクト名を構成するには:
1. AD CS がインストールされているコンピューターで、証明書テンプレート スナップインを開きます。証明書テンプレート スナップインを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書テンプレート]、[追加] の順にクリックし、[OK] をクリックします。
4. コンソール ツリーで、[証明書テンプレート] をクリックします。
5. 結果ウィンドウで、RD セッション ホスト サーバーに登録されている証明書の基準として使用されている証明書テンプレートを右クリックし、[プロパティ] をクリックします。
6. [サブジェクト名] タブで、[Active Directory の情報から構築する] が選択されていることを確認します。
7. [サブジェクト名の形式] の下にある [完全な識別名] をクリックします。
8. [代わりのサブジェクト名に次の情報を含める] で、[DNS 名] チェック ボックスをオンにします。
9. [OK] をクリックして、証明書テンプレートの [プロパティ] ダイアログ ボックスを閉じます。
10. RD セッション ホスト サーバーで、Remote Desktop Configuration サービスを再起動します。Remote Desktop Configuration サービスを再起動するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「services.msc」と入力して、Enter キーを押します。サービス スナップインの [名前] 列で、[Remote Desktop Configuration] を右クリックし、[再起動] をクリックします。
11. サービスだけを再起動しようとして失敗する場合、コンピューターを再起動します。これにより、すべての関連サービスおよび依存サービスが再起動されます。
次のイベント ID の解決手順: 1064
証明機関 (CA) によって、グループ ポリシーで指定されている証明書テンプレートに基づいて RD セッション ホスト サーバーの証明書が発行された場合に、次のいずれかの状態が発生すると、このエラーが発生します。
グループ ポリシーで正しい証明書テンプレート名が指定されていない。
証明書テンプレートのアクセス許可により、RD セッション ホスト サーバーがこの種類の証明書に登録することができない。
証明書が要求された使用法に対して無効である。
証明書テンプレートが存在しない。
証明書テンプレートに基づく証明書がコンピューターに発行されていない。
[サーバー認証証明書テンプレート] グループ ポリシー設定では、SSL または TLS 1.0 暗号化の使用時に RD セッション ホスト サーバーの認証に使われる証明書を特定するために使用される証明書テンプレートの名前を入力できます。証明書テンプレートの名前を入力すると、証明書を自動的に選択できます。証明書テンプレート名が入力されると、そのテンプレートを使用して作成された証明書が考慮され、適切な証明書の 1 つが自動的に選択され、使用されます。
グループ ポリシーで正しい証明書テンプレート名が指定されていない
正しい証明書テンプレート名がグループ ポリシーで指定されているかを確認するには、グループ ポリシー管理コンソール (GPMC) を使用します。
この手順を実行するには、Domain Admins グループ、Enterprise Admins グループ、または Group Policy Creator Owners グループのメンバーであるか、適切な権限を委任されている必要があります。
注: Windows Server ベースのドメイン コントローラーでグループ ポリシーを管理するには、まず、グループ ポリシー管理コンソール (GPMC) 機能を追加する必要があります。
グループ ポリシーで正しい証明書テンプレート名が指定されているかどうかを確認するには:
1. GPMC を起動します。これを行うには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
2. 左のウィンドウで、編集する組織単位 (OU) を見つけます。
3. OU の既存のグループ ポリシー オブジェクト (GPO) を変更するには、OU を展開して、その GPO をクリックします。
4. 右のウィンドウで、[設定] タブをクリックします。
5. 左のウィンドウの [コンピューターの構成] で、[管理用テンプレート]、[Windows コンポーネント]、[リモート デスクトップ サービス]、[リモート デスクトップ セッション ホスト] の順に展開し、[セキュリティ] をクリックします。
6. 右のウィンドウの設定の一覧で、[サーバー認証証明書テンプレート] を右クリックし、[プロパティ] をクリックします。
7. [設定] タブで、[有効] が選択されているかどうか、および [証明書テンプレート名] に指定されている名前が正しいかどうかを確認し、[OK] をクリックします。
8. [有効] が選択されていない場合、「グループ ポリシーで正しい証明書テンプレートを指定する」のセクションを参照してください。
