こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

締切り済みの質問

Win10でVPN経由のネットワークドライブ

どうぞよろしくお願い申し上げます。

自宅からVPN経由で勤務先の自PCやServer等にアクセスしているのですが、Windows7 Proからは問題なくネットワークドライブとして割り当てできますが、Windows10 HOMEではVPNは確立するものの、ネットワークドライブとして割り当てする事ができません。「次のエラーが発生したため、ネットワークドライブを割り当てることができませんでした: 指定されたサーバーは、要求された操作を実行できません。」とエラーメッセージが返されます。

Windows7とWindows10は全く同じVPN設定で、VPNクライアントのユーザーIDとパスワードで自PCにアクセスしています。ちなみに今は使っていないWindowsXPを引っ張り出してきて試行してみましたが、こちらも問題なく割り当てできます。Windows10でどうしたら解決するか、どなたかご教示いただけないでしょうか?よろしくお願いいたします。

自宅PC   本社の自PC 本社のNAS 工場にあるServer

Windows7    ○     ○       ○

Windows10    ×     ○       ×

投稿日時 - 2015-12-08 21:37:38

QNo.9092687

困ってます

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(8)

ANo.8

 Windows10-Proからアクセスの件、了解致しました。
 レジストリ追加が出来ない件ですが、何らかのレジストリを保護するソフトや機能が、メーカーパソコンに投入されていませんでしょうか?

 レジストリの追加については、レジストリ追加出来ない場合にPowerShell追加にて対応出来る様になっておりますが、過去にIBMやHP等のパソコンに専用ソフトがインストールされており、パソコン全体のWindows情報の保護とセキュリティ付加する機能のソフトが適用されていた場合が有ります。

 レジストリ改変の情報内容については、追加出来た以上、問題ないかと存じます。
 それと出来れば、サーバの脆弱性問題も有りますので、今後の対応の為にサーバOSのマイグレーション対応はされた方が無難かと存じます。

 Windows系でしたら、WindowsServer2012std(同時アクセスユーザーCALもご検討下さい)、若しくはLinux系のノウハウが有れば、Windows系に比べOSのコストを抑える事が可能ですので、CentOS7やFedora23等が良いかと存じます。

投稿日時 - 2015-12-11 08:19:07

お礼

ご回答ありがとうございました。

購入先のDELLに確認しましたが、レジストリを保護するソフトや機能は実装していないそうです。

試しに、同じDELLの他のPC(Windows7 Pro 64bit)2台で、件のパラメータを追加してみましたら、それらは問題なく追加できました。

結果、Windows10ではこのパラメータは何らかの理由で使用できないようですね。

ちょっともう万策尽きた感じです。

もう少々あちこち設定を見直しまして、角度を変えて検討してみます。
長らくお相手いただきありがとうございました。

結果が良好になりましたら、またご報告させていただきますね。

投稿日時 - 2015-12-11 17:00:55

ANo.7

“Secure Negotiate”の無効対策が出来ないとなると、難しいですね。

 本末転倒ですが、Windows10をWindows8.1-Proへダウングレードされるか、サーバOS側を、WindowsServer2012系、またはCentOS7などのサーバへ変更するしか無いかもしれません。
 Windows8.1-Proにされたとしても、“Secure Negotiate”の対策は必要です。

 既設のサーバは、用途的に何らかのアプリケーションサーバでしょうか?
 それとも、単一のファイルサーバでしょうか?
 単一のファイルサーバで有れば、CentOS7システムにSamba機能追加での対応と言った方法で、代替処置するしか無いかもしれません。
 CentOS7・Sambaであれば、権限委譲にPostgresSQL若しくはMySQL認証で、Windows10にアクセス認証が特に問題なく、出来た経験則が有ります。

投稿日時 - 2015-12-10 18:49:44

補足

↓の続きです。

Windows10 Proからアクセスしていますw

nnori7142さん、いらっしゃいますか。もうこれで何でも出来ます。
出来ますが、上記のレジストリですが、Proでもこの値は書き込めませんでした。Homeの時と同じ状態です。
今一度、レジストリの件、ご確認願えないでしょうか?


