Windows10および11から共有フォルダーにアクセスしたりネットワークドライブをマップしたりできない

NAS、Samba Linuxサーバー、Windows 10または11のレガシーWindowsバージョン（Windows 7 / XP / Server 2003）を搭載したコンピューターでネットワーク共有フォルダーを開いたりマップしたりできない場合は、SMBのレガシーバージョンと安全でないバージョンが問題である可能性があります。現在のWindowsビルドではプロトコルが無効になっています（WindowsではSMBプロトコルを使用して共有ネットワークフォルダーとファイルにアクセスします）。

Microsoftは、最近のすべてのバージョンのWindowsでSMBプロトコルのレガシーバージョンと安全でないバージョンを体系的に無効にしています。 Windows101709およびWindowsServer2019（DatacenterエディションとStandardエディションの両方）以降、安全でないSMBv1プロトコルはデフォルトで無効になり、ネットワーク共有フォルダーへの匿名（ゲスト）アクセスも無効になります。

実行する具体的な手順は、共有フォルダーにアクセスするときにWindowsに表示されるエラー、およびネットワーク共有をホストするリモートSMBサーバーの設定によって異なります。

セキュリティポリシーが認証されていないゲストアクセスをブロックしているため、共有フォルダにアクセスできません

Windows10ビルド1709FallCreators Update（EnterpriseエディションおよびEducationエディション）以降、ユーザーは、隣接するコンピューターでネットワーク共有フォルダーを開こうとすると、エラーが発生したと不満を漏らし始めました。

Restoring Network Connections
An error occurs when you try to open a network folder:
An error occurred while reconnecting Y: to \\nas1\share
Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

さらに、Windows 8.1、Windows 7、または最大1709のビルドのWindows 10を搭載した他のコンピューターでは、同じ共有ネットワークフォルダーが正常に開きます。重要なのは、最新バージョンのWindows 10（ビルド1709+）では、SMBv2プロトコルを使用した共有フォルダーへのゲストアクセスがデフォルトで無効になっていることです。ゲスト（匿名）とは、認証なしで共有ネットワークフォルダにアクセスすることを意味します。 SMBv1 / v2プロトコルを介してゲストアカウントでネットワークフォルダーにアクセスする場合、SMB署名や暗号化などのトラフィック保護の方法は使用されないため、セッションはMiTM（man-in-the-middle）攻撃に対して脆弱になります。

これらの変更はWindows10Homeエディションには適用されず、ゲストアカウントでのネットワークアクセスは正常に機能しています。

ゲストアカウントでSMBv2プロトコルを使用して共有ネットワークフォルダーを開こうとすると、コンピューター（SMBクライアント）のイベントビューアーに次のエラーが表示されます。

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient
Event ID: 31017
Rejected an insecure guest logon.

このエラーは、コンピュータ（クライアント）がGuestアカウントで認証されていないアクセスをブロックしていることを示しています。

ほとんどの場合、古いNASデバイスにアクセスするとき（通常はセットアップを簡単にするためにゲストアクセスが有効になっています）、または匿名（ゲスト）でレガシーWindows 7/2008 R2 / Windows XP/2003デバイスで共有フォルダーを開くときにこの問題に直面する可能性がありますアクセスが有効になっています（さまざまなWindowsエディションでサポートされているSMBプロトコルバージョンの表を参照してください）。

共有ネットワークフォルダーをホストするリモートコンピューターまたはNASデバイスの設定を変更することをお勧めします。ネットワーク共有をSMBv3モードに切り替えることをお勧めします。または、SMBv2プロトコルのみがデバイスでサポートされている場合は、認証を使用してアクセスを構成します。これは、問題を解決するための最も正確で安全な方法です。

共有フォルダが保存されているデバイスでゲストアクセスを無効にします：

• NASデバイス – NASデバイスの設定でゲストアクセスを無効にします（ベンダーとモデルによって異なります）。
• Linux上のSambaサーバー — Linux上のSambaとネットワークフォルダーを共有している場合は、[グローバル]セクションのsmb.conf構成ファイルに次の文字列を追加します。map to guest = never
  そして、共有フォルダ構成セクションで匿名アクセスを制限します： guest ok = no
• Windowsでは、 [コントロールパネル]->[ネットワークと共有センター]->[詳細な共有設定]を使用して、パスワードで保護されたネットワークフォルダーとプリンターの共有を有効にできます。 [パスワードで保護された共有]セクションのすべてのネットワークで、値を[パスワードで保護された共有をオンにする]に変更します。 。この場合、ネットワーク共有フォルダーへの匿名（ゲスト）アクセスは無効になり、ローカルユーザーを作成し、共有フォルダーとプリンターへのアクセス許可を付与し、これらのアカウントを使用してリモートコンピューター上の共有フォルダーに接続する必要があります。 。

