みなさん、こんにちは。
埼玉県ふじみ野市のITサポートSORAの関口です。
最近、「Windows11 NASにつながらない」で検索されている方が増えているようです。
原因は、2024年10月1日から順次展開されている「Windows11 24h2 大型アップデート」による仕様変更によるものです。
今日は、その原因と対策についてまとめていきます。
![リモートサポート](https://it-sora.net/wp-content/uploads/2022/01/20220115_remoto_banner.jpg")
Windows11 24H2 でのSMBの仕様変更点
2024年10月1日から、Windows 11 24H2の大型アップデートが順次配信されています。
いずれかのタイミングで、皆さんのWindows 11も24H2へアップデートされるでしょう。
今回のWindows 11 24H2では、通信とセキュリティに関する様々な仕様変更が実施されています。
主な変更点については、以下のURLをご確認ください。
仕様変更の中で、NASへのアクセスに影響受けるのが「SMB署名と暗号化」です
SMB 署名と暗号化 SMB 署名と暗号化に対して次の変更が行われました。
SMB 署名要件の変更: Windows 11、Home、Pro、Education、および Enterprise エディションのバージョン 24H2 では、すべての接続に SMB 署名が既定で必要になりました。
SMB署名と暗号化が有効になったことで以下の現象が発生する可能性があります。
- NASに接続できない
- NAS接続の際に認証画面が表示されるようになった(ゲストアクセスの無効化)
SMBとは、Server Message Blockの略で、主にWindowsで使用される通信プロトコルです。WindowsとNASの接続もSMBを介して行われます。SMBにはv1、v2、v3のバージョンがあり、現在はSMB v3が主流となっています。
デジタル署名と暗号化は、WindowsとNAS間で送受信されるデータを暗号化し、通信経路上でのデータ改ざんを防ぐ機能です。この機能を利用するには、WindowsとNAS両方で署名機能を有効にする必要があります。
今回のSMB署名の有効化により、ゲストアカウントが使用できなくなるという記載があります。
アクセスを簡素化するためにゲスト アカウントを使用するサードパーティ製のデバイスに接続しようとすると、次のいずれかのエラー メッセージが表示される場合があります。
You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
ゲストアカウントとは、WindowsがNASの共有フォルダにアクセスする際に認証が不要なアカウントです。
従来から、WindowsやNASでファイルのネットワーク共有を行う際には、そのNASにアクセスするための資格情報(ユーザーIDとパスワード)で認証を行う仕様となっています。
認証プロセスでは、アクセスされる側(NAS)に登録されている資格情報と、アクセスする側(Windows)の資格情報を照合し、一致した場合にアクセスを許可します。
NAS側で「ゲストアカウント」を有効にしておくと、資格情報なしで共有フォルダにアクセスできるようになります。
なお、複合機のスキャナ機能を使用する際にもゲストアカウントが利用されることがあります。
Windows11 24H2 でNASにつながらない原因
今回のSMB署名の有効化により、NASの仕様と設定によっては以下の問題が想定されます。
- NASがSMB署名に対応していないため、NASにアクセスできない。
- ゲストアカウントでNASにアクセスできなくなる。
Windows 11 ProとHomeエディションへの影響の違いについては、状況が不明確です。
Windows 11 24H2の仕様変更では「SMB 署名要件の変更:Windows 11、Home、Proのバージョン 24H2 では、すべての接続に SMB 署名が既定で必要になりました」と記載されています。しかし、SMB署名の仕様ページには「Windows 11 Insider Home エディションでは、アウトバウンドまたはインバウンドの SMB 署名は必要ありません」との記載もあり、Homeエディションへの影響は不明確です。おそらくProエディションのみが影響を受けると推測されます。
興味深いことに、私の環境下の2台のWindows 11 Pro 24H2では、SMB署名が無効のままであり、「SMB署名が有効になる」というマイクロソフトの仕様通りの動作をしていません。
この不一致を踏まえ、実際に何が問題で、どのような対策が必要なのかを検証することにしました。
