概要
リモート クライアントがリモート デスクトップ ゲートウェイ (RD ゲートウェイ) サーバーを介して内部ネットワーク リソース (コンピューター) に正常に接続するためには、RD ゲートウェイ サーバーを適切に構成する必要があります。RD ゲートウェイ サーバーは、適切な Secure Sockets Layer 互換の X.509 証明書を使用するように構成し、承認ポリシー設定を適切に構成する必要があります。リモート デスクトップの接続承認ポリシー (RD CAP) は、RD ゲートウェイ サーバーに接続できるユーザーを指定します。リモート デスクトップのリソース承認ポリシー (RD RAP) は、クライアントが RD ゲートウェイ サーバーを介して接続できる内部ネットワーク リソースを指定します。
解決方法
この問題を解決するには、イベント ID をチェックし、次のセクションでそのイベントのトラブルシューティング情報を確認します。
次のイベント ID の解決手順: 563、564、565
セキュリティ グループおよび RD ゲートウェイで管理されるグループが正しく構成されていることを確認する
この問題を解決するには、次の手順を実行します。
リモート デスクトップのリソース承認ポリシー (RD RAP) のセキュリティ グループおよび RD ゲートウェイで管理されるコンピューター グループ (該当する場合) の設定を確認して、セキュリティ グループおよび RD ゲートウェイで管理されるグループが正しく構成されていることを確認します。
問題が引き続き発生する場合は、rap.xml に必要なアクセス許可が付与されていることを確認してください。
問題が引き続き発生する場合は、RAPStore レジストリ キーに正しい値が設定されており、必要なアクセス許可が付与されていることを確認します。
RD RAP のセキュリティ グループおよび RD ゲートウェイで管理されるコンピューター グループの設定を確認する
注: RD RAP の要件を満たしているだけでなく、クライアントのユーザーが接続対象のコンピューターにローカルでログオンできる権限を持っている必要があります。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD RAP のセキュリティ グループおよび RD ゲートウェイで管理されるコンピューター グループの設定を確認するには、次の手順に従います。
1. リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
2. リモート デスクトップ ゲートウェイ マネージャーのコンソール ツリーで、ローカル RD ゲートウェイ サーバーを表すノードを選択します。このノードには、RD ゲートウェイ サーバーを実行しているコンピューターの名前が付けられています。
3. コンソール ツリーで、[ポリシー] を展開し、[リソース承認ポリシー] をクリックします。
4. 結果ウィンドウにある RD RAP の一覧で、確認する RD RAP を右クリックして、[プロパティ] をクリックします。
5. [ネットワーク リソース] タブで、[ユーザーによる任意のネットワーク リソースへの接続を許可する] がオンになっているかどうかを確認します。選択されている場合、このトピックの後に記載されている「必要なアクセス許可が rap.xml に付与されていることを確認する」の手順に進みます。選択されていない場合、次のいずれかの操作を行います。
6. [既存の Active Directory ドメイン サービス ネットワーク リソース グループを選択する] が選択されている場合、指定されているセキュリティ グループが Active Directory ドメイン サービスまたはローカルのユーザーとコンピューターに存在することを確認できるように、セキュリティ グループの名前を書き留めます。次に、クライアントが接続しようとしているコンピューターのコンピューター アカウントがこのグループのメンバーであることを確認します。
7. [RD ゲートウェイで管理される既存のコンピューター グループを選択するか、新しいグループを作成する] が選択されている場合、RD ゲートウェイで管理されるコンピューター グループの名前が正しいこと、およびこのグループのコンピューターが存在し、ネットワーク上で接続できることを確認します。
8. [OK] をクリックして、RD RAP の [プロパティ] ダイアログ ボックスを閉じます。
9. 正しいセキュリティ グループが指定されていない場合、または RD ゲートウェイで管理されるコンピューター グループが正しく構成されていない場合、既存の RD RAP の設定を変更するか、または新しい RD RAP を作成します。RD RAP を作成する方法については、Windows Server テクニカル ライブラリにある RD ゲートウェイ マネージャーのヘルプで、「RD RAP を作成する」( http://technet.microsoft.com/ja-jp/library/cc772397.aspx) を参照してください。
これらの手順を実行するのに、ローカルの Administrators グループのメンバーである必要はありません。そのため、セキュリティ対策として、これらのタスクは管理資格情報のないユーザーとして実行することを検討してください。
RD RAP に指定されている Active Directory セキュリティ グループが存在することを確認し、このグループのクライアントのアカウント メンバーシップを確認する
RD RAP に指定されている Active Directory セキュリティ グループが存在することを確認するには:
1. Active Directory ユーザーとコンピューターを実行しているコンピューターで、[スタート] ボタンをクリックして、[ファイル名を指定して実行] をクリックし、「dsa.msc」と入力して [OK] をクリックします。