今回、Windows10 Homeがいかに不便であるかが身に染みました。
このVPNの問題がなくても、いずれProへのマイグレーションは必須であったに違いありません。いい機会になりましたです。

投稿日時 - 2015-12-10 19:48:33

お礼

即答、ありがとうございました。

既設のServerは単一のファイルサーバーです。Intranetや若干他の用途にも使用しておりますが。

私はどちらかと言うと、上記の工場にあるサーバー(Windows2008 Server)よりも、本社の自分のPC(Windows7 Pro)にアクセスしたいのです。自宅でも仕事をしなければならない事が多いので。

ですので、Serverを変更するのはちょっと問題が多いかもしれません。

今回、初めてProではないWindows OSを使いました(プレインストールでHomeしかなかった)が、こんなに制約が多いシロモノとは思いもよりませんでした。もうこうなったら、MicrosoftのストアでProにマイグレーションしようと思っています。
そして教えていただいた上記レジストリの変更を行ってみますね。

しばらくの間、失礼いたします。

投稿日時 - 2015-12-10 19:11:13

ANo.6

 ご質問のServerOSのSMBバージョン表記は、Microsoft・Technetサイトに掲載されています。
 ※ https://technet.microsoft.com/ja-jp/library/ff625695%28v=ws.10%29.aspx

 Windows10自体はSMB仕様は解りにくいですが、標準では3.0系・3.11である点は公開されております。
 ※ http://blogs.technet.com/b/josebda/archive/2015/05/05/what-s-new-in-smb-3-1-1-in-the-windows-server-technical-preview-2.aspx

 ファイル共有サービスを利用する際、サーバー側とクライアント側のサポートしているSMBのバージョンが異なる場合は、通信開始時に低い方のバージョンに合うようにネゴシエーションが行われますが、認証権限・委譲まではアクセスしますクライアント仕様によるとのことになります。

 確認ですが忘れてましたが、HOMEの場合ローカルセキュリティポリシーの設定が出来ない点ですが、他の問題としてSMB3.0以降に搭載された権限委譲の機能「Secure Negotiate」機能が、旧SMB機能のサーバへのログイン出来ない弊害が有るようです。

 対応方法としてですが、windowsのレジストリを書き換えて、“Secure Negotiate”を無効にします。1つの方法は、レジストリエディタを使って、以下の値を追加すること。
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecureNegotiate
 上記パラメータを追加し、値を”0″にします。

 更にPowerShellを起動して、以下のコマンドを実行する。
 Set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters” RequireSecureNegotiate -Value 0 -Force

 上記のレジストリ調整を確認出来ませんでしょうか?

投稿日時 - 2015-12-10 14:56:11

お礼

回答ありがとうございました。

早速、コマンドプロンプトを管理者として実行、regeditを起動してレジストリの追加を行いました(32bitDword値)が、記述はできるものの、その値を修正しようとするとできません。ハイブを他に移し、戻ってくると、もうその値は消えています。お示しいただいた値をコピペしましたのでスペルミスはないはずです。念のため記述してそのままにし、powerShellにてコマンドを実行し、再起動しました。その後regeditで見てみると、やはり追加した値は消えていました。Homeの限界でしょうか?
(Windowsへのログインユーザーは管理者権限です。1個しか作ってないので)

ちなみに、現在のVPN接続後のネットワークドライブを割り当てようとした時に出るエラーですが、システムエラー58から53に変わりました。
システムエラー53は、今回のレジストリ追加の前からいつの間にか変わっており、今回の処置の後も変わりはありませんでした。

NET USE Z: \\192.9.200.250\D$ /user:[VPN clientName] [Password]
でエラーを確認しました。
ローカルIPアドレスを使用しているのに、53が出ます。
ちなみに、名前解決には接続先のlmhostsにも記述があります。
接続先にTCP/IPや他の問題がない事は、直後にWindows7をVPN接続、ネットワークドライブを割り当てする事で確認してあります。

こりゃあ、、、お先の見通しは暗いですかねぇ。。。。(泣)

投稿日時 - 2015-12-10 18:17:54

ANo.5

 了解です。
 ServerはWindowsServer2008で、デフォルトでSMB2.0管理機能、Windows10側もSMB3.0でしょうか。
 恐らく、システム的に何らかの不整合が出ているとは理解できますが、初歩的な話ですが、Windows10ではSMBアクセスの際に、ユーザーアカウント・パスワード無しの共有域アクセスは、サポートしない設定になっていますが、Server側はアカウント・パスワードでのアクセス制限をしていますでしょうか?

