WindowsでのRDPのログオン試行失敗エラーを修正する

avatar Jun 11, 2026
Fix the Logon Attempt Failed RDP Error on Windows

資格情報を入力すると、Windows セキュリティのプロンプトが一瞬表示され、赤い行が現れます: The logon attempt failed。セッションは開きません。これは自宅のラボ環境、クライアント マシン、サーバーのいずれでも遭遇しました。そして、原因がグループ ポリシーの権限不足であれ、資格情報マネージャーの古いエントリであれ、CredSSP を壊した Windows 更新であれ、短時間到達不能だったドメイン コントローラーであれ、エラーの見た目はまったく同じです。

この記事では、logon attempt failed RDP エラーの最も一般的で確認済みの根本原因と、検証済みの修正策を順を追って解説します。

目次

“RDP Logon Attempt Failed” とはどういう意味ですか?

The logon attempt failed は、RDP の認証チェーン上のどこかで資格情報が拒否された場合に表示される、Windows の汎用的なメッセージです。リモート デスクトップが確立される前、RDP の資格情報プロンプト内のテキストとして表示されます。問題は、Windows が複数の異なるポイントでの失敗に対して同じ文字列を返すことです。

対象マシンの Windows セキュリティ ログはこれを Event ID 4625 として記録し、そのイベント内の状態コードまたはサブ状態コードが、実際の失敗箇所を特定します。

“Remote Desktop Logon Attempt Failed” エラーを修正するにはどうすればよいですか?

修正 1: リモート デスクトップ サービスを使用したログオンを許可する

これは、認証情報が正しいにもかかわらず接続が失敗するケースの多くを解決します。ほかのことに手を付ける前に、まずここから始めます。

  1. 対象のコンピューターで、Windows キー + R を押し、secpol.msc と入力して、Enter を押して ローカル セキュリティ ポリシー を開きます。

  2. ローカル ポリシー を展開し、ユーザー権利の割り当て を選択します。

  3. 右側のウィンドウで、リモート デスクトップ サービスを介したログオンを許可する をダブルクリックします。

    ローカル セキュリティ ポリシーでリモート デスクトップ サービスを介したログオンを許可するをクリックする

  4. ユーザーまたはグループの追加をクリックし、接続に使用するアカウントの正確なユーザー名を入力します。

    ローカル セキュリティの設定タブでのユーザーまたはグループの追加

  5. OK をクリックし、ローカル セキュリティ ポリシー を閉じます。

  6. 管理者権限のコマンド プロンプトを開き、再起動せずに変更を適用するためにgpupdate /forceを実行します。

    管理者権限のコマンド プロンプトで gpupdate force を実行する

コンピューターの管理を開いている間に、ローカル ユーザーとグループの下にあるリモート デスクトップ ユーザー グループにそのアカウントが所属していることも確認してください。これはポリシー上の権利を置き換えるものではありませんが、想定される構成の一部です。既定では、ローカルまたはドメインのグループ ポリシーで上書きされない限り、リモート デスクトップ ユーザー グループのメンバーシップにより通常はこの権利が付与されます。ただし、グループ ポリシーで明示的にこれが上書きされている場合は、たとえグループ メンバーシップがすでにある場合でも、アカウントをその権利に直接追加する必要があるかもしれません。

対処法 2: 資格情報マネージャーで古い資格情報を削除する

エラーが引き続き発生する場合は、特に対象マシンでパスワードを変更した後に、Fix 1 の直後にこの修正を実行してください。

  1. 接続元のコンピューターで、スタート メニューを開き、資格情報マネージャーを検索します。

  2. Windows 資格情報 を選択します。

    資格情報マネージャーで Web 資格情報を選択する

  3. TERMSRV/で始まり、対象マシンのIPアドレスまたはホスト名が続くエントリを探してください。

  4. 一致する各エントリを展開し、削除をクリックします。

  5. 資格情報マネージャーを閉じてください。

  6. リモート デスクトップ接続を開き、資格情報を手動で入力して、接続します。

診断中は、リモート デスクトップ接続に資格情報を再度保存させないでください。接続する前に、資格情報を保存できるようにするのチェックボックスをオフにして、Windows が新たな無効なエントリを書き込まないようにします。