2. コンソール ツリーで、[Active Directory ユーザーとコンピューター]、DomainNode の順に展開します。DomainNode は、セキュリティ グループが属しているドメインです。
3. ドメインを右クリックし、[検索] をクリックします。[ユーザー、連絡先、またはグループを検索] ダイアログ ボックスに、RD RAP に指定されているセキュリティ グループの名前を入力して、[検索開始] をクリックします。
4. グループが存在する場合、そのグループが検索結果に表示されます。
5. [ユーザー、連絡先、またはグループを検索] ダイアログ ボックスを閉じます。
このセキュリティ グループのクライアントのアカウント メンバーシップを確認するには、次の手順に従います。
1. Active Directory ユーザーとコンピューターを実行しているコンピューターで、[スタート] ボタンをクリックして、[ファイル名を指定して実行] をクリックし、「dsa.msc」と入力して [OK] をクリックします。
2. コンソール ツリーで、[Active Directory ユーザーとコンピューター]、DomainNode、コンピューターの順に展開します。ここで DomainNode は、クライアントが接続しようとしているコンピューターが属しているドメインです。
3. [詳細] ペイン内で、コンピューター名を右クリックしてから、[プロパティ] をクリックします。
4. [所属するグループ] タブで、表示されているいずれかのグループが RD RAP に指定されているグループの 1 つであることを確認します。
RD RAP に指定されているローカル セキュリティ グループが存在することを確認し、このグループのクライアントのアカウント メンバーシップを確認する
RD RAP に指定されているローカル セキュリティ グループが存在することを確認し、このグループのクライアントのアカウント メンバーシップを確認するには、次の手順に従います。
1. RD ゲートウェイ サーバーで、コンピューターの管理を開きます。コンピューターの管理を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[コンピューターの管理] をクリックします。
2. コンソール ツリーで、[ローカル ユーザーとグループ] を展開し、[グループ] をクリックします。
3. 結果ウィンドウで、クライアントが RD ゲートウェイ サーバー経由でアクセスできるコンピューターを含んでいるローカル セキュリティ グループを見つけます (グループがこの目的で作成されているかどうかは、グループ名または説明に示されています)。
4. グループ名を右クリックし、[プロパティ] をクリックします。
5. このグループの [プロパティ] ダイアログ ボックスの [全般] タブで、ユーザー アカウントがこのグループのメンバーであること、およびこのグループが RD RAP に指定されているグループの 1 つであることを確認します。
6. [OK] をクリックします。
それでも問題を解決できない場合は、rap.xml ファイルに正しいアクセス許可が付与されていることを確認してください。
必要なアクセス許可が rap.xml に付与されていることを確認する
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
必要なアクセス許可が rap.xml に付与されていることを確認するには:
1. RD ゲートウェイ サーバーで、%windir%\System32\tsgateway\rap.xml に移動します。%windir% は、Windows オペレーティング システムがインストールされているフォルダーです。
2. rap.xml を右クリックします。
3. [rap.xml のプロパティ] ダイアログ ボックスで、[セキュリティ] タブをクリックします。
4. [編集] をクリックして、次の操作を実行します。
5. [rap のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
6. [グループ名またはユーザー名] で、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
7. [グループ名またはユーザー名] で、[Users] をクリックします。[Users のアクセス許可] で、[読み取りと実行] および [読み取り] が許可されていない場合は、これらのアクセス許可の横にある [許可] チェック ボックスをオンにします。
8. [グループ名またはユーザー名] で、[Network Service] をクリックします。[Network Service のアクセス許可] で、[読み取り] が許可されていない場合は、[読み取り] の横にある [許可] チェック ボックスをオンにします。
9. [OK] をクリックします。
rap.xml の名前を変更し、リモート デスクトップ ゲートウェイ マネージャーを起動する
rap.xml に必要なアクセス許可を付与しても問題が解決しない場合、rap.xml の名前を rapbak.xml に変更し、リモート デスクトップ ゲートウェイ マネージャーを起動してください。コンソールを起動すると、新しい rap.xml ファイルが作成されます。
rap.xml の名前を変更するには:
1. RD ゲートウェイ サーバーで、%windir%\System32\tsgateway\rap.xml に移動します。%windir% は、Windows オペレーティング システムがインストールされているフォルダーです。
2. rap.xml を右クリックし、「rapbak.xml」と入力して、Enter キーを押します。