Windows11 24H2 とNASの動作検証
以下の4つの動作検証を実施しました。
- 検証1:Windows 11 23H2 からNASへのゲストアカウント接続
- 検証2:Windows 11 24H2 からNASへのゲストアカウント接続
- 検証3:Windows 11 24H2(SMB署名有効)からNAS(SMB署名無効)へのゲストアカウント接続
- 検証4:Windows 11 24H2(SMB署名有効)からNAS(SMB署名無効)へのユーザーアカウント接続
検証にはSynology製のNASを使用しました。
検証1:Windows 11 23H2 からNASへのゲストアカウント接続
Windowsアップデート前のWindows 11 23H2からNASへのゲストアカウント接続を試みました。
結果:問題なくゲストアカウントで共有フォルダにアクセスできました。
検証2:Windows 11 24H2 からNASへのゲストアカウント接続
Windowsアップデート後の24H2からNASへのゲストアカウント接続を試みました。
結果:23H2までは直接共有フォルダにアクセスできましたが、24H2ではネットワーク資格情報の入力画面が表示されるようになりました。
ユーザー名に「Guest」と入力すれば、パスワードなしでも共有フォルダにアクセスできました。
検証3:Windows 11 24H2(SMB署名有効)からNAS(SMB署名無効)へのゲストアカウント接続
Windows 11側で「常にSMB署名を使う」設定を有効にする。
NAS側ではSMB署名を無効に設定した上で、ゲストアカウントで接続を試みました。
結果:以下のエラーメッセージが表示され、アクセスできませんでした。
「組織のセキュリティポリシーによって非認証のゲストアクセスがブロックされているため、この共有フォルダにアクセスできません。これらのポリシーはネットワーク上安全でないデバイスや悪意のあるデバイスからPCを保護するのに役立ちます。」
検証4:Windows 11 24H2(SMB署名有効)からNAS(SMB署名無効)へのユーザーアカウント接続
予想では、検証3と同じでアクスセスできないと考えていました。
しかし、予想に反し、Synalogy NASではアクセスエラーは発生せず、共有フォルダにアクセスできました。
パケットモニタリングをしないと具体的な原因はわかりませんでした。
検証の結果、わかったこと
これらの検証結果から、以下の事実が明らかになりました:
- Windows 11 Pro 24H2 では、必ずしもSMB署名が自動的に有効にはならない。
- Windows 11 Pro 24H2 では、ゲストアカウントでNASに接続する際に認証画面が表示される。ただし、Guestアカウント(パスワードなし)でのアクセスは依然として可能。
- Windows 11 Pro 24H2 でSMB署名が有効化され、NAS側がSMB署名に対応していない場合は、ゲストアカウントでのアクセスは不可。
- Windows 11 Pro 24H2 でSMB署名が有効化された場合でも、NAS側がSMB署名に対応していなくても、ユーザーアカウントでのアクセスは可能。
Windows11 24H2 でNASにつながらない時の対策
検証結果から、「SMB署名」と「ゲストアカウント」の関連で問題が発生することが判明しました。そのため、24H2アップデート後にNASや複合機の接続に問題が生じた場合は、これらの2点に対する対策が必要となります。
対策を講じる前に、まず問題のWindows 11でSMB署名が有効になっているかどうかを確認しましょう。
SMB署名の確認手順
Windows 11 Proでは、グループ ポリシーでSMB署名の状態を確認できます。
- Windows11 検索欄に「gpedit.msc」と入力して、Enterキーを押します。
- ローカル グループ ポリシー エディターで、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション]に移動します。
- [Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う]を確認します。
SMB署名問題の特定
Windows11 Pro 24H2にアップデートしてからNASにつながらない場合、「SMB署名」か「ゲストアカウント」のどちらかの問題になります。
問題の切り分けは、ネットワークレベルでNAS自体にアクセスできない場合は「SMB署名」が考えられます。
NASにアクセスできるが、認証画面が表示されて認証エラーになる場合は「ゲストアカウント」が考えられます。