証明書テンプレートのアクセス許可により、RD セッション ホスト サーバーがこの種類の証明書に登録することができない
RD セッション ホスト サーバーのコンピューター アカウントに、適切な証明書テンプレートを読み取るための登録アクセス許可が必要です。
この手順を実行するには、フォレスト ルート ドメインの Enterprise Admins グループまたは Domain Admins グループのメンバーであるか、適切な権限を委任されている必要があります。
証明書テンプレートで RD セッション ホスト サーバーに与えられているアクセス許可を確認するには、次の手順に従います。
1. Active Directory 証明書サービス (AD CS) がインストールされているコンピューターで、証明書テンプレート スナップインを開きます。証明書テンプレート スナップインを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書テンプレート]、[追加] の順にクリックし、[OK] をクリックします。
4. コンソール ツリーで、[証明書テンプレート] をクリックします。
5. 結果ウィンドウで、RD セッション ホスト サーバーに登録されている証明書の基準として使用されている証明書テンプレートを右クリックし、[プロパティ] をクリックします。
6. [セキュリティ] タブの [グループ名またはユーザー名] で、RD セッション ホスト サーバー (または RD セッション ホスト サーバーが含まれているセキュリティ グループ) が一覧に表示されているかどうかを確認し、これをクリックします。RD セッション ホスト サーバー (または RD セッション ホスト サーバーが含まれているセキュリティ グループ) を選択し、[アクセス許可] の下で、登録アクセス許可を付与するチェック ボックスがオンになっているかどうかを確認し、[OK] をクリックします。
7. 登録アクセス許可を付与するチェック ボックスがオンになっていない場合、「RD セッション ホスト サーバーに証明書テンプレートの登録アクセス許可を付与する」のセクションを参照してください。
証明書が要求された使用法に対して無効である
AD CS が RD セッション ホスト サーバーに登録されているサーバー証明書の基準として使用する証明書テンプレートには、サーバー認証の拡張キー使用法 (EKU) が必要です。
この手順を実行するには、フォレスト ルート ドメインの Enterprise Admins グループまたは Domain Admins グループのメンバーであるか、適切な権限を委任されている必要があります。
サーバー認証キー使用拡張が証明書テンプレートで指定されているかどうかを確認するには:
1. AD CS がインストールされているコンピューターで、証明書テンプレート スナップインを開きます。証明書テンプレート スナップインを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書テンプレート]、[追加] の順にクリックし、[OK] をクリックします。
4. コンソール ツリーで、[証明書テンプレート] をクリックします。
5. 結果ウィンドウで、RD セッション ホスト サーバーに登録されている証明書の基準として使用されている証明書テンプレートを右クリックし、[プロパティ] をクリックします。
6. [拡張機能] タブの [このテンプレートに含まれる拡張] の下で、[キー使用法] をクリックし、[編集] をクリックします。
7. サーバー認証の拡張キー使用法が選択されていることを確認し、[OK] をクリックして証明書テンプレートの [プロパティ] ダイアログ ボックスを閉じます。
8. サーバー認証の拡張キー使用法が選択されていない場合、「サーバー認証 EKU を証明書テンプレートに追加する」のセクションを参照してください。
証明書テンプレートが存在しない
この手順を実行するには、フォレスト ルート ドメインの Enterprise Admins グループまたは Domain Admins グループのメンバーであるか、適切な権限を委任されている必要があります。
証明書テンプレートが存在するかどうかを確認するには:
1. AD CS がインストールされているコンピューターで、証明書テンプレート スナップインを開きます。証明書テンプレート スナップインを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書テンプレート]、[追加] の順にクリックし、[OK] をクリックします。
4. コンソール ツリーで、[証明書テンプレート] をクリックします。
5. 結果ウィンドウの証明書テンプレートの一覧で、RD セッション ホスト サーバーに登録されている証明書の基準として使用されている証明書テンプレートを見つけます。
6. 証明書テンプレートが表示されない場合、「新しい証明書テンプレートを作成する」のセクションを参照してください。
証明書テンプレートに基づく証明書がコンピューターに発行されていない
CA が証明書テンプレートに基づいて証明書を発行するには、証明書テンプレートを証明機関スナップインの [証明書テンプレート] コンテナーに追加する必要があります。
