ノートPCを新規購入したのですが、Windows11 24H2が入っており、自宅NAS(Samba3 ubuntu)にアクセスできない問題に遭遇しましたので対処しました。
※更新情報:11/14頃のwindows updateより「常に通信にデジタル署名を行う」のデフォルト値が「無効」に修正されたようです。NASのゲストアクセスには「ゲストログインの有効化」修正のみで対応できるように改善されました。
障害状況
Windows11 24H2のPCから既存ファイルサーバーに接続すると、以下のようなダイアログがでて接続ができません。
Windows11 23H2やWindows10マシンでは接続できます。
また診断をクリックしても有用な情報は何も出てきません。
原因
Windows11 24H2ではセキュリティが強化され、SMB署名が必須になりました。
そのため、ゲストユーザーで運用しているNASはファイルアクセスができなくなります。
対処
Windows11側のグループポリシーで設定修正を行うことにより、アップデート前(23H2)と同じセキュリティレベルに戻せます。
Windows AD環境では「ゲストログオンを有効」のみでアクセスできる環境もあるようですが、筆者が構築したSamba3 NASの場合はゲストアクセスを認めない設定にしただけでは接続できませんでした。(SAMBAユーザーアカウントの設定が必要と思われます)
多くの市販NASにおいては、Linux SAMBAをベースにしていると思いますので、手っ取り早くアクセス可能にするためにはWindows PC側の「ゲストログオンを有効にする」、「デジタル署名を無効にする」のグループポリシー設定変更によりアクセスする必要があるように思います。
ゲストログオンを有効にする
- キーボードの[Windows]キーを押しながら[R]キーを押します。
- 名前欄に「gpedit.msc」と入力後に[OK]をクリックします。
- 次の順番で展開します:[ローカル コンピューター ポリシー]→[コンピューターの構成]→[管理用テンプレート]→[ネットワーク]→[Lanman ワークステーション]
- ウィンドウ右側の[安全ではないゲストログオンを有効にする]をダブルクリックします。
デジタル署名を無効にする
- キーボードの[Windows]キーを押しながら[R]キーを押します。
- 名前欄に「gpedit.msc」と入力後に[OK]をクリックします。
- 次の順番で展開します:[ローカル コンピューター ポリシー]→[コンピューターの構成]→[Windows の設定]→[セキュリティの設定]→[ローカル ポリシー]→[セキュリティ オプション]
- ウィンドウ右側の[Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う]をダブルクリックします。
- [無効]にチェックを入れて[OK]をクリックします。
グループポリシーを適用する
設定が完了したらパソコンを再起動して、NASにアクセスできることを確認してください。
再起動ができない場合は、コマンドプロンプトからgpupdate /forceでも良いです。
Windowsの年次Updateは要注意
WindowsアップデートでSamba NASにアクセスできなくなるとは参りました。
23H2のグループポリシーを確認してみたところ、Lanmanワークステーションのポリシーがかなり変わっており、相当の仕様変更が行われていることがわかります。
企業でもサードパーティー製のファイルサーバーを使っている方は多いと思いますので、困惑される人も多いと思います。
5-6年前にも古いWindows Serverにリモートデスクトップできない事象が発生したときも、リモート業務ができなくなり緊急対応したことが思い出されます。
セキュリティのためとはいえ、既存環境をもう少し考慮してもらいたいものです。