Windows10からSYSVOLおよびNETLOGONフォルダーにアクセスできません

SYSVOL にアクセスしようとすると、奇妙なことに気づきました。 およびNETLOGON Windows 10 / WindowsServer2016のドメイン内のフォルダー。UNCパス\\<domain.com>\SYSVOLでドメインにアクセスしようとしたとき またはドメインコントローラーのIPアドレス\\192.168.100.10\Netlogon 、「アクセスが拒否されました」が表示されました のエラーと、フォルダにアクセスするためのユーザークレデンシャルを入力するためのWindowsセキュリティプロンプト。有効なドメインユーザーまたはドメイン管理者の資格情報を入力した後も、フォルダーは開きませんでした。

一方、ドメインコントローラーのホストまたはFQDN名を指定すると、同じSysvol / Netlogonフォルダーが通常どおり（パスワードなしで）開きます：\\be-dc1.domain.com\sysvol または単に\\be-dc1\sysvol 。

また、グループポリシーの適用に関する問題は、問題のあるコンピューターで発生する可能性があります。 EventID 1058でエラーを見つけることができます イベントビューアのログ：

The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

これは、ドメインコンピューターをコード（ログオンスクリプト、実行可能ファイル）の実行や、信頼できないソースからのポリシー構成ファイルの取得から保護する新しいWindowsセキュリティ設定に関連しています—UNC強化 。 Windows 10 / Windows Server 2016のセキュリティ設定では、セキュリティが強化されたUNCディレクトリ（SYSVOLおよびNETLOGON共有フォルダー）にアクセスするために、次のセキュリティレベルを使用する必要があります。

• 相互認証 サーバーとクライアントの。認証にはKerberosが使用されます。 （NTLMはサポートされていません。）これが、ドメインコントローラー上のSYSVOLおよびNETLOGON共有にそのIPアドレスでアクセスできない理由です。デフォルトでは、RequireMutualAuthentication=1 。
• 完全性 SMB署名チェックです。これにより、SMBセッションのデータが送信中に変更されていないことを確認できます。 SMB署名はSMB2.0以降でサポートされています（SMB v 1はSMBセッション署名をサポートしていません）。デフォルト値はRequireIntegrity=1です。 。
• プライバシー SMBセッションでのデータ暗号化に関連しています。 SMB v 3.0（Windows 8 / Windows Server 2012以降）以降でサポートされます。デフォルト値はRequirePrivacy=0です。 。ネットワークにレガシーWindowsバージョン（Windows 7 / Windows Server 2008 R2以前）のコンピューターまたはドメインコントローラーがある場合は、RequirePrivacy=1オプションを使用しないでください。そうしないと、レガシークライアントはドメインコントローラー上のネットワーク共有フォルダーにアクセスできなくなります。

当初、これらの変更は、セキュリティ更新プログラムMS15-011およびMS15-014の一部として2015年にWindows10で行われました。その結果、 Multiple UNC Provider（MUP）が変更されました。 ドメインコントローラー上の重要なフォルダーにアクセスするために特別なルールを使用しているアルゴリズム： \\ * \ SYSVOL および\\* \ NETLOGON 。

保護されたUNCパスは、Windows7およびWindows8.1ではデフォルトで無効になっています。

SYSVOLおよびNETLOGONにアクセスするには、グループポリシーを使用してWindows10のUNC強化設定を変更できます。特別なセキュリティ設定を使用して、強化されたUNCパス内のさまざまなUNCパスにアクセスできます。 ポリシー。

1. ローカルグループポリシーエディター（gpedit.msc）を開きます。
2. ポリシーセクション[コンピューターの構成]->[管理用テンプレート]->[ネットワーク]->[ネットワークプロバイダー]に移動します。
3. 強化されたUNCパスを有効にします ポリシー;
4. 表示をクリックします ボタンをクリックして、NetlogonおよびSysvolへのUNCパスのエントリを作成します。特定のフォルダーのUNC強化を完全に無効にするには（推奨されません！）、次の値を指定します：RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

次の形式のUNCパスを使用できます。

• \\192.168.200.2 （ドメインコントローラーのIPアドレス）
• \\domain.com
• \\DCName

または、UNCパスとは関係なく（任意のDCで）SysvolおよびNetlogonへのアクセスを許可できます。

• \\*\SYSVOL
• \\*\NETLOGON

必要なすべてのドメイン（ドメインコントローラー）名またはIPアドレスを指定します。

安全にこれらの設定を使用することをお勧めします 重要なUNCディレクトリへのアクセス：

• \\ * \ NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
• \\ * \ SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

これで、gpupdate /forceを使用してコンピューターのポリシーを更新する必要があります。 コマンドを実行し、SysvolとNetlogonにアクセスできることを確認してください。

これらのパラメーターは、集中型ドメインGPOまたはクライアントで次のコマンドを使用して構成できます（これらのコマンドは、ドメインコントローラーのSYSVOLおよびNETLOGONフォルダーにアクセスするときにKerberos認証を無効にします。代わりにNTLMが使用され、開くことができます。 DC上の保護されたフォルダをIPアドレスで保護します。）

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

これらのコマンドは、次の場合に役立つことがあります。

• ドメインコントローラー（Windows Server 2008 R2 / Windows Server 2012を実行しているDC）に、強化されたUNCパスパラメーターのない古いバージョンの管理用テンプレートがあります。
• Sysvolにアクセスできないため、クライアントはドメインポリシー設定を取得できず、これらのレジストリ設定を展開できません。