注: rap.xml の名前を変更してリモート デスクトップ ゲートウェイ マネージャーを再起動すると、コンソールを開いたときに RD RAP が表示されなくなります (RD RAP が表示されないことを確認するには、リモート デスクトップ ゲートウェイ マネージャーを開き、クリックして RD ゲートウェイ サーバーを表すノードを展開し、[ポリシー] を展開して、[リソース承認ポリシー] をクリックします)。
リモート デスクトップ ゲートウェイ マネージャーを起動するには、次の手順に従います。
RD ゲートウェイ サーバーで、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
これで問題が解決されない場合は、RAPStore レジストリ キーに正しい値が設定されており、必要なアクセス許可がこのレジストリ キーに付与されていることを確認します。
RAPStore レジストリ キーに正しい値が設定されており、必要なアクセス許可が付与されていることを確認する
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
RAPStore レジストリ キーに正しい値を設定し、必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [Core のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにして、[OK] をクリックします。
5. Core レジストリ サブキーをクリックします。
6. 詳細ウィンドウで、[RAPStore] を右クリックし、[変更] をクリックします。
7. [文字列の編集] ダイアログ ボックスの [値のデータ] で、値が msxml://%SystemRoot%\System32\rap.xml に設定されていることを確認します。値が異なる場合は、必要に応じて値を変更し、[OK] をクリックします。
次のイベント ID の解決手順: 2002
設定が別の RD ゲートウェイ サーバー上のローカル セキュリティ グループに関連付けられているかどうかを確認する
この問題を解決するには、RD ゲートウェイ サーバーにインポートしようとしている設定が、設定のエクスポート元の RD ゲートウェイ サーバー上のローカル セキュリティ グループに関連付けられていないことを確認します。設定のエクスポート元の RD ゲートウェイ サーバー上のローカル セキュリティ グループに設定が関連付けられていない場合、これらの設定を含むファイルをエクスポートし、再度インポートを試みます。
サーバー上にローカル セキュリティ グループ (ローカル ユーザーおよびコンピューターのユーザーまたはコンピューター グループ) への参照が含まれる RD ゲートウェイ サーバーからポリシーをエクスポートする場合、これらの設定を別の RD ゲートウェイ サーバーにインポートすることはできません。設定のインポート先になる RD ゲートウェイ サーバーにそのローカル セキュリティ グループが存在していない可能性があるためです。たとえば、RD ゲートウェイ サーバー 1 から設定をエクスポートし、その設定を RD ゲートウェイ サーバー 2 にインポートしようとするときに、その設定が RD ゲートウェイ サーバー 1 上のローカル セキュリティ グループに関連付けられている場合、設定のインポートは失敗します。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
RD ゲートウェイ サーバーのポリシー設定が別の RD ゲートウェイ サーバー上のローカル ユーザーまたはコンピューター グループに関連付けられているかどうかを確認する
RD ゲートウェイ サーバーのポリシー設定が別の RD ゲートウェイ サーバー上のローカル ユーザーまたはコンピューター グループに関連付けられているかどうかを確認するには、次の手順に従います。
1. ポリシーおよび構成の設定のエクスポート元になる RD ゲートウェイ サーバーで、リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
2. リモート デスクトップ ゲートウェイ マネージャーのコンソール ツリーで、ローカル RD ゲートウェイ サーバーを表すノードを選択します。このノードには、RD ゲートウェイ サーバーを実行しているコンピューターの名前が付けられています。
3. コンソール ツリーで、[ポリシー] を展開し、[接続承認ポリシー] をクリックします。
4. 結果ウィンドウにある、リモート デスクトップの接続承認ポリシー (RD CAP) の一覧で、RD CAP ごとに、ローカル セキュリティ グループの有無を確認します。これを確認するには、[要件] タブで、次の内容を確認します。
5. ローカル ユーザー グループが [ユーザー グループ メンバーシップ (必須)] の下に表示されているかどうかを確認します。表示されている場合、ポリシーおよび構成の設定を別の RD ゲートウェイ サーバーにインポートすることはできません。
6. ローカル コンピューター グループが [クライアント コンピューター グループ メンバーシップ (オプション)] の下に表示されているかどうかを確認します。表示されている場合、ポリシーおよび構成の設定を別の RD ゲートウェイ サーバーにインポートすることはできません。
7. コンソール ツリーで、[ポリシー] を展開し、[リソース承認ポリシー] をクリックします。
8. 結果ウィンドウにある、リモート デスクトップのリソース承認ポリシー (RD RAP) の一覧で、RD RAP ごとに、ローカル セキュリティ グループの有無を確認します。有無を確認するには、次のことを確認します。
