ネット経由でリモートデスクトップ接続（ドメイン内）

自宅PCから社内のPCへリモートデスクトップ接続を行おうとしていますが、うまくいきません。
（会社の許可はもらっております。）
エラー内容は
　「リモートデスクトップはリモートコンピューターに接続できません」

社内にはA、Bの2台PCがあります。
うまく接続できないのは、自宅PCからBに対してです。

[自宅側]
自宅PC（Windows7 32bit workgroup)

[社内LAN　グローバルIPは固定]　
※ルーターにて（ポート3389→192.168.0.101）
A（Windows7 32bit workgroup IP:192.168.0.100)
B(Windows7 64bit domain IP:192.168.0.101）


以下の二通りについては、問題なくリモートデスクトップで接続できました。
・自宅PC→A（この時はルーターの設定を192.168.0.100に変更)
・A→B

自宅PC→Aでつながっているので、ADユーザーの権限辺りが怪しいのかなと考えて、権限を
いじってみましたが、結果ダメでした。

現在Bのログインユーザーは、
・Administrators
・Domain　Admins
・Domain　Users
・Remote Desktop　Users
が所属グループになっています。

どなたか、造詣が深い方いらっしゃったらご教授お願いします。

No.3 ベストアンサー 回答者： Lchan0211b 回答日時： 2013/11/07 15:17

メッセージの内容からすると、やはりAD周りの認証の話ではなく、

コネクション接続レベルの話だと思います。

PC-BのWindowsファイアーウォール設定やセキュリティソフトの設定で
LAN内からのリモートデスクトップ接続は許可するけど、
LAN外からのリモートデスクトップ接続は拒否するような
設定になっていないか確認してみてください。

あと、Windowsファイアーウォールやセキュリティソフトで
パケット通過ログを採取できますので、それを確認すれば
リモートデスクトップ接続の着信がPCまで来ているか
どうか切り分けできると思います。

また、イベントビューアーで、
アプリケーションとサービスログ - Microsoft - Windows の
TerminalServices-LocalSessionManager/Operationalや
TerminalServices-RemoteConnectionManager/Operationalに
リモートデスクトップの接続/切断状況が記録されていますので
そのログも参考になると思います。

それと、ポート番号3389は、リモートデスクトップ接続のデフォルト
着信ポート番号ですので、別のポート番号に変更して使用することを
強くお勧めします。
(参考)
http://rinux.jp/2012/07/20/%E3%83%AA%E3%83%A2%E3 …

もし仮に将来リモートデスクトップで重大な脆弱性が発見されたら
ポート番号3389をオープンしているPCが片っぱしから狙われますよ。
脆弱性がなくても、今世界中の誰でもあなたの会社のPCのログイン画面
を表示してログインをトライできる状態になってます。
本来はNo.2さんがお勧めしている通り、VPNを使用すべきだと思います。
(参考)
http://itpro.nikkeibp.co.jp/article/NEWS/2011090 …

この回答へのお礼

レスありがとうございます。
おかげさまで無事解決いたしました。

原因は、ご指摘の通りの部分で初歩的な設定ミスでした。

>LAN内からのリモートデスクトップ接続は許可するけど、
>LAN外からのリモートデスクトップ接続は拒否するような
>設定になっていないか確認してみてください。
→LAN内外で共通の設定だと思っていたのですが別々に存在しておりました。

>それと、ポート番号3389は、リモートデスクトップ接続のデフォルト
>着信ポート番号ですので、別のポート番号に変更して使用することを
>強くお勧めします。
→はい。おっしゃる通りで、ポートは変更済みです。
ただ、下記の通りVPNの導入を検討してみます。

>もし仮に将来リモートデスクトップで重大な脆弱性が発見されたら
>ポート番号3389をオープンしているPCが片っぱしから狙われますよ。
>脆弱性がなくても、今世界中の誰でもあなたの会社のPCのログイン画面
>を表示してログインをトライできる状態になってます。
>本来はNo.2さんがお勧めしている通り、VPNを使用すべきだと思います。
→分ってはいた事なのですが、改めて文章として読んでみるとやはり怖い気がしてきました。
ソフトウェアVPNで何か探してみます。

セキュリティーに関しても、アドバイス頂き助かりました。
ありがとうございました^^

お礼日時：2013/11/07 19:59

No.2 回答者： koi1234 回答日時： 2013/11/06 18:55

No1　です

本題とはそれた内容になってしまい申し訳ありませんが
＞何か良い代替案があれば教えて頂けると助かります。
VPNなどを構築された方がいいのではないでしょうか
（直接リモート接続公開よりもVPN介して方が多いのではないかと思います）

この回答へのお礼

ありがとうございます。

VPNもセキュリティーを考えれば良い案ですよね。
新規で、このような前提でネットワークを構築したいということであれば
私もVPNを薦めると思います。

今回のケースでは、自宅と会社なのでハードウェア的なVPNの構築は厳しいので
やるとしたらソフトウェアVPNで、UT-VPNなんかを使うのもありかもしれませんね。
ただ接続するだけだったらそれほど難しくないのですが・・・設定が難しくて
セキュリティー的に自信を持って設定ができないので手を出していません。

お礼日時：2013/11/06 19:38

No.1 回答者： koi1234 回答日時： 2013/11/06 16:52

回答ではないです

そういった確認はきちんとされてはいると思うのですが念のため
・PC A/B共にサーピスポートも 3389 に変更している
・自宅からは　グロールIP:3389 に対して接続していて PC Aへの転送設定では問題ない

上記満たしたうえで　会社のルータの転送設定をPC A から
PC B に変更しただけなのにつながらない

・自宅PCからはグローバルIP:3389 でアクセスしている
ということでいいですか？(どこか間違ってるとこありますか？）

エラーメッセージ的にはサービスが起動していないから接続できないといったときに
表示されるものでありOS認証以前の問題のはずです

話変わりますが
ポート変更しているとは言ってもそれだけでネット上にリモートサービス
後悔しちゃうのはセキュリティとしてちょっと弱いんではないでしょうか

この回答への補足

koi1234さん、レスありがとうございます。

確認されている内容については、おっしゃる通りで間違いありません。


>ポート変更しているとは言ってもそれだけでネット上にリモートサービス
>公開しちゃうのはセキュリティとしてちょっと弱いんではないでしょうか

エンドユーザーさんで、1年ほどかけてパスワードを解析された例も実際にありましたので、おっしゃる通りだと思います。
一応、パスワードは10文字以上の英数大小文字・記号・数字を含めたものに設定してはおります。
利便性とセキュリティーは相反する部分が大きいので難しいところです。
ルータのポートも長期的に使わないときは塞ぐようにはしています。
逆に、何か良い代替案があれば教えて頂けると助かります。

補足日時：2013/11/06 17:50