に投稿 コメントを残す

カジノ 人気 スロットk8 カジノWindows 7から古いNASにアクセスできない場合の対処方法(LAN Manager認証レベルを変更する方法と注意点)仮想通貨カジノパチンコかち どき オンライン

カジノ 人気 スロットk8 カジノWindows 7から古いNASにアクセスできない場合の対処方法(LAN Manager認証レベルを変更する方法と注意点)仮想通貨カジノパチンコかち どき オンライン

カジノ 人気 スロットk8 カジノWindows 7から古いNASにアクセスできない場合の対処方法(LAN Manager認証レベルを変更する方法と注意点)仮想通貨カジノパチンコかち どき オンライン

スロット 撤去 台 リストk8 カジノ 「Windows TIPS」のインデックス

パチンコ チャングム の 誓い連載目次

対象OS:Windows 7/Windows Server 2008 R2

解説

 これまでクライアントOSとしてWindows XPを利用してきた社内LANにWindows 7を導入したとき、Windows 7から古いNASに格納されたファイルにアクセスすると、次のような認証失敗を表すダイアログが表示されることがある。

Windows 7からのファイル・アクセスに失敗したときに表示されるダイアログWindows 7からのファイル・アクセスに失敗したときに表示されるダイアログWindowsから古いNASに格納されたファイルをアクセスしたとき、このような画面が表示されてアクセスに失敗することがある。 (1)パスワードの入力ミスを暗示するようなメッセージだが、本トラブルの場合、Windows XPクライアントであれば同じアカウントとパスワードで正常にアクセスできる。

 このとき、従来のWindows XPクライアントからなら、同じアカウントとパスワードで正常にファイル・アクセスができる(つまりアカウント/パスワードの間違いではない)。また、ほかのWindowsマシンのファイル共有に対しては、Windows 7クライアントから正常にアクセスできる。つまり、Windows 7クライアントと古いNASとの間だけで、このエラーが生じるわけだ。

 このようなトラブルの原因としては、Windows 7クライアントと古いNASの間で対応可能なLAN Manager認証方式が食い違っている可能性が挙げられる。本稿では、このトラブルが生じる理由とその対処方法について説明する。

●サポートしているLAN Manager認証方式の相違がトラブルを招く

 Windowsのファイル共有における認証では、LAN Manager認証と呼ばれる認証方式が利用される(LAN Managerとは、現在のWindowsネットワークの元になった製品および技術の名前)。これはMS-DOSの時代からある古くからの認証方式で、セキュリティ強化などを目的とするバージョンアップが重ねられてきた。現在では、大別すると古い方から「LM認証」「NTLM認証」「NTLMv2認証」という3種類のLAN Manager認証のバージョンが存在する(この順にセキュリティが強化されている)。

 Windows 7やWindows Server 2008 R2などWindows Vista以降のOSがクライアントとしてファイル共有にアクセスする場合、デフォルトのLAN Manager認証としてNTLMv2が用いられる。一方、Windows NT 4.0 SP3以前やWindows 9xといった古いWindows OSでは、NTLMv2がサポートされておらず、LMやNTLMしか使えない。

 NASの場合、LinuxあるいはFreeBSDなどのOSと、Windows互換のファイル共有サービスを提供するソフトウェア「Samba」を組み合わせて実装されていることがよくあるが、このSambaのバージョンが2.xだとNTLMv2に対応できない(Linux Squareの「Samba 3.0の全貌 改訂版[後編]」の「SMBセキュリティの拡張」が参考になる)。現在、Samba 2.xはすでに廃れているが、古いNASではSamba 2.xがバージョンアップされずに使われ続けていることも珍しくない。その結果、Windows 7から要求されるNTLMv2での認証に応答できず、アクセスに失敗することがある。その影響はファイル共有にとどまらず、例えば管理ツールなどでリモートに接続できなくなることもある。