9. [ユーザー グループ] タブで、ローカル ユーザー グループが [ユーザー グループ] の下に表示されているかどうかを確認します。表示されている場合、ポリシーおよび構成の設定を別の RD ゲートウェイ サーバーにインポートすることはできません。
10. [コンピューター グループ] タブで、ローカル コンピューター グループが表示されているかどうかを確認します。表示されている場合、ポリシーおよび構成の設定を別の RD ゲートウェイ サーバーにインポートすることはできません。
RD CAP または RD RAP に関連付けられているユーザー グループがローカル ユーザーまたはコンピューター グループではない場合、この RD ゲートウェイ サーバーから設定をエクスポートし、別の RD ゲートウェイ サーバーにインポートを試みます。このような場合、もう一方の RD ゲートウェイ サーバーからエクスポートした、ポリシー設定を含む .xml ファイルが壊れている可能性があります。これらの設定が含まれているファイルを再度エクスポートしてインポートすると、問題の解決に役立つ可能性があります。
設定をローカル RD ゲートウェイ サーバーからエクスポートして、別の RD ゲートウェイ サーバーにインポートする
重要: RD ゲートウェイ サーバーにポリシー設定をインポートすると、そのサーバーの既存のポリシー設定はすべて上書きされます。その RD ゲートウェイ サーバー上の既存のポリシー設定を保存する場合、新しいポリシー設定をサーバーにインポートする前に、既存の設定のバックアップ コピーを作成しておくことをお勧めします。
設定をローカル RD ゲートウェイ サーバーからエクスポートして、別の RD ゲートウェイ サーバーにインポートするには、次の手順に従います。
1. リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
2. リモート デスクトップ ゲートウェイ マネージャーのコンソール ツリーで、ローカル RD ゲートウェイ サーバー (RD ゲートウェイ サーバーが実行されているコンピューターの名前) を右クリックして、[ポリシーおよび構成設定のエクスポート] をクリックします。
3. ファイルの名前と場所を指定して、[OK] をクリックします。
4. 指定した場所への設定のエクスポートに成功したことを示すメッセージが表示されます。
5. [OK] をクリックします。
6. リモート デスクトップ ゲートウェイ マネージャーを閉じます。
7. リモート デスクトップ ゲートウェイ サーバー (設定のインポート先のリモート デスクトップ ゲートウェイ サーバー) で、リモート デスクトップ ゲートウェイ マネージャーを開きます。
8. リモート デスクトップ ゲートウェイ マネージャーのコンソール ツリーで、ローカル RD ゲートウェイ サーバーを右クリックし、[ポリシーおよび構成の設定のインポート] をクリックします。
9. [ポリシーおよびサーバー構成設定のインポート] ダイアログ ボックスで、インポートするファイルを指定して、[OK] をクリックします。
10. ファイルをインポートすると RD ゲートウェイ サーバーの既存のポリシーおよび構成の設定が上書きされることを確認するメッセージが表示されます。続行する場合は、[はい] をクリックして、手順 11 に進みます続行しない場合は、[いいえ] をクリックします。
11. 設定のインポートが完了すると、指定した場所からローカル RD ゲートウェイ サーバーへの設定のインポートが成功したことを示すメッセージが表示されます。
12. [OK] をクリックします。
次のイベント ID の解決手順: 509、517、515
Core レジストリ キーに必要なアクセス許可が与えられていることを確認してください
この問題を解決するには、Core レジストリ キーに必要なアクセス許可が付与されていることを確認します。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
Core レジストリ キーに必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [Core のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
5. [OK] をクリックします。
次のイベント ID の解決手順: 628
Windows ファイアウォールで、リモート デスクトップ ゲートウェイ サーバー ファームの例外を手動で無効にします。
この問題を解決するには、Windows ファイアウォールでリモート デスクトップ ゲートウェイ サーバー ファームの例外を手動で無効にします。この例外は、コントロール パネルの Windows ファイアウォールまたはグループ ポリシーを使用して構成できます。
注: セキュリティを最適にするために、RD ゲートウェイ サーバー ファームのメンバーではない RD ゲートウェイ サーバーでは、リモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にしてください。
コントロール パネルの Windows ファイアウォールを使用してリモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にする
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
コントロール パネルの Windows ファイアウォールを使用してリモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にするには、次の手順に従います。