この手順を実行するには、フォレスト ルート ドメインの Enterprise Admins グループまたは Domain Admins グループのメンバーであるか、適切な権限を委任されている必要があります。
証明書テンプレートが証明機関スナップインの [証明書テンプレート] コンテナーに追加されているかどうかを確認するには:
1. AD CS がインストールされているコンピューターで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、Enter キーを押します。
2. [ファイル] メニューで、[スナップインの追加と削除] をクリックします。
3. [スナップインの追加と削除] ダイアログ ボックスで、[証明機関]、[追加] の順にクリックし、[OK] をクリックします。
4. 管理する CA を選択し、[完了] をクリックします。
5. [証明書テンプレート] を展開し、適切な証明書テンプレートが一覧に表示されるかどうかを確認します。証明書の名前が、[サーバー認証証明書テンプレート] グループ ポリシー設定に指定されている名前と一致する必要があります。詳細については、このトピックの「グループ ポリシーで正しい証明書が指定されているかどうかを確認するには」を参照してください。
6. 適切な証明書テンプレートが一覧に表示されていない場合、「証明書テンプレートを [証明書テンプレート] コンテナーに追加する」セクションを参照してください。
次のイベント ID の解決手順: 1059
この問題を解決するには、次の手順を実行します。
証明書の要件については、このトピックの後に記載されている「証明書の要件」セクションを参照してください。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD セッション ホスト サーバーで TLS 1.0 (SSL) に使用するように構成されている証明書の証明書ストアを確認する
証明書ストアを確認するには:
1. RD セッション ホスト サーバーで、コンピューターの証明書スナップインを開きます。証明書スナップイン コンソールをまだ追加していない場合、次の手順で追加できます。
2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、[OK] をクリックします。
3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
4. [スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] の一覧で、[証明書] をクリックし、[追加] をクリックします。
5. [証明書スナップイン] ダイアログ ボックスで、[コンピューター アカウント] を選択し、[次へ] をクリックします。
6. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター (このコンソールを実行しているコンピューター)] をクリックして、[完了] をクリックします。
7. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。
8. 証明書が論理証明書ストアに表示されていることを確認します。この確認を行うには、[表示] メニューで [オプション] をクリックして、[表示のオプション] ダイアログ ボックスで、[論理証明書ストア] が選択されていることを確認します。
9. 証明書スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピューター)] を展開し、[個人用] を選択して、[証明書] をクリックします。
10. 詳細ウィンドウで、RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用されている証明書が証明書の一覧に表示されていることを確認します。
11. 次のいずれかの手順を実行します。
RD セッション ホスト サーバーに証明書をインストールする
重要: 信頼できる発行元から取得した証明書のみインストールする必要があります。改変された証明書または信頼できない証明書をインストールすると、その証明書を使用するシステム コンポーネントのセキュリティが低下することがあります。
RD セッション ホスト サーバーに証明書をインストールするには、次の手順に従います。
1. RD セッション ホスト サーバーで、インストールする証明書を見つけて、ダブルクリックします。証明書は RD セッション ホスト サーバーに存在しているか、または共有に配置されていることがあります。
2. 証明書ファイルを開くかどうかを確認するメッセージが表示されたら、[開く] をクリックします。
3. [証明書のプロパティ] ダイアログ ボックスの [全般] タブで、[証明書のインストール] をクリックします。
4. 証明書のインポート ウィザードの [開始] ページで、[次へ] をクリックします。
5. [証明書ストア] ページで、次のいずれかを実行します。