2つのパターンについての対策を考えていきます。
SMB署名への対策
Windows 11 Proが「SMB署名」が有効になったことでの対策は以下2つが考えられます。
- NASでSMB署名を有効にする
- Windows 11のSMB署名を無効にする
NASでSMB署名を有効にする
最新のNASには、通常SMB署名機能が搭載されています。
例えば、Synology NASでは設定画面でこの機能を有効にできます。
Synalogyの初期設定はでは、転送暗号化モードはクライアント定義、サーバーの署名は無効になっています。
Windows 11 Pro 24H2アップデート後も、初期設定のままNASにアクセスできました。
Windows 11のSMB署名を無効にする
セキュリティ面では推奨されませんが、Windows 11側のSMB署名を無効にすることでNASにアクセスできるようになります。
NASがSMB署名に対応していない場合など、暫定的な対策となります。
Windows11 Pro でSMB署名を無効にする手順は以下の通りです:
- Windows11 検索欄に「gpedit.msc」と入力して、Enterキーを押します。
- ローカル グループ ポリシー エディターで、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション]に移動します。
- [Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う]をクリック
- プロパティを無効にする。
ゲストアカウントへの対策
ゲストアカウントに関する対策には、次の2つの方法があります:
- NASとWindows 11に資格情報を登録する
- Windows 11のSMB署名を無効にする
NASとWindows 11に資格情報を登録する
マイクロソフトは「ゲストアカウントを認めない」方針を取っているため、NASや複合機にユーザー情報を登録し、その情報をWindows 11の資格情報に記録することをお勧めします。これは将来的にも有効な対策となります。
手順としては、まずNAS側にアクセス用のユーザーを登録し、その情報をWindows 11の資格情報に記録します。
以下にSynology NASとWindows 11での具体的な手順を紹介します。
NASの管理画面からNASにアクセスするユーザー情報を登録する。(例:hoge)
NASにアクセスするWindows 11からNAS(例:192.168.0.5)に接続する。
Windows11の検索欄に(例:\\192.168.0.5)と入力。
表示された認証画面で登録したユーザー名とパスワードを入力します。
「資格情報を記録する」にチェックを入れると、Windows資格情報に情報が保存され、以後認証画面が表示されなくなります。
認証が成功するとNAS上の共有フォルダが表示されます。
なお、NASへの接続の際に表示される認証画面のユーザー欄が「メールアドレス」になっている場合、ユーザー名は「hoge\hoge」と入力してください。
Windows 11のSMB署名を無効にする
セキュリティ面では推奨されませんが、Windows 11側のSMB署名を無効にすることでNASにアクセスできるようになります。
ただ、Windows11 23H2とは異なり、ゲストアカウントでも認証画面が表示されるようです。
- Windows11 検索欄に「gpedit.msc」と入力して、Enterキーを押します。
- ローカル グループ ポリシー エディターで、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション]に移動します。
- [Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う]をクリック
- プロパティを無効にする。
まとめ
Windows 11 24H2のアップデートにより、お使いの条件によってはNASへの接続に問題が発生する可能性があります。
主な原因は以下の2点です:
- SMB署名の仕様変更
- ゲストアカウントへのアクセス制限
これらの問題に対する主な対策は次のとおりです:
- NASでSMB署名を有効にする
- Windows 11のSMB署名を無効にする(セキュリティ上のリスクあり)
- NASとWindows 11に資格情報を登録する
問題が発生した場合は、まずWindows 11でSMB署名が有効になっているかを確認し、適切な対策を講じることが重要です。
セキュリティと利便性のバランスを考慮しながら、最適な解決策を選択してください。
関連記事
コメント