1. Windows ファイアウォールを開きます。Windows ファイアウォールを開くには、[スタート] ボタン、[コントロール パネル] の順にクリックして、[Windows ファイアウォール] をダブルクリックします。
2. [Windows ファイアウォール] で、[設定の変更] をクリックします。
3. [例外] タブで、[リモート デスクトップ ゲートウェイ サーバー ファーム] チェック ボックスをオフにして、リモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にします。このチェック ボックスが選択不可になっている場合、この例外を制御するためにグループ ポリシーが適用されています。グループ ポリシーを変更してこの例外を無効にする方法については、このトピックの後に記載されている「グループ ポリシーを使用してリモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にする」を参照してください。
4. [OK] をクリックします。
5. Windows ファイアウォールを閉じます。
グループ ポリシーを使用してリモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にする
ドメインまたは組織単位 (OU) のグループ ポリシー設定を変更するには、Domain Admins、Enterprise Admins、または Group Policy Creator Owners グループのメンバーとしてログオンしているか、グループ ポリシーに対する適切な権限を委任されている必要があります。
グループ ポリシーを使用してリモート デスクトップ ゲートウェイ サーバー ファームの例外を無効にするには、次の手順に従います。
1. グループ ポリシー管理コンソールを実行しているコンピューターで、GPMC を起動します。これを行うには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
2. 左のウィンドウで、編集する OU を見つけます。
3. OU の既存のグループ ポリシー オブジェクト (GPO) を変更するには、OU を展開して、その GPO をクリックします。
4. 右のウィンドウで、[設定] タブをクリックします。
5. 左のウィンドウの [コンピューターの構成] の下で、[Windows の設定]、[セキュリティの設定]、[セキュリティが強化された Windows ファイアウォール] の順に展開し、[セキュリティが強化された Windows ファイアウォール] を展開して、[受信の規則] をクリックします。
6. 次の各規則 (TCP-In、RPC-EPMAP、および RPC HTTP 負荷分散サービス) を右クリックし、[規則の無効化] をクリックします。
7. グループ ポリシー管理コンソール (GPMC) を閉じます。
8. gpupdate /force コマンドを実行して、グループ ポリシーへの更新を適用します。gpupdate /force コマンドを実行するには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「cmd」と入力して、Enter キーを押します。コマンド プロンプトで、「gpupdate /force」と入力して Enter キーを押します。
次のイベント ID の解決手順: 2004
Core レジストリ キーに必要なアクセス許可が与えられていることを確認し、必要に応じて、RD CAP と RD RAP を削除して、再作成する
この問題を解決するには、Core レジストリ キーに必要なアクセス許可が付与されていることを確認します。問題が引き続き発生する場合は、RD ゲートウェイ サーバーでリモート デスクトップのリソース承認ポリシー (RD RAP) およびリモート デスクトップの接続承認ポリシー (RD CAP) の削除と再作成が必要になる可能性があります。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
Core レジストリ キーに必要なアクセス許可を付与する
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
Core レジストリ キーに必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [Core のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
5. [OK] をクリックします。
6. ポリシーと構成設定のエクスポートを再試行します。
7. エクスポートが成功した場合、このトピックの残りの解決手順は適用されません。
Core レジストリ キーに必要なアクセス許可を付与しても問題が解決しない場合は、RD ゲートウェイ サーバーで RD RAP および RD CAP を削除してから、再作成してください。
RD ゲートウェイ サーバー上で RD RAP を削除および再作成する
注: rap.xml の名前を変更してリモート デスクトップ ゲートウェイ マネージャーを再起動すると、RD RAP が表示されなくなるため、RD RAP の設定を再構成する必要があります。
rap.xml をバックアップして削除し、リモート デスクトップ ゲートウェイ マネージャーのコンソールを開くには:
1. %windir%\System32\tsgateway\rap.xml に移動します。%windir% は Windows オペレーティング システムがインストールされているフォルダーです。
2. rap.xml の名前を rapbak.xml に変更して、rap.xml のバックアップ コピーを保存します。
3. rap.xml を削除します。
4. リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
