このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

リモートデスクトップでサーバー名を使用すると認証に失敗する（IPアドレスなら成功）

複数のサーバーを管理しています。最近、一部のサーバーへリモートデスクトップ接続する際に「資格情報が無効です」というエラーが表示され、ログインできなくなりました。

しかし、サーバー名ではなくIPアドレスを指定して接続すると、同じ認証情報で問題なくログインできます。

他の管理者も同様の現象に遭遇しており、原因が分からず困っています。解決策について何かご存知でしたら教えてください。

まず、Windowsの資格情報マネージャーを開き、「Windows 資格情報」の中から該当サーバー名のエントリを削除してみてください。

これにより問題が解決するかどうか、結果を教えていただけますでしょうか。

奥山

ご回答ありがとうございます。

パスワードは保存しておらず、毎回手動で入力しているため、資格情報マネージャーには該当のエントリはありませんでした。使用しているのはドメインの管理者アカウントです。

承知しました。お使いのPCと接続先サーバーの両方でwinverコマンドを実行し、それぞれのWindowsのバージョンとビルド番号を教えていただけますか？

奥山

確認しました。結果は以下の通りです。

サーバー: Version 6.3 (ビルド 9600) ※Windows Server 2012 R2クライアントPC: Windows 10 Version 22H2 (OSビルド 19045.3324)

ありがとうございます。既知の不具合かどうかを切り分けるために、以下のテストをお願いします。

RDP接続時のユーザー名を、ドメイン\ユーザー名の形式ではなく、ユーザー名@ドメイン名 (UPN形式) にしてログインを試みてください。

もしこの形式でログインできる場合、認証に関するWindows Serverの不具合である可能性が高いです。

奥山

試してみましたが、ログインできませんでした。

ちなみに、使用しているドメイン管理者アカウントにはメールアドレスが紐付いていませんが、それが原因でしょうか？

UPN (ユーザープリンシパル名) は、必ずしもメールアドレスと一致する必要はありません。例えば ユーザー名@ドメイン.local のような形式で試せます。

もう一つの回避策として、サーバーのFQDN (完全修飾ドメイン名) の末尾にドット (.) を追加して接続してみてください。例: server.domain.local.

この方法で接続できる場合、これは既知の不具合と考えられ、修正アップデートがリリースされるのを待つ必要があります。

この問題は、多くの場合、Kerberos認証またはCredSSP (Credential Security Support Provider) に関連する問題が原因で発生します。

オクヤマシゲアキさんが提案されたFQDNの末尾にドットを追加する方法（server.domain.local.）は、クライアントに強制的にDNS検索を行わせ、SPN（サービスプリンシパル名）の解決を正しく行わせるための有効な回避策です。

根本的な原因としては、過去のWindows Update（特にCredSSPの暗号化オラクルの修正パッチ）に起因するクライアントとサーバー間の互換性の問題が考えられます。サーバー側に最新の更新プログラムが適用されていない場合に、この現象が発生することがあります。

恒久的な対策としては、以下の点を確認することをお勧めします。