●NASをNTLMv2対応にするのが理想

 このトラブルへの対処方法としては、NAS側をNTLMv2に対応させるか、クライアントのWindows 7でLMあるいはNTLMを使用するようにするか、どちらかを選択することになる。ただ、今となってはLMやNTLMは堅牢な認証方式とは言い難いので、セキュリティの観点からは前者の方が推奨される。そこで、まずは該当のNASのマニュアルや管理コンソールを参照し、NTLMv2に対応するオプションがあればそれを有効にしてみよう。またNASのベンダから提供されているファームウェア更新にNTLMv2対応が含まれていないか確認しよう。

 それでもNTLMv2に対応できない場合は、NASそのものをNTLMv2対応の新しい製品に交換するか、Windowsサーバで代替する必要がある。しかし、それには手間も時間もかかるので、交換までの間はWindows 7側でNTLMv2を使わず、代わりにLMまたはNTLMを使うように設定を変更して対処せざるを得ないだろう。以下ではその手順を説明する。

操作方法

 NASのようなファイル共有サーバがWindowsのLAN Manager認証方式の1つ「NTLMv2」に対応していない場合、セキュリティ・レベルは下がるものの、クライアントのWindows 7側でLAN Manager認証の設定を変更すればファイル共有にアクセスできるようになる。以下では、その方法を説明する。

●Windows 7からNTLMv2で認証を送信しないようにする

 LAN Manager認証の設定を変えるには、レジストリの設定変更とポリシーの設定変更という2種類の方法がある。ローカル・セキュリティ・ポリシーやグループ・ポリシーが利用できないWindows 7 Home Premium/Starterエディションでは、レジストリで設定する。そのほかのエディションについては、システムやネットワークの状況に応じてどちらかを選べばよい。例えば、ドメイン環境で一律に設定するならグループ・ポリシーの方が便利だ。

■レジストリで設定を変更する LAN Manager認証の設定をレジストリで変更するには、クライアント側のWindowsマシンに管理者権限を持つアカウントでログオンしてから、レジストリ・エディタなどを用いて次のレジストリ・エントリを修正する。

項目内容キーHKLM\SYSTEM\CurrentControlSet\Control\Lsa値の名前LmCompatibilityLevel値の型DWORD値の内容(下表を参照)
値クライアントとして使用する認証プロトコルNTLMv2セッション・セキュリティサーバとして受け付ける認証プロトコル0LM/NTLM使用しないLM/NTLM/NTLMv21LM/NTLM可能なら使用LM/NTLM/NTLMv22NTLM可能なら使用LM/NTLM/NTLMv23(または存在しない場合)NTLMv2可能なら使用LM/NTLM/NTLMv24NTLMv2可能なら使用NTLM/NTLMv25NTLMv2可能なら使用NTLMv2LAN Manager認証レベルを設定するためのレジストリ・エントリ値が大きいほどセキュリティ・レベルは高くなる。古いNASにアクセスできない場合、LmCompatibilityLevelの値はデフォルトで「3」なので「2」→「1」→「0」と変えながら試していくとよい。ただし、変更を反映するにはシステムの再起動が必要だ。またデフォルトでLmCompatibilityLevelは存在しないので、設定時には新たに作成する必要がある。

 Windows 7/Windows Server 2008 R2の場合、デフォルトでLmCompatibilityLevelは「3」、すなわちクライアントとしてはNTLMv2を使用する。NTLMv2非対応のNASにアクセスできるようにするには、この値を「2」以下に変更する(ただし、設定を変更したらシステムを再起動して設定を反映させること)。なるべくセキュリティ・レベルは下げない方がよいので、セキュリティ・レベルの高い「2」から試し、まだアクセスに失敗するようなら「1」→「0」と値を小さくしていくことをお勧めする。

■ポリシーで設定する

Windows Server Insider関連記事・TIPS「GPMCを活用する」

 グループ・ポリシーでLAN Manager認証レベルの設定を変更するには、まずグループ・ポリシー・エディタなどで次のポリシー項目を開く。

[コンピューターの構成]-[ポリシー]-[Windows の設定]-[セキュリティの設定]-[ローカル ポリシー]-[セキュリティ オプション]にある[ネットワーク セキュリティ: LAN Manager 認証レベル]