5. 必要に応じて、RD RAP 設定を再構成します。
6. ポリシーと構成設定のエクスポートを再試行します。
リモート デスクトップ ゲートウェイ サーバー上で RD CAP を削除および再作成する
Rap.xml の現在のコピーをバックアップおよび削除して、RD RAP 設定を再作成しても問題が解決しない場合、IAS.xml の名前を IASbak.xml に変更し、リモート デスクトップ ゲートウェイ マネージャーを起動してみてください。コンソールを開くと、新しい IAS.xml ファイルが作成されます。
注: IAS.xml の名前を変更してリモート デスクトップ ゲートウェイ マネージャーを再起動すると、RD CAP が表示されなくなるため、RD CAP の設定を再構成する必要があります。
IAS.xml をバックアップして削除し、リモート デスクトップ ゲートウェイ マネージャーを開くには、次の手順に従います。
1. %windir%\System32\ias\ias.xml に移動します。%windir% は Windows オペレーティング システムがインストールされているフォルダーです。
2. IAS.xml の名前を IASbak.xml に変更して、IAS.xml のバックアップ コピーを保存します。
3. IAS.xml を削除します。
4. リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ マネージャー] をクリックします。
5. 必要に応じて、RD CAP 設定を再構成します。
6. ポリシーと構成設定のエクスポートを再試行します。
次のイベント ID の解決手順: 507、505
LogEvents レジストリ キーに必要なアクセス許可が与えられ、Remote Registry サービスが開始していることを確認してください
この問題を解決するには、LogEvents レジストリ キーに適切なアクセス許可が付与されていることを確認します。それでも問題を解決できない場合は、Remote Registry サービスが開始されていることを確認してください。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
LogEvents レジストリ キーに必要なアクセス許可を付与する
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
LogEvents レジストリ キーに必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core\LogEvents サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [LogEvents のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
5. [OK] をクリックします。
問題が引き続き発生する場合は、Remote Registry サービスが開始されているかどうかを判断し、開始されていない場合はサービスを開始してください。
Remote Registry サービスが開始されているかどうかを判断する
Remote Registry サービスが開始されているかどうかを判断するには:
1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。
2. サービス スナップインで、[Remote Registry] を見つけて、[状態] 列に [開始] と表示されていることを確認します。
3. 状態が [開始] になっていない場合は、[Remote Registry] を右クリックして、[開始] をクリックします。
4. サービスのみの開始を試みて失敗する場合、コンピューターを再起動します。これにより、すべての関連サービスおよび依存サービスが再起動されます。
5. サーバーを再起動した後に常にサービスを自動的に開始する場合は、[Remote Registry] を右クリックし、[プロパティ] をクリックして、[スタートアップの種類] で [自動] を選択します。
次のイベント ID の解決手順: 402、404
リモート デスクトップ ゲートウェイは、Remote Desktop Gateway サービスが開始されるたびに、Active Directory ドメイン サービス接続ポイントを登録します。
注: Remote Desktop Gateway サービスを再開すると、すべての依存サービスも再開されます。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
Remote Desktop Gateway サービスを再開するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。サービス スナップインの [名前] 列で、[Remote Desktop Gateway] を右クリックし、[再起動] をクリックします。
2. サービスだけを再起動しようとして失敗する場合、コンピューターを再起動します。これにより、すべての関連サービスおよび依存サービスが再起動されます。
3. サーバーが再起動されたらサービスが常に自動的に開始されるようにするには、サービス スナップインの [名前] 列で [Remote Desktop Gateway] を右クリックし、[プロパティ] をクリックします。[スタートアップの種類] で [自動] を選択し、[OK] をクリックします。
次のイベント ID の解決手順: 528、532
この問題を解決するには、TSGMessaging レジストリ キーに必要なアクセス許可が付与されていることを確認します。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