 アカウント・パスワード無しの構成にしている場合、Windows10のセキュリティポリシーの変更が必要です。
 コントロールパネル(アイコン表示)から「管理ツール」を選択します。
 「管理ツール」から「ローカルセキュリティポリシー」を選択→「ローカルセキュリティポリシー」から「ローカルポリシー」-「セキュリティオプション」と選択して、「アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」をダブルタップ(ダブルクリック)→「無効」を選択します。
 以後パスワード無しのユーザーアカウントでも、接続許可設定さえ行っていれば、各種ネットワーク機能にアクセスすることができます。

 元々Windows10自体、SMBプロトコルに重大な問題及びクセが有るOSですので、更にHOMEバージョンですと、対応がかなり困難です。
 

投稿日時 - 2015-12-10 09:03:01

お礼

早朝からのお返事ありがとうございました。
今日は腹痛で会社を休んでいますので、問題児のWindows10が目の前にあります。

さてお尋ねいただいた件ですが、SMBの管理機能のバージョンはどうやったら調べることができるのでしょうか?

次に、ユーザーアカウントとパスワードですが、これは工場のServerも本社の自PCもアクセス制限しています。VPN関連ではVPNクライアントのユーザーアカウントとパスワードを事前に登録しています。

制限ありですから、次のコントロールパネルから管理ツールの件は対応不要と思いますが、ただWindows10 HOMEの場合はセキュティポリシーはいじれないんじゃないでしょうか? 管理ツール下にセキュリティポリシーの項目名が出てきませんし、secpol.mscももちろん使えません。

最後に、今日は自宅に居ますので、ここからなら本社の自PCも工場のServerもリモート接続できます(Windows10でも)ので、おっしゃっていただければそれらのPCを直接操作することができます。

よろしくお願いいたします。

投稿日時 - 2015-12-10 10:54:32

ANo.4

 「ポートのアウトバウンド/インバウンドの設定、及びWindowsファイアウォールの許諾ルールの設定ですが、ここが正しく設定されていなければVPNのセッション確立そのものが成立しないのではないでしょうか?」

 ↑ 違いますよ。ファイアーウォール機能で言う、IPSEC-VPNはESPパケットとUDP500、若しくはUDP4500、UDP1701番が透過されていれば接続される条件になります。

 IPSECトンネル経由で、別IPセグメントからSMBアクセスしている状況ですと、トンネル経由でのSMB許諾は必要です。
 ネットワークドライブも基本的には、SMBファイルサーバでの許諾IP範囲と言う概念が有りますので、ご指定PCで言うとNTTセキュリティ契約(恐らくTrendmicro系)のソフトでのファイアーウォール許諾は必要です。
 想定でTrendmicro系かと考えますが、Trendmicrfoファイアーウォール機能の詳細確認が必要です。

 更に言えば、ファイルサーバのOSがWindowsかLinuxかどちらか解りませんが、Active-Derectory無しの構成においても、アカウントでのアクセス制限やIP許容制限等の構成をしている場合も有ります。
 Linuxサーバの場合、ユーザーアカウント制限でも、アクセスユーザー権限にPostgresSQL認証やMySQL認証構成をしている場合には、アクセス制限に厳密なユーザーアクセス権限となっておりますので、確認事項は多岐に有ります。

投稿日時 - 2015-12-09 18:41:04

補足

↓のコメント欄の続きを投下したいのですが、どこに書いたらわかりませんのでこちらの「補足コメント」欄に書きます。

以下の事をやってみましたが、ダメでした。

(1)セキュリティ対策ツール及びWindowsファイアウォール機能をOFFにした
(2)VPN接続設定を削除して作成し直した
(3)NET USE コマンドで接続を試みた
(4)NETSTAT -na コマンドでポートの確認を行った
結果は、UDP137/138、TCP139/445 すべて開いていました。
(5)繋がるWindows7のNETSTATと比較しましたが、VPN関連のポート(137-139/445)は同じ状態でした。


もうさっぱり訳がわかりません???

投稿日時 - 2015-12-10 01:11:53

お礼

重ねてのご回答、ありがとうございます。同時に返答が遅くなりまして申し訳ありませんでした。私、透析患者でして仕事が終わってから病院に行っていたものですから、今までお返事ができませんでした。失礼いたしました。

VPNセッションの確立とファイル共有の可否は別問題であるという事、よくわかりました。詳細なご説明、ありがとうございました。

VPNの方式はIPsecではなくPPTPですが、そんなに大きな違いはないと思いますので、ご教示に従って設定を見直してみます。とりあえず今試した事はセキュリティソフトをOFFにして接続を試みましたが、やはりダメでしたので他に原因がありそうです。