6. 証明書の種類に基づいて、証明書を自動的に証明書ストアに配置する場合は、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックします。
7. 証明書の保存先を指定する場合は、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。[証明書ストアの選択] で、使用する証明書ストアをクリックし、[OK] をクリックします。
8. [証明書ストア] ページで、[次へ] をクリックします。
9. [証明書のインポート ウィザードの完了] ページで、[完了] をクリックします。
証明書のインストール後、次の手順に従って、証明書が RD セッション ホスト サーバーによって使用されるように指定する必要があります。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成する
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書を指定するには、リモート デスクトップ セッション ホストの構成スナップインを使用することをお勧めします。リモート デスクトップ セッション ホストの構成を使用して証明書の要件を満たさない証明書のインストールを試みても、その証明書はインストールされません。
RD セッション ホスト サーバーを構成するには、次の手順に従います。
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. 詳細ウィンドウの [接続] の下で、接続 (たとえば RDP-tcp) を右クリックし、[プロパティ] をクリックします。
3. [全般] タブで、[選択] をクリックします。
4. [証明書の選択] ダイアログ ボックスで、使用する証明書をクリックして、[OK] をクリックします。
証明書の要件
RD セッション ホスト サーバーによってサーバー認証と暗号化のために使用される証明書は、次の要件を満たす必要があります。
証明書がコンピューター証明書である。
証明書に対応する秘密キーがある。キーのコンテナーに NT AUTHORITY\Network Service アカウントがアクセスできる必要がある。
証明書にサーバー認証 (1.3.6.1.5.5.7.3.1) の拡張キー使用法 (EKU) があるか、または EKU がない。
証明書に CERT_KEY_ENCIPHERMENT_KEY_USAGE というキー使用法の値が設定されている。
証明書の有効期限が切れていない。証明書がインストール日から 1 年間有効であるようにすることをお勧めします。
次のイベント ID の解決手順: 1050
この問題を解決するには、RD セッション ホスト サーバーの暗号化と認証の設定を調べて、互換性があることを確認し、それらの設定がユーザーのセキュリティ要件とクライアント コンピューターでサポート可能なセキュリティ レベルに適していることを確認してください。
注: リモート デスクトップ接続 5.2 は 128 ビットの暗号化をサポートしています。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
リモート デスクトップ セッション ホストの構成を使用して、接続用にサーバーの認証と暗号化の設定を構成する
一部の認証と暗号化の設定には互換性がないということに注意してください。たとえば、セキュリティ層に SSL (TLS 1.0) を選択し、暗号化レベルを [低] にした場合、これらの設定の適用を試みると、エラー メッセージが表示されます。エラー メッセージでは、使用するセキュリティ層に対して暗号化レベルが低すぎることが指摘されます。
リモート デスクトップ セッション ホストの構成を使用して、接続用にサーバーの認証と暗号化の設定を構成するには、次の手順に従います。
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. [接続] の下で、接続 (たとえば RDP-tcp)) を右クリックし、[プロパティ] をクリックします。
3. 接続の [プロパティ] ダイアログ ボックスで、[全般] タブをクリックします。
4. ユーザーのセキュリティ要件とクライアント コンピューターでサポート可能なセキュリティ レベルに基づき、使用環境に適したサーバーの認証と暗号化の設定を選択します。
5. SSL (TLS 1.0) を選択する場合、RD セッション ホスト サーバーにインストールされている証明書を選択するか、[既定] をクリックして自己署名証明書を生成します。RD セッション ホスト サーバーにインストールされている証明書を選択するには、[選択] をクリックし、[証明書の選択] ダイアログ ボックスで、使用する証明書を選択し、[OK] をクリックします。
6. 自己署名証明書を使用する場合、証明書の名前は [自動生成] として表示されます。
7. [OK] をクリックします。
グループ ポリシーを使用して、接続用にサーバーの認証と暗号化の設定を構成します。
次のグループ ポリシー設定を適用して、サーバーの認証と暗号化の設定を構成することもできます。
