WINDOWS11 24H2の罠その12

24H2罠シリーズの12ですｗ　前回のはこんな感じですｗ

24H2罠シリーズの11ですｗ　前回のはこんな感じですｗ前回の検証で、23H2で完璧にDCにログオンでき、かつ、AD配下のリソースへのアクセスができることを設定を逐次変更しながら確認し、うまくいったわけですが、その後、24H2において23H...

さて、AD環境を捨てWORKGROUPにするとしても、24H2によるセキュリティ上の変更、強化は結構な影響があります。おそらくどなたも経験しているのは、

NASで共有していたファイルにアクセスできなくなった！

というものではないでしょうか？これについては、至る所で情報が出されていますが、今一度まとめておきますと、

方法１：「設定した共有フォルダに対してアクセス権のある共通のユーザーアカウントを作っておく」
この方法をとる場合には、事前にネットワーク資格情報に、アカウントとパスワードを設定しておくことで自動的にアクセスできるのですが、WORKGROUPですので、各クライアントPCごとに、同じアカウントとパスワードを設定しておく必要もあって、結構面倒だったりします。

方法２：「セキュリティ設定を23H2までの状況に戻す（緩くする）」
HOMEとPROでは方法が違うのですが、PROで説明します。PROの場合ですと、ローカルグループポリシーエディタ（gpedit.msc）により以下の項目を設定します。

[コンピューターの構成][管理用テンプレート][ネットワーク][Lanmanワークステーション]

「安全ではないゲストログオンを有効にする」→有効（デフォルトは無構成）

[コンピューターの構成][Windowsの設定][セキュリティの設定][ローカルポリシー][セキュリティオプション]

「Microsoft ネットワーククライアント：常にデジタル署名を行う」→無効

おそらく、この２つの方法が紹介されている内容だと思います。

ところが、たぶん、これだけではダメな気がします。特に、新しいPCを購入して24H2になっていたり、これまで使っていたPCを24H2でクリーンインストールした場合には、上記の方法をとっても、思ったような動きにはならないと思います。

いろいろ試してみたのですが、弊社は以下の２つの設定も追加しております。

１．クライアントPC側のSMBクライアントの有効化
古いNASが存在している場合、現在のSMBクライアントのバージョンではダメな場合があります。

SMB1.0のシステムを機能追加でインストールしておくと対応できる場合があります（新しいNASではなくても問題ないとは思います）。

２．パスワード保護共有の無効設定
実は、弊社でWORKGROUPにした際に、24H2のクライアントPCで最後まで残った問題が、資格情報を常に聞いてくることだったのです。設定してもです。実は、これは当然の動きで、24H2のクライアントPCの資格情報にはいわゆるゲストアカウントに関しての資格情報が登録されているわけではないのです。さらに、AD環境では、DC側にGuestアカウントが設定されていたため特段問題はなかったのですが、24H2のクライアントPCで、特段ユーザーを設定していない（everyone）の共有フォルダへは、そもそもクライアントPCのゲストアカウントは無効化されているわけですので、パスワードの保護共有を無効にしなければ常に資格情報を聞いてくることになるわけです。もちろん、共有フォルダに社員全員が使う共有アカウント（例えば、ユーザー名：NASACC、PW：1234とかｗ）があれば、それを資格情報に登録すればいいのですが、台数が多くなるとメンドクサイのでゲストアカウントでのフルアクセスを認めるってわけです。この件についての設定方法は、大塚商会さんのホームページで細かく解説されていますので、ご参照ください。

[Windows 11] パスワード保護共有の無効設定 (22H2以降)

まとめですが、AD環境を捨てるというのは、ユーザーやコンピュータに関する管理をDC（ドメインコントローラ）で一元管理することを捨てるのと同義なわけで、１０台クライアントPCがあれば、１０台個別にアクセス権を管理していくことになるというわけです。

AD環境であれば、DomainUserなどのグループで一元的にアクセス権を与えたりすることもできるので便利だったわけですが、そもそも、クライアントPCからDCに向けた通信でセキュリティが変更されており、古いサーバーOSだと認証に失敗するというのが今回の問題の根底にあるものです。

今回紹介した方法は、クライアントPC側のセキュリティレベルを下げることにもなるので、外部からのファイル持ち込みなどでマルウェアやウィルスに感染するリスクが怖いとなれば、あまりお勧めできるような内容ではありませんが、とにかく、24H2での問題回避をしなければならないのであれば、一時的にでもとる方法としてはアリだと思います。

あと、番外編として「SQL Server」に関する設定もちょっと確認が必要になります。ぶっちゃけ、１時間ほど嵌りましたｗｗｗ　SQL SeverをWINDOWS 24H2に導入する場合、「ポートの開放」が必要になります。デフォでは、SQL Serverが使うポートは閉じられています。WINDOWS SERVERなどのOSではインストール時に処理されるようですが、SQL Server Expressなどの簡易版をServer OSではないPCにインストールして使う場合にはこの現象に遭遇します。たぶん会計ソフトなんかでSQL Serverを利用しているものでは、結構問題になるんじゃないかな？って思います。

詳しい解説は以下のURLをご参照ください。ポイントは、TCP1433とUDP1434の開放です。

[SQLServer] SQL Serverへ別PCから接続できるようにする

SQL Serverを導入するときに別PC（クライアント側）からDBにリモート接続する方法についての備忘録。

このサイトでは、SQL Serverの指定を、IPアドレス\（インスタンス名、デフォはSQLEXPRESS）で書くように指示されてますが、NetBIOS名（コンピュータ名）でのアクセスで問題ありませんでした。たぶんですが、IPアドレスでしかアクセスできない場合には、単に、DNSの問題だと思うので、HOSTSファイルなどで工夫すると問題ないかもしれません。

というわけで、OSのアップデートで問題になって、業務が滞るとマジでイラっときますので、なにか少しでも参考になればという感じで書き留めておきます♪