【Windows】会社PCでNTLM認証に戻ってしまう時のサーバー名と資格情報確認

社内ネットワークに接続したWindows PCで、ファイルサーバーや業務システムにアクセスする際、突然NTLM認証に戻ってしまう現象が発生することがあります。本来であればKerberos認証が使われるべき環境でNTLMが使われると、パスワード変更のたびに資格情報の再入力が必要になり、認証エラーやアクセス遅延が発生しやすくなります。この記事では、NTLM認証に戻ってしまう原因をサーバー名と資格情報の観点から切り分ける手順を具体的に解説します。適切な対処を行えば、再発を防止し、スムーズな認証環境を維持できるでしょう。

1. NTLM認証に戻ってしまう状態とは

Kerberos認証が正常に動作している環境では、ドメイン参加済みのPCからサーバーへアクセスする際、チケット発行機構によりパスワードを毎回入力する必要はありません。しかし、NTLM認証にフォールバックすると、ユーザー名とパスワードの入力が求められる、または現在のWindows資格情報が自動的に使われるものの、パスワード変更後は古い資格情報で認証が失敗するといった症状が現れます。この状態は、Kerberosのチケット取得に失敗した場合に発生します。主な原因は、サーバー名が正しく解決できない、サービスプリンシパル名(SPN)が未登録、またはクライアント側の資格情報が古いなどの要因です。まずは症状を正確に把握し、どのアクセス手順で問題が起きているかを記録しましょう。

2. 原因を切り分けるための3つの軸

NTLM認証に戻る原因は大きく分けて3つの軸で整理できます。以下にそれぞれの要点を示します。

軸	確認項目	典型的な原因
サーバー名指定	アクセス時に使用している名前(ホスト名、FQDN、IP)	ホスト名のみでアクセスするとNTLMにフォールバックしやすい。FQDN(例: server01.example.com)を使うとKerberosが優先される。
資格情報の状態	Windows資格情報マネージャーに保存されたエントリ	古いパスワードの資格情報が残っている、間違ったサーバー名で登録されている。
名前解決とSPN	DNS解決が正しいか、SPNが重複なく登録されているか	DNSに複数のIPが登録、SPNが欠落または重複しているとKerberosチケットが取得できない。

これらの軸を順番に確認することで、問題の本質にたどり着けます。次の章では具体的な確認手順を説明します。

3. 確認手順:サーバー名の指定方法

まずは、アクセス時にどのようなサーバー名を使っているかを確認します。エクスプローラのアドレスバーや、ショートカットのリンク先、アプリケーションの接続設定などで確認してください。以下の手順で正しい指定方法に変更します。

1. 現在アクセスに使っているパスを確認します。例えば「¥¥server01¥share」という形式であれば、サーバー名は「server01」というホスト名(短縮名)です。
2. そのサーバーが所属するActive Directoryドメインを調べます。通常はログオンしているドメインと同じです。コマンドプロンプトで「echo %userdnsdomain%」と入力すると現在のドメインが表示されます。
3. サーバーの完全修飾ドメイン名(FQDN)を特定します。Active Directoryユーザーとコンピュータでサーバーコンピュータオブジェクトのプロパティを確認するか、コマンドプロンプトで「nslookup server01」と実行して返ってくる名前を確認します。
4. アクセスパスをFQDNに変更します。例えば「¥¥server01.example.com¥share」のようにします。これによりKerberos認証が試行されるようになります。
5. 変更後、一度サインアウトしてから再度アクセスし、パスワードを求められずに接続できるか確認します。もしNTLM認証のダイアログが出た場合は、次の資格情報の確認に進んでください。

4. 確認手順:資格情報の状態

サーバー名をFQDNに変更してもNTLMに戻る場合、Windows資格情報マネージャーに保存された古い資格情報が原因である可能性が高いです。以下の手順で資格情報を確認し、不要なエントリを削除します。

1. コントロールパネルを開き、「ユーザーアカウント」→「資格情報マネージャー」→「Windows資格情報」を選択します。
2. 「Windows資格情報」の一覧に、対象サーバー名(ホスト名またはFQDN)で保存された資格情報がないか確認します。例えば「server01」「server01.example.com」などのエントリです。
3. 該当するエントリがある場合、その資格情報の「編集」または「削除」をクリックします。編集を選んだ場合はユーザー名とパスワードを最新のものに更新し、削除を選んだ場合はエントリを削除します。
4. 削除後、再度アクセスして正しい資格情報で認証されるか確認します。もし異なるサーバー名で複数のエントリがある場合は、すべて削除することを推奨します。
5. また、汎用資格情報に「MicrosoftAccount:user@domain」などのエントリがないかも確認し、不要なものは削除します。

資格情報マネージャーの操作は慎重に行ってください。誤って別のシステムの資格情報を削除すると、そのシステムへのアクセスができなくなる恐れがあります。

5. よくある設定ミスと失敗パターン

実際に現場でよく見られる失敗パターンをいくつか紹介します。同じ症状でお困りの方は、該当する項目がないか確認してみてください。

5.1 ホスト名の代わりにIPアドレスでアクセスしている

IPアドレスでサーバーにアクセスすると、Kerberos認証は使われず必ずNTLMになります。これはKerberosがIPアドレスではなくホスト名を必要とするためです。必ずFQDNまたはホスト名を使用し、IPアドレスは避けてください。

5.2 短縮名とFQDNが混在している

同じサーバーに対して、あるアプリケーションは短縮名、別のツールはFQDNでアクセスしていると、資格情報マネージャーに複数のエントリができて混乱します。統一してFQDNを使用するよう、関係者と調整しましょう。

5.3 DNSに複数のIPアドレスが登録されている

サーバーのDNSレコードに複数のIPアドレスが登録されていると、Kerberosチケットの取得に失敗する場合があります。とくにラウンドロビン構成の場合、クライアントが正しいIPに到達できないことがあります。管理者に依頼してDNSレコードを整理してもらいましょう。

6. 管理者へ伝えるべき情報

上記の確認を行っても問題が解決しない場合、Active Directoryやサーバー側の設定に原因があることが考えられます。以下の情報を整理して管理者に報告してください。

• イベントログのID: クライアントPCの「イベントビューアー」→「Windowsログ」→「セキュリティ」で、認証に関連するイベントID(4624, 4776など)を確認し、ログオンタイプやパッケージ名(NTLMかKerberosか)を記録します。
• 再現手順: どのサーバーにどのようなパスでアクセスしたときにNTLMに戻るか、正確な手順をメモします。
• クライアント環境: Windowsのバージョン(エディション、ビルド番号)、ドメイン参加状況、使用しているネットワーク(有線/無線、VPNの有無)を伝えます。
• SPNの確認結果: コマンドプロンプトで「setspn -L サーバー名」を実行し、出力結果をそのまま管理者に送ります。SPNの重複や不足が判明します。

管理者側ではグループポリシーでNTLMを制限する設定や、サーバーのSPNメンテナンスが必要になる場合があります。速やかな対応のために、正確な情報提供を心がけましょう。

7. まとめ

会社PCでNTLM認証に戻ってしまう問題は、サーバー名の指定方法と資格情報の管理が大きく影響します。まずはアクセスに使うサーバー名を完全修飾ドメイン名(FQDN)に統一し、Windows資格情報マネージャーに古いエントリが残っていないか確認してください。それでも改善しない場合は、DNS名前解決やSPNの状態を調べ、管理者と連携して根本原因を特定しましょう。これらの手順を習慣化することで、再発を防止し、快適なネットワーク環境を維持できるはずです。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。