これらのグループ ポリシー設定は、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[リモート デスクトップ サービス]、[リモート デスクトップ セッション ホスト]、[セキュリティ] の順に展開した場所にあり、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) のいずれかを使用して構成できます。[サーバー認証証明書テンプレート] グループ ポリシー設定を除き、これらのグループ ポリシー設定は、リモート デスクトップ セッション ホストの構成で構成した設定よりも優先されることに注意してください。
[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] グループ ポリシー設定を適用すると、FIPS 準拠の暗号化レベルを使用するように RD セッション ホスト サーバーを構成できます。このグループ ポリシー設定は、[コンピューターの構成]、[Windows 設定]、[セキュリティ設定]、[ローカル ポリシー]、[セキュリティ オプション] の順に展開した場所にあり、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) を使用して構成できます。このグループ ポリシー設定は、リモート デスクトップ セッション ホストの構成で構成した設定および [クライアント接続の暗号化レベルを設定する] グループ ポリシー設定よりも優先されることに注意してください。
グループ ポリシー設定の詳細については、Windows Server テクニカル ライブラリにあるローカル グループ ポリシー エディターのヘルプ ( http://go.microsoft.com/fwlink/?LinkId=143317) または GPMC のヘルプ ( http://go.microsoft.com/fwlink/?LinkId=143867) を参照してください。
次のイベント ID の解決手順: 1052、1065、1053
この問題を解決するには、次の手順を実行します。
リモート デスクトップ セッション ホストの構成を使用して、書き換える必要がある証明書を特定します。
次のいずれかの方法で、RD セッション ホスト サーバーによって使用されている証明書を書き換えます。
同じキーで証明書を書き換えます。同じキーで書き換えると、過去に使用した付属のキー ペアとの互換性を最大限に確保できますが、証明書とキー ペアのセキュリティの強化にはなりません。証明書を書き換えると、古い証明書がアーカイブされます。
新しいキーで証明書を書き換えます。新しいキーで書き換えると、既存の証明書とその関連データを引き続き使用できると同時に、証明書に関連付けられているキーの強度を高めることができます。証明書を書き換えると、古い証明書とキーのペアがアーカイブされます。
TLS 1.0 (SSL) に証明書を使用するように RD セッション ホスト サーバーを構成します。
RD セッション ホスト サーバーによって自動生成された自己署名証明書を使用している場合、証明書の有効期限が切れる 30 日前に、RD セッション ホスト サーバーによって証明書が自動的に書き換えられることに注意してください。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
書き換える必要がある証明書の特定
書き換える必要がある証明書を特定するには:
1. リモート デスクトップ セッション ホストの構成を開きます。リモート デスクトップ セッション ホストの構成を開くには、[スタート] ボタンをクリックし、[管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ セッション ホストの構成] をクリックします。
2. 詳細ウィンドウの [接続] の下で、接続 (たとえば RDP-tcp) を右クリックし、[プロパティ] をクリックします。
3. [全般] タブで、[選択] をクリックします。
4. [証明書の選択] ダイアログ ボックスで、証明書が選択されていることを確認し、[証明書の表示] をクリックします。
5. [証明書] ダイアログ ボックスで、[全般] をクリックし、有効期限を確認します。証明書が数日以内に有効期限切れになる場合、「同じキーで証明書を書き換える」または「新しいキーで証明書を書き換える」の手順に従います。
6. [OK] をクリックして [証明書] ダイアログ ボックスを閉じます。
7. [OK] をクリックして [証明書の選択] ダイアログ ボックスを閉じます。
8. [OK] をクリックして、接続の [プロパティ] ダイアログ ボックスを閉じます。
同じキーで証明書を書き換える
この手順は、エンタープライズ証明機関 (CA) からの証明書の要求にのみ使用できます。
同じキーで証明書を書き換えるには:
1. RD セッション ホスト サーバーで、コンピューターの証明書スナップインを開きます。証明書スナップイン コンソールをまだ追加していない場合、次の手順で追加できます。
2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、[OK] をクリックします。
3. [ファイ
Home
JPN