とりあえず御礼かたがたコメントを上げておきます。
申し訳ございませんが、nnori7142さんさえよろしければもう少しお付き合い下さいませ。

(追加情報)
NTTのセキュリティ対策ツール:TrendMicro社製 Ver.8
本社NASのOS:Linux(こちらはWindows10でも接続可能)
工場のServer:Windows2008 Server
VPNの方式:PPTPによるInternetVPN

投稿日時 - 2015-12-09 23:23:22

ANo.3

 Windows10のSMB1.0のプログラム適用の件については、問題なかったと言う事ですね。

 そうすると、Windows10-HOMEと言う事は、どちらかの家庭用パソコンの家電流通品との認識で判断すると、そのパソコンに不要なセキュリティソフトが適用されており、VPN環境に適切なセキュリティ透過の設定をされていない場合が想定されます。

 一般的には、そのアクセスしますパソコンのセキュリティソフトのファイアーウォール機能、特にSMB通信ポート制限(TCP137~139、TCP445など)の許諾する設定、ローカルIPとリモートIPそれぞれポート許諾設定を投入しませんと、ファイル共用アクセス出来ないかと存じます。

 Windowsファイアーウォール機能においても、詳細設定でのTCP137~139、TCP445番の許諾ルール追加を確認下さい。

投稿日時 - 2015-12-09 14:41:39

補足

当方の情報提示が不足しているようにも思えますので、詳細に記します。

自PC:DELL Optiplex7020/Windows7 Pro 64bit
本社Router:YAMAHA RT58i
本社NAS:Buffalo LS410D66B
自宅PC:DELL Inspiron530(Windows7 Pro)
自宅PC:DELL XPS8900(Windows10 Home)
自宅セキュリティソフト:NTT提供のセキュリティ対策ツール(7/10共に)
VPN接続方法:
本社と工場にRT58iを置き、両者はLAN間接続で常時VPN接続。自宅からはそれぞれのRT58iに対してWindows標準のVPNクライアントで接続する。方式はユーザーIDとPasswordでのAnonymous接続で、RT58iがリモートアクセスVPNサーバ。PPTP暗号鍵生成の認証方式はMS-CHAP v2を使用。
「暗号化できなければ接続を切断する」に指定。

VPN自体はWindows10でも確立できているので、その状態では自PCからは自宅PCは同じNetwork上(同じセグメント上)に存在するPCに見えているはずです。当然pingも通ります。

この状態で、ネットワークドライブとして割り当てができない、という事なのです。

投稿日時 - 2015-12-09 16:05:57

お礼

再度のご回答、本当にありがとうございます。

ポートのアウトバウンド/インバウンドの設定、及びWindowsファイアウォールの許諾ルールの設定ですが、ここが正しく設定されていなければVPNのセッション確立そのものが成立しないのではないでしょうか?

質問文内にありますように、自PCと同じセグメント内にあるNASにはWindows10でも接続できております。ただ自PCに接続できないだけなのです(ここで言う「接続」とはネットワークドライブとして割り当てする、という意味です)。

投稿日時 - 2015-12-09 16:02:23

ANo.2

 お尋ねの件ですが、Windows10の場合ファイル共有プロトコルである、SMBのクライアント・バージョンが上がっております。
 デフォルトでは、旧規格のSMBプロトコル機能はインストールされませんので、コントロールパネル→プログラム→「Windows の機能の有効化または無効化」→SMB 1.0/CIFS ファイル共有のサポートにチェック投入されているか確認願います。

 更に言えば、通常のSMBでのファイル共用ではなく、Active-Directory管理の場合には、Windows10Proのマイグレーションが必要です。

 サーバ側のファイル共用機能の管理バージョンが、どちらのバージョンか確認する必要も有るかと考えます。
 

投稿日時 - 2015-12-09 08:22:33

お礼

回答ありがとうございます。件のSMB 1.0/CIFS ファイル共有のサポートにはチェックが入っております。また上述いたしましたが、Active Directoryは利用しておらずWorkGroup管理です。そして接続先(職場の自PC)はWindows7 Proですので旧タイプと思われます。

投稿日時 - 2015-12-09 08:50:09

ANo.1

Win10だからではなくエディションの違いによるもの(ProとHome)
という話だったりしませんか?

環境がわからないので何とも言えませんが
ドメイン管理の関係ではじかれてるとか

投稿日時 - 2015-12-08 23:00:22

お礼

回答ありがとうございます。VPNクライアントはWindows標準のものを利用していますので、ProとHomeは関係なく接続できると思うのですが。。
それとActive DirectoryではなくWorkGroupですので、ドメインの問題とは考えにくいと思っております。。

投稿日時 - 2015-12-09 08:43:13

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-