Windows2008R2へのリモートデスクトップ

先日Windows2008サーバーR2が納品され、リモートデスクトップ接続を試みましたが、「アクセスが拒否されました」と表示され、ログオンが出来ない状態です。
解決方法をご存知の方がいらっしゃいましたらご教授願います。

接続しようとしているクライアント側は、ＸＰのＳＰ３、Vistaです。

ちなみに、ローカールサービスポリシーマネージャーの設定等はやってみましたが変化無しです。

デフォルトでは、ライセンスとかが無いようですが、Windows2003サーバーの様に無償とかでは無いのでしょうか？
それが無いと出来ない？？

No.5 回答者： e3tatsu 回答日時： 2011/09/13 20:56

ファイアウォールでブロックされていませんか？

3389/tcpは開けていますか？

この回答への補足

回答有難うございます。
残念ながら、空けてあります。

補足日時：2011/09/14 08:14

No.4 回答者： maesen 回答日時： 2011/09/13 18:00

なかなか厳しい状況ですね。

申し訳ありませんが一つ記載にミスがありました。
監査の設定ですがログオンしたいユーザーがドメインユーザーなので、監査の設定はドメインコントローラに対しても設定しないと全ての情報は取れないです。
具体的にはDomain Controllers OUに対して監査を設定したポリシーをリンクする必要があります。
もちろんログはDCのセキュリティログに取られます。

また、思いつきで申し訳ありませんが、該当サーバがドメインコントローラでなければのローカルユーザーではリモートデスクトップ接続はどうなるかで多少切り分けになるかもしれません。

私のところに質問者さんと同じような環境もありますが、（DCが2003でそのメンバサーバとして2008 R2がある）特別なことはせずに2008 R2にリモートデスクトップ接続が出来ています。

今まで提示して頂いた情報を見る限りは、なんらかのセキュリティポリシーが影響しているような気がするのですが。。。

この回答への補足

該当サーバーはＤＣではありません。
ローカルユーザでのリモートデスクトップは、
サーバー名\ローカルＩＤ
パスワード
で行うと、やはり同じようになります。
アクセスが拒否されました。「ＯＫ」ボタン。
です。

補足日時：2011/09/14 08:18

No.3 回答者： maesen 回答日時： 2011/09/13 09:03

この辺をチェックしてみたらという項目を挙げてみます。

ちょっとレベルが低いことも書いていますがご了承ください。

＞２００３のＡＤ環境を使用してまして、そのドメインの管理者ＩＤを問題のサーバーにAdministratorsに所属させ、そのＩＤでＸＰからリモートデスクトップを試みています。

ドメインの管理者IDというのは、Domain Adminsグループに所属しているドメインユーザーのような感じでしょうか。

そのユーザーを使用してコンソールからローカルログオンが出来ますでしょうか。

また、ドメインのadministratorユーザーではリモートデスクトップログオンはどのような結果になりますでしょうか。

他にリモートデスクトップ接続を受けられる機器があれば、同じクライアントから同じユーザーを使用してログオンがどうなるか。

DCで設定しているグループポリシー又はローカルグループポリシーの
「ローカルポリシー」－「ユーザー権利の割り当て」または「セキュリティオプション」にリモートデスクトップによるログオンを阻害しているものはありませんか。
（各ログオンの許可／拒否に関する部分を中心にチェック）

ログオン時、ユーザー名を入力する際に、「ドメイン名\ユーザー名」の形式で記述していますでしょうか。

該当サーバに「アカウントログオンイベントの監査」と「ログオンイベントの監査」に成功・失敗に設定し、セキュリティログでアクセス拒否の経緯をログでチェックする。
（設定はローカルポリシーでいいでしょう）

気が向いたら確認してみたらどうでしょうか。

この回答への補足

度々有難うございます。
>レベルが低い
とんでもありません。こちらこそレベルが低くて恐縮です。

>ドメインの管理者IDというのは、Domain Adminsグループに所属しているドメインユーザーのような感じでしょうか。
はい、その通りです。

>そのユーザーを使用してコンソールからローカルログオンが出来ますでしょうか。
はい、出来ます。

>また、ドメインのadministratorユーザーではリモートデスクトップログオンはどのような結果になりますでしょうか。
最初の質問通り、同じ結果になります。

>他にリモートデスクトップ接続を受けられる機器があれば、同じクライアントから同じユーザーを使用してログオンがどうなるか。
別の２００３サーバーなどには問題なくリモートデスクトップ接続出来ています。

>DCで設定しているグループポリシー又はローカルグループポリシーの
「ローカルポリシー」－「ユーザー権利の割り当て」または「セキュリティオプション」にリモートデスクトップによるログオンを阻害しているものはありませんか。
ＤＣの設定では、リモートデスクトップに対しシャットダウンの項目はあったのですが、それ以外のリモートデスクトップに関すような項目は見当たりませんでした。

>ログオン時、ユーザー名を入力する際に、「ドメイン名\ユーザー名」の形式で記述していますでしょうか。
はい。通常はこの形式で使用しております。

セキュリティログに関して
設定を行って全てのログを取得し、リモートデスクトップ接続を試みました。
結果、ログには、「成功」のログしか発生していません。
内容を見ると、正常にログオンしたというログが２つ出て、その後にログオフされたログが１つ出ています。
ログのみを見た限り、サーバーでは正常にログオン出来ていると認識され
、端末側ではアクセス拒否となっています。
こんなことがあるんでしょうか・・・。

補足日時：2011/09/13 10:22

No.2 回答者： Microstar 回答日時： 2011/09/12 21:15

リモートデスクトップ機能を有効にしないと、接続できません。

接続用ライセンスも接続方法も２００３とは変わらないです。

ＡＤはあまり関係ないです。

この回答への補足

回答有難うございます。

「リモートデスクトップ機能を有効にしないと」
とありますが、
ＩＰ又はコンピューター名を入れて、ＩＤとパスワード入力画面に移行し、枠は出ますのでリモートデスクトップ機能は稼動していると思いますし、サービスも確認済みで開始されています。
枠の中に、アクセスが拒否されましたのメッセージと、すぐ下にＯＫボタンだけの画面になります。ＯＫボタンを押すと終了してしまいます。

補足日時：2011/09/13 07:34

No.1 回答者： maesen 回答日時： 2011/09/12 15:49

＞デフォルトでは、ライセンスとかが無いようですが、Windows2003サーバーの様に無償とかでは無いのでしょうか？

＞それが無いと出来ない？？

管理目的で2セッションまでの接続は無償というのはWindows Server 2008 R2でも同じです。
設定もWindows Server 2003と大きな違いはないはずです。

単純にアクセス権限ということはありませんか？
該当ユーザーがそのサーバのAdministrators グループかRemote Desktop Users グループのメンバである必要があります。

また、NLA(ネットワークレベル認証)の設定の問題ということはありませんか？

この回答への補足

早速の回答有難うございます。
ご質問への補足です。

２００３のＡＤ環境を使用してまして、そのドメインの管理者ＩＤを問題のサーバーにAdministratorsに所属させ、そのＩＤでＸＰからリモートデスクトップを試みています。
ＮＬＡも疑って、最低レベルにしてありますが解決しません。
Windows７では無いとダメかとも考え、試してみましたが同様です。

補足日時：2011/09/12 16:23