 なお、ローカル・セキュリティ・ポリシーの場合は、[セキュリティの設定]以下をたどっていけばよい。

LAN Manager認証レベルを設定するためのポリシー項目(グループ・ポリシー管理エディタの画面)LAN Manager認証レベルを設定するためのポリシーこれはWindows 7/Windows Server 2008 R2のグループ・ポリシー管理エディタの例。 (1)これをクリックして選択する。 (2)これをダブルクリックしてプロパティ(設定画面)を表示させる。→[A]へ

[A]

LAN Manager認証レベルの設定画面(グループ・ポリシー管理エディタのプロパティ)LAN Manager認証レベルの設定画面 (1)これにチェックを入れてオンにする。 (2)適切なレベルを選ぶ。最初は[NTLM 応答のみ送信する](LmCompatibilityLevel=2と同じ)、次に[LMとNTLMを送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う)](同1)、そして[LM と NTLM 応答を送信する](同0)とレベルを下げながら試していくとよいだろう。

 まずは[NTLM 応答のみ送信する]に設定してからアクセスできるかどうか試し、まだ失敗するなら[LMとNTLMを送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う)]、[LM と NTLM 応答を送信する]という順番で試していけばよいだろう。なお設定後は、システムを再起動して設定変更を反映させること。ちなみに上記の設定画面で表示される6通りの選択肢は、前述のレジストリ設定のLmCompatibilityLevelの0~5までの値と1対1で対応している。

グループ・ポリシーの選択肢LmCompatibilityLevelの値LM と NTLM 応答を送信する0LMとNTLMを送信する(ネゴシエートした場合NTLMv2セッションセキュリティを使う)1NTLM 応答のみ送信する2NTLMv2 応答のみ送信する3NTLMv2 応答のみ送信 (LM を拒否する)4NTLMv2 応答のみ送信 (LM と NTLM を拒否する)5グループ・ポリシーの選択肢とLmCompatibilityLevelの値の対応

●サーバとして受け付ける認証レベルも変わる点に注意

 ここまで説明してきたLAN Manager認証レベルの設定は、クライアントだけではなくサーバとしての認証レベルにも影響を与える。例えば、仮にレジストリでLmCompatibilityLevelに「5」を設定したとすると、そのWindowsマシンはクライアントとしてほかのサーバへアクセスする際にNTLMv2だけを使用するようになるが、自身がファイル共有サービスを提供している場合はそのLAN Manager認証でNTLMv2だけしか受け付けなくなる(つまり、NTLMv2非対応のクライアントからアクセスできなくなる)。

 そのため、サーバとしても利用されているWindowsマシンでは、LmCompatibilityLevelに「4」以上の値を設定すると、LMやNTLMを使用するクライアントからアクセスできなくなる可能性がある。特にドメイン・コントローラに対してこのような設定をすると、ドメインに参加しているNTLMv2(あるいはNTLMにも)非対応のコンピュータはドメイン・コントローラとの認証に失敗するようになり、その結果ドメイン内のリソース全体にアクセスできなくなってしまうので、十分注意する必要がある。

■関連リンク

セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる(マイクロソフト サポート技術情報 823659)Windows 2000 または Windows 98 ベースのコンピューター Windows 7 ベースのコンピューターから上にある共有フォルダーにアクセスできません。[機械翻訳](マイクロソフト サポート技術情報 982734)

■更新履歴

【2014/02/03】表「LAN Manager認証レベルを設定するためのレジストリ・エントリ」で、値の型がDWORD型であることを明記しました。

【2011/12/16】初版公開。

■この記事と関連性の高い別の記事

UNIXからTelnetサービスに接続できない(TIPS)「Google Authenticator」アプリとiPhone/iPadで2段階認証を実現する(TIPS)「Google認証システム」アプリとAndroid端末で2段階認証を実現する(TIPS)iPhone/Androidで使っているGoogle Authenticator(認証システム)を別の端末に移行させる(TIPS)Windows XPにネットワーク接続できない(TIPS)「Windows TIPS」のインデックス

「Windows TIPS」

仮想通貨カジノパチンコ善悪 の 屑 電子 書籍