none
グループポリシーでリモート管理の例外を許可しているのに、リモート接続出来ないです。 RRS feed

  • 質問

  • お世話になります。
    http://www.atmarkit.co.jp/fwin2k/win2ktips/570remadmin1/remadmin1.html
    を参考に、クライアントにリモートデスクトップ接続出来るよう、グループポリシーを設定しました。
    ドメインプロファイルの「グループポリシーでリモート管理の例外を許可する」「リモート デスクトップの例外を許可する」を有効にし、スコープを*にしました。

    クライアント(XP Pro)に設定が反映しているか確認した所、
    ・ファイヤーウォールの設定画面の例外タブのリモートデスクトップの部分はグレイアウトして、チェックが入った状態で、
     編集画面ではTCP3389で任意のスコープになっていました。
    ・マイコンピューターのリモートタブでは、「このコンピューターにユーザーがリモートで接続することを許可する」にチェックが入っており、グレイアウトでした。
    ・コマンドプロンプトのnetsh>firewall>show statでは
     プロファイル=Domain
     リモート管理モード=Enable になっており、
     135と445と3389ポートが開いていました。

     Webで調べた所、この状態になっていればOKのようなのですが、リモートデスクトップ接続をしようとした所「このコンピュータはリモートコンピュータに接続できません。」と言われてしまいました。
     試しにクライアントのファイアウォールを無効にした所、リモートデスクトップが出来ました。

     個々のPCに対してadmin権限でリモートデスクトップの設定をしていけば接続出来るのですが、出来ればグループポリシーで管理してしまいたいです(windowsupdateで意図しないタイミングでファイアーウォールが閉じてしまったという話を聞くので)。

     3389以外に開かなければいけないポートがあるのでしょうか?
     また、何か確認しなければいけない事があれば、ご教示願えないでしょうか?

    2009年12月11日 2:56

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    接続される側の基本設定としては、リモートデスクトップを許可して、TCP:3389 をオープンすれば大丈夫なはずなんですが。。。

    念のために以下の内容をご確認ください。

    -- 接続される側で確認 --
    ・「例外を許可しない」 にチェックが入っていないか。
    ・"netstat -ano" のコマンドを実施して、TCP:3389 が LISTENING になっているか。
    (待ち受けポートが変更されている可能性もあります。http://support.microsoft.com/kb/306759/ja
    ・AD のポリシーではなく、ローカル上で手動でファイアウォールの例外設定を行ってどうか。
    ・DOMAIN プロファイルだけではなく、STANDARD プロファイルにも同じような例外設定を行ってどうか。

    -- 接続する側で確認 --
    ・認証画面は表示されるのか。
    ・ホスト名でのアクセスと IP アドレスでのアクセス、両方とも同じ結果か。

    可能であればネットワークモニタを使用して、やり取りの内容を確認されるのも良いかもしれません。

    追記:
    ちなみに、クライアント(XP Pro) とは "接続する側" ですか "接続される側" ですか?
    「クライアントにリモートデスクトップ接続出来るよう」 とのコメントがありましたので、XP が接続される側と認識してご案内しています。


    それでは、こちらの情報が少しでもお役に立てれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年12月17日 5:51
    モデレータ

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    接続される側の基本設定としては、リモートデスクトップを許可して、TCP:3389 をオープンすれば大丈夫なはずなんですが。。。

    念のために以下の内容をご確認ください。

    -- 接続される側で確認 --
    ・「例外を許可しない」 にチェックが入っていないか。
    ・"netstat -ano" のコマンドを実施して、TCP:3389 が LISTENING になっているか。
    (待ち受けポートが変更されている可能性もあります。http://support.microsoft.com/kb/306759/ja
    ・AD のポリシーではなく、ローカル上で手動でファイアウォールの例外設定を行ってどうか。
    ・DOMAIN プロファイルだけではなく、STANDARD プロファイルにも同じような例外設定を行ってどうか。

    -- 接続する側で確認 --
    ・認証画面は表示されるのか。
    ・ホスト名でのアクセスと IP アドレスでのアクセス、両方とも同じ結果か。

    可能であればネットワークモニタを使用して、やり取りの内容を確認されるのも良いかもしれません。

    追記:
    ちなみに、クライアント(XP Pro) とは "接続する側" ですか "接続される側" ですか?
    「クライアントにリモートデスクトップ接続出来るよう」 とのコメントがありましたので、XP が接続される側と認識してご案内しています。


    それでは、こちらの情報が少しでもお役に立てれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年12月17日 5:51
    モデレータ
  • 新米管理者 さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    新米管理者 さんがこちらの質問を投稿されてから少し時間が経ちましたが、弊社の三沢健二の回答はご確認いただけましたでしょうか?

    新米管理者 さんの現在の状況が気になるところなのですが、今回、確認ポイントとして、弊社の三沢の回答が参考になるのではないかと思いましたので、勝手ながら、ひとまず私の方で [回答としてマーク] のチェックを付けさせていただきました。
    もし新米管理者 さんの方でまだ疑問が残っているような場合には、お気軽に [回答としてマーク] のチェックを外して返信してください。
    なお、その際には、弊社の三沢が紹介しました項目をご確認いただいた結果や、現在の状況も教えていただけると嬉しいです。 (^^)

    今後とも、TechNet フォーラムをよろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年1月14日 9:13