解決！「このユーザー アカウントには可逆暗号化されたパスワードがありません」の巻

ルーターへの外部からのVPN接続を行わせるため、ルーターだけで認証を行うことが出来るのだが、ユーザ情報を一元管理したくWindows Server 2008R2 の「ネットワーク ポリシー サーバー」にてユーザ認証を行うように設定した。

ルーターへの外部からの接続の際に、ネットワーク ポリシー サーバーにてユーザ認証を行ってしまおうという考え。

既にネットワークポリシーサーバーにてユーザ名が「hoge-*」という条件に合致した場合は、mschap-v2で認証を行うように設定を行った。

その後Active Directory ユーザとコンピューターからユーザー「hoge-001」を追加した。

これで準備は完了したと思い外部からの接続を試してみたが接続が出来ない。

ここから本日の物語がはじまりはじまり～

さて、外部からの接続が行えない。まずはWindows Server で何か問題があった時はとにかくイベントビューアー頼り。イベントビューアーで下図のとおり失敗しているイベントを探し、ダブルクリックする。

そうすると詳細画面で以下の情報を得ることが出来た。

 理由コード: 19
 理由: チャレンジ ハンドシェイク認証プロトコル (CHAP) を使用してユーザーを認証できませんでした。
      このユーザー アカウントには可逆暗号化されたパスワードがありません。可逆暗号化パスワード
      が有効になっていることを確認するには、このユーザー アカウントのパスワード設定またはドメイン 
      パスワード ポリシーを確認してください。

これによると、ユーザーに対して「可逆暗号化されたパスワード」を設定する必要があるようだ。
可逆暗号化というのは、暗号化されたパスワードから元のパスワードを割り出すことが出来る方法での暗号化方式のこと。

なので言われたとおり、「Active Directory ユーザーとコンピューター」にアクセスし、
ユーザのプロパティからパスワードを「可逆暗号化パスワード」に変更します。

その後パスワードの強制リセットを行い、パスワードを再登録します。←これをしないと、パスワードは非可逆パスワードのままです。

再度ユーザー一覧からユーザーを右クリックし、「パスワードのリセット」をクリック。

そしてパスワードを再設定します。下の画像だと「ユーザーアカウントのロックを解除する」にチェックを入れていますが、これは入れなくても大丈夫です。

上記問題を解消したので再度アクセスを試してみた。

が、しかし、できない！！

また同じ方法でイベントビューアーから以下のエラーを確認した。今度は違うエラーがあった。

理由コード: 65
 理由: Active Directory 内のユーザー アカウントのダイヤルイン プロパティの [リモート アクセス許可] 
      設定が、ユーザーに対して [アクセスを拒否] に設定されています。[リモート アクセス許可] 設定を
      [アクセスを許可] または [NPS ネットワーク ポリシーでアクセスを制御] に変更するには、[Active 
      Directory ユーザーとコンピューター] のユーザー アカウントのプロパティを開き、[ダイヤルイン] タブ
      をクリックして、[リモート アクセス許可] を変更します。

なになに。今度はリモートからのアクセスが許可されていないからだめってことか。デフォルトでは、ユーザのリモートアクセス許可の設定は以下の通り「NPS ネットワーク ポリシーでアクセスを制御」になっていますので、こちらの設定を「リモートアクセスを許可」に設定を変更します。

ということで、再度Active Directory ユーザーとコンピューターのユーザー一覧からユーザーを右クリックしプロパティからユーザーの設定を変更します。

これで準備が整いました。

問題なく外部から接続が出来ました！

まとめ

外部からのVPNルーターへ行われるアクセスにおいて、ユーザー認証をWindows Serverで行う場合には以下に注意する。

1. CHAPを使った認証の場合は「可逆暗号化」パスワードを利用可能にすること
2. 可逆暗号化パスワード利用可能にした後にはパスワードを強制リセットして再設定すること
3. リモートからのアクセスを許可しておくこと

上記の設定はすべてActive Directory ユーザーとコンピューターから設定できます。

以上