別の方法があります。Windowsデバイスの設定を変更して、ゲストアカウントの共有ネットワークフォルダーにアクセスできるようにすることができます。認証なしでフォルダにアクセスするとコンピュータのセキュリティが大幅に低下するため、この方法は一時的な回避策としてのみ使用する必要があります（!!!）。

コンピューターからゲストアクセスを有効にするには、グループポリシーエディター（gpedit.msc）を使用する必要があります ）。 [コンピューターの構成]->[管理用テンプレート]->[ネットワーク]->[Lanmanワークステーション]のセクションに移動します。 ポリシーを見つけて有効にします安全でないゲストログオンを有効にします。 このポリシーオプションは、SMBクライアントがSMBサーバーへの安全でないゲストログオンを許可するかどうかを決定します。

次のコマンドを使用して、Windowsのグループポリシー設定を更新します。

gpupdate /force

ローカルGPOエディターがないWindows10Homeでは、レジストリエディターを使用して同様の変更を手動で行うことができます。

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1

または次のコマンドを使用します：

reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f

ファイル共有は安全ではなく、廃止されたSMB1プロトコルが必要なため、ファイル共有に接続できません

Windows 10からネットワークフォルダーにアクセスするときに考えられるもう1つの問題は、サーバー側でSMBv1プロトコルバージョンのみがサポートされていることです。 Windows 10 1709以降では、共有フォルダーを開いたりネットワークドライブをマップしたりしようとすると、SMBv1クライアントがデフォルトで無効になっているため、エラーが発生する場合があります。

You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.

この場合、ローカルネットワーク上に隣接するコンピューターが表示されない場合があり、UNCパスで共有フォルダーを開くとエラー0x80070035が表示される場合があります。

エラーメッセージは、ネットワーク共有フォルダがSMBv1クライアントアクセスプロトコルのみをサポートしていることを明確に示しています。この場合、少なくともSMBv2を使用するようにリモートSMBデバイスを再構成する必要があります（正しく安全な方法）。

LinuxでSambaサーバーを使用してファイルを共有する場合は、次のようにsmb.confファイルでサポートされているSMBプロトコルの最小バージョンを指定できます。

[global]
server min protocol = SMB2_10
client max protocol = SMB3
client min protocol = SMB2_10
encrypt passwords = true
restrict anonymous = 2

Windows 7 / Windows Server 2008 R2では、次のPowerShellコマンドを使用して、レジストリからSMB 1プロトコルを無効にし、SMBv2を有効にすることができます。

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

Windows 8.1 / Windows Server 2012 R2では、次のコマンドを使用してSMBv1を無効にし、SMBv2とSMBv3を許可できます（ネットワーク接続にプライベートプロファイルまたはドメインプロファイルが使用されていることを確認してください）：

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true

ネットワークデバイス（NAS、Windows XP、Windows Server 2003）がSMB1プロトコルのみをサポートしている場合は、別の SMB1Protocol-Clientを有効にできます。 Windows10/11またはWindowsServerの機能。ただし、これはお勧めしません!!!

リモートデバイスが接続するためにSMBv1を必要とし、このプロトコルがWindowsデバイスで無効になっている場合、イベントビューアにエラーが表示されます：

Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Event ID: 32000
Description:  SMB1 negotiate response received from a remote device when SMB1 cannot be negotiated by the local computer.

