RD Gatewayアンインストールした、NLM認証が失敗する
RD Gateway アンインストール後に NLA 認証が失敗する原因と対処法メモはじめにWindows Server 環境で、RD Gateway(以下 RDG)を一時的にインストールして自己署名証明書を発行した後、その RDG をアンインストールすると、NLA 認証が失敗してリモートデスクトップ接続ができなくなる事象に遭遇しました。意外な落とし穴だったので、調査内容と対処方法を共有します。■環境構成項目 値ドメイン名 example.localRDSHサーバー SRV01以前のRDG同居 SRV01(現在は非搭載)■発生した事象RDP クライアントから SRV01.example.local へ接続しようとすると、以下のエラーが表示された:このコンピューターの認証に使用される証明書を検証できませんでした。または、接続先のリモートコンピューターが正しいコンピューターでない可能性があります。(NLA 認証が有効な状態)他のサーバーは問題なく接続可能だった■原因過去に RDG をインストールした際、SRV01 に **自己署名証明書(例: CN=SRV01)**が作成・バインドされていた。RDG アンインストール後もその証明書が ローカルマシン証明書ストアに残存しており、RDP-Tcp の TLS 通信にその証明書が使われ続けていたことで、NLA 認証時の TLS ハンドシェイクが失敗していた。■調査内容1. 証明書確認(PowerShell)Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*SRV01*" -or $_.Subject -like "*example.local*" } | Format-List Subject, Thumbprint, NotAfterCN=SRV01 の証明書が確認できた。2. RDP バインド状況の確認(PowerShell)Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" | Select-Object SSLCertificateSHA1Hash→ 値が空でも、実際は旧証明書が裏で使われていた。■解決方法MMC 経由で不要な証明書を削除Win + R → mmc 起動メニューから [ファイル] → [スナップインの追加と削除]「証明書」スナップインを追加し、「コンピューター アカウント」→「ローカルコンピューター」を選択左側ツリーで 個人 > 証明書 に移動CN=SRV01 など、不要な自己署名証明書を削除RDPサービス再起動(PowerShell)Restart-Service TermService■結果その後、NLA 認証は正常に通過し、リモートデスクトップ接続が成功。■教訓・ポイントポイント 説明RDG の削除後 自己署名証明書が残ると TLS に悪影響を与えることがある削除すべき証明書 ローカル コンピューター\個人\証明書 にある CN=SRV01 のような自己署名証明書検証ポイント Get-ChildItem Cert:\LocalMachine\My で確認可能重要な操作 MMC での削除+ RDP サービス再起動■備考このような症状は証明書が "使われているように見えない" ことから、原因の特定が困難になる一時的に RDG を導入した環境では、証明書のクリーニングが重要■おわりにRDP の TLS/NLA トラブルは原因の特定が難しく、証明書ストアの見直しは盲点になりがちです。同様の症状に悩んでいる方がいれば、ぜひ **「不要な自己署名証明書の削除」**を試してみてください。