TSGMessaging レジストリ キーに必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core\TSGMessaging サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [Core のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
5. [OK] をクリックします。
次のイベント ID の解決手順: 623、622、630
この問題を解決するには、RPC レジストリ キーに必要なアクセス許可が付与されていることを確認します。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
注意: レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。レジストリを変更する前に、重要なデータのバックアップを作成するようにしてください。
RPC レジストリ キーに必要なアクセス許可が付与されていることを確認するには:
1. RD ゲートウェイ サーバーで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc サブキーに移動し、このサブキーを右クリックし、[アクセス許可] をクリックします。
3. [Rpc のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [SYSTEM] をクリックします。[SYSTEM のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
4. 同じダイアログ ボックスで、[グループ名またはユーザー名] の下にある、[Administrators] をクリックします。[Administrators のアクセス許可] で、[フル コントロール] が許可されていない場合は、[フル コントロール] の横にある [許可] チェック ボックスをオンにします。
5. [OK] をクリックします。
次のイベント ID の解決手順: 3001、103
この問題を解決するには、SSL 証明書の秘密キーに必要なアクセス許可が付与されていることを確認します。
この手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
SSL 証明書の秘密キーに必要なアクセス許可を付与するには:
1. RD ゲートウェイ サーバーで、証明書スナップイン コンソールを開きます。証明書スナップイン コンソールをまだ追加していない場合、次の手順で追加できます。
2. [スタート] ボタンをクリックして、[ファイル名を指定して実行] をクリックし、「mmc」と入力して、[OK] をクリックします。
3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
4. [スナップインの追加と削除] ダイアログ ボックスで、[利用できるスナップイン] の一覧で、[証明書] をクリックし、[追加] をクリックします。
5. [証明書スナップイン] ダイアログ ボックスで、[コンピューター アカウント] を選択し、[次へ] をクリックします。
6. [コンピューターの選択] ダイアログ ボックスで、[ローカル コンピューター (このコンソールを実行しているコンピューター)] をクリックして、[完了] をクリックします。
7. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。
8. 証明書スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピューター)]、[個人用] の順に展開して、RD ゲートウェイ サーバーの SSL 証明書に移動します。
9. 証明書を右クリックし、[すべてのタスク] をポイントして、[秘密キーの管理] をクリックします。
10. [<Name> private keys のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の下にある [NETWORK SERVICE] をクリックします。[NETWORK SERVICE のアクセス許可] で、[読み取り] が許可されていない場合は、[読み取り] の横にある [許可] チェック ボックスをオンにします。
11. [OK] をクリックします。
次のイベント ID の解決手順: 530
ユーザーがリモート コンピューターにログオンすると、ログオン メッセージが表示されます。ログオン メッセージが正しく構成されていることを確認するには、次の操作を実行します。
ログオン メッセージ ボックスが空でないことを確認する。
ログオン メッセージのテキスト ファイルが 64 KB 未満であることを確認する。
ログオン メッセージのテキスト ファイルが、指定されたパスに存在していることを確認する。
TSGMessaging レジストリ キーに必要なアクセス許可を付与する。
これらの手順を実行するには、ローカルの Administrators グループのメンバーであるか、適切な権限を委任されている必要があります。
ログオン メッセージ ボックスが空でないことを確認する
リモート デスクトップ ゲートウェイ マネージャーを使用して、ログオン メッセージ ボックスが空でないことを確認してください。
ログオン メッセージ ボックスが空でないことを確認するには:
1. RD ゲートウェイ サーバーで、リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール]、[リモート デスクトップ サービス] の順にポイントし、[リモート デスクトップ ゲートウェイ
Home
JPN