管理者特権のPowerShellプロンプトを実行し、SMB1Protocol-Clientが無効になっていることを確認します（State: Disabled ）：

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

SMBv1クライアントプロトコルを有効にします（再起動が必要です）：

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

optionalfeatures.exeから、Windows10および11の追加機能を有効/無効にすることもできます。 。 SMB 1.0 / CIFSファイル共有サポートを展開し、SMB 1.0/CIFSクライアントを有効にします。

Windows 10 1809以降では、SMBv1クライアントが15日以上使用されていない場合、SMBv1クライアントは自動的に削除されます（ SMB 1.0/CIFS自動削除 コンポーネントがこれに責任があります）。

この例では、SMBv1クライアントのみを有効にしました。コンピューターが共有フォルダーをホストするSMBサーバーとしてレガシークライアントによって使用されていない場合は、SMB1Protocol-Server機能を有効にしないでください。

SMBv1クライアントをインストールすると、問題なく共有フォルダーまたはプリンターに接続できるようになります。ただし、この回避策はコンピュータのセキュリティを低下させるため、お勧めできません。

Windowsが共有フォルダにアクセスできない：権限がありません

リモートコンピュータの共有ネットワークフォルダに接続すると、エラーが表示される場合があります：

Network Error
Windows cannot access \\PC12\Share
You do not have permission to access \\PC12\Share. Contact your network administrator to request access.

このエラーが発生した場合は、次のことを行う必要があります。

1. 共有フォルダへのアクセスに使用しているユーザーに、リモート共有へのアクセス許可が付与されていることを確認してください。サーバー上の共有フォルダーのプロパティを開き、ユーザーが少なくとも読み取り権限を持っていることを確認します。また、PowerShellを使用してリモートホストの共有権限を確認できます：
   Get-SmbShareAccess -Name "tools"
   次に、NTFSフォルダのアクセス許可を確認します。
   get-acl C:\tools\ |fl  必要に応じて、フォルダー内のアクセス許可を編集したり、プロパティを共有したりします。
2. ネットワークフォルダにアクセスするために正しいユーザー名とパスワードを使用していることを確認してください。ユーザー名とパスワードの入力を求められない場合は、Windows Credential Managerでリモート共有用に保存された（キャッシュされた）資格情報を削除してみてください。コマンドrundll32.exe keymgr.dll, KRShowKeyMgrを実行します アクセスしようとしているリモートコンピューターのキャッシュされた資格情報を削除します。
   次に共有フォルダーに接続すると、ユーザー名とパスワードの入力を求められます。リモートコンピューター上のネットワーク共有フォルダーにアクセスするための資格情報を指定します。資格情報マネージャーに保存するか、手動で追加できます。

その他の修正：Windowsが共有フォルダにアクセスできない

このセクションでは、Windowsでネットワークフォルダを開く際の問題をトラブルシューティングするための追加の方法を提供します。

• リモートコンピューターで、SMBプロトコル（TCPポート445）を使用した共有ネットワークフォルダーへの着信接続が許可されていることを確認してください。 Test-NetConnectionコマンドを使用して、リモートコンピューターのポート445の可用性を確認できます。Test-NetConnection -ComputerName HomePC212 -Port 445
  コマンドレットがTcpTestSucceeded : Falseを返す場合 、これは、リモートコンピュータのネットワークフォルダへのアクセスがファイアウォールによってブロックされていることを意味します。接続は、ウイルス対策またはファイアウォール（サードパーティまたは組み込みのWindows Defenderファイアウォール）によってブロックされている可能性があります。 Windows Defenderを使用している場合は、ファイルとプリンターの共有を有効にします ルール（コントロールパネル\システムとセキュリティ\Windowsディフェンダーファイアウォール\許可されたアプリ\アプリがWindowsファイアウォールを介して通信できるようにする ）3つすべてのネットワークプロファイルのファイル共有ホスト上。
  または、PowerShellを使用してファイアウォールルールを作成します：New-NetFirewallRule -DisplayName "Allow_SBM-FileSharing_In" -Direction Inbound -Protocol TCP –LocalPort 445 -Action Allow
• マップされたネットワークドライブ（フォルダー）を開くことができない場合は、Windows Credential Managerで保存されたキャッシュされたクレデンシャルを削除し、マップされたネットワークドライブを削除してみてください（Net Use * /delete コマンド）そしてそれらを再接続します;
• フォルダにアクセスするには、名前ではなくリモートコンピュータのIPアドレスを使用してみてください。例：Win+R -> \\192.168.12.20 ->わかりました。
• コンピュータが同じワークグループに参加していることを確認してください。コンピューター上のワークグループの名前は、PowerShellを使用して見つけることができます：Get-WmiObject Win32_ComputerSystem).domain
• TCP / IPスタック設定をリセットし、コンピューターのIPアドレスを更新します。
  netsh int ip reset
netsh winsock reset
ipconfig /flushdns
ipconfig /release
ipconfig /renew