Microsoft Q&A で報告された、ビルド 26100.6584 の Win11 同士のケースでは、コントロール パネル > 資格情報マネージャー > Windows 資格情報 > Windows 資格情報の追加 から対象コンピューターの資格情報を手動で追加することでも、資格情報の委任ポリシーが干渉しているケースが解消されます。

資格情報マネージャーで Windows の資格情報を追加する

また、mstsc を起動し、オプションの表示 をクリックして、保存済みの接続プロファイルを使用せずに新しい RDP プロファイルでテストしてください。破損している、または古い RDP 構成ファイル(.rdp)が無効なパラメーターや資格情報を再利用することがあります。

修正 3: ネットワーク レベル認証を診断して無効にする

リモートデスクトップが読み込まれる前に、NLA はユーザーの資格情報を使用してセッションを事前認証します。対象マシンがドメイン コントローラーに到達できない場合、CredSSP のバージョン不一致がある場合、またはアカウントの種類が NLA のハンドシェイクと互換性がない場合、NLA は認証ハンドシェイクに失敗し、クライアント側に同じ logon attempt failed メッセージが表示されることがあります。NLA を一時的に無効にすると、それが原因かどうかを確認できます。

  1. 対象のコンピューターで、Windows キー + Pause を押して システムのプロパティ を開き、左側のペインで リモート の設定をクリックします。

  2. リモート タブで、ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからの接続のみを許可する のチェックを外します。

  3. 適用をクリックします。

  4. クライアントマシンから接続を試みてください。

NLA を無効にした状態で接続が成功する場合、問題は NLA の認証チェーン内部にあり、推測せずにさらに診断できます。レジストリ ベースのアクセスの場合、NLA の設定は次の場所に保存されています:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

値の名前は UserAuthentication です。NLA を無効にするには 0、必須にするには 1 を設定します。同じパスにある SecurityLayer の値は、より広範なセキュリティ レイヤーを制御します: 0 は RDP セキュリティのみ、1 はネゴシエート、2 は SSL です。

レジストリ エディターで SecurityLayer と UserAuthentication の値を変更する

NLA の事前認証ステップは、IT 技術者が最も頻繁に遭遇するサポートシナリオでまさに不具合の原因となる部分です:

  • 企業ネットワーク外のリモートマシン
  • ドメインコントローラーに到達できないエンドポイント
  • IT のセットアップが行われていないマシン

ユースケースが自分のマシンへの自己アクセスではなくリモートサポートである場合、HelpWire はこのレイヤーを要件から完全に取り除きます。エンドユーザーはセッションリンクを開き、NLA なし、ドメイン到達性要件なし、かつユーザー側でのアカウント設定も不要で、アウトバウンドで接続します。

対処法 4: Microsoft アカウントで“The Logon Attempt Failed”の RDP エラーを修正する

Microsoft アカウントは RDP で使用できますが、アカウントのパスワードの代わりに Windows Hello または PIN を使用している場合、ユーザー名の形式が誤っている場合(構成によっては、MicrosoftAccount\email の代わりにメールアドレスのみを使用しているなど)または資格情報キャッシュの競合が発生している場合は、認証に失敗することがあります。このような場合は、アカウントのパスワードを明示的に使用するか、ローカル アカウントを使用することが、より信頼性の高い回避策となります:

  1. 対象のコンピューターで、設定を開き、アカウントに進み、次にその他のユーザーに進みます。

  2. アカウントの追加 をクリックし、次に このユーザーのサインイン情報を持っていません をクリックします。

  3. Microsoft アカウントを持たないユーザーを追加するを選択します。

  4. ローカルアカウント用のユーザー名と強力なパスワードを作成してください。

  5. アカウントが作成されたら、その他のユーザーでそれをクリックし、アカウントの種類の変更を選択して、管理者に設定します。

  6. Fix 1 に戻って、ローカル セキュリティ ポリシーでこのローカル アカウントに リモート デスクトップ サービスを介したログオンを許可 の権限を付与してください。

  7. RDP 経由で接続する際は、ローカルアカウントのユーザー名とパスワードを使用してください。

多くの場合、ローカル管理者アカウントに切り替えることで、特にパスワードレスまたはPINベースの認証が有効な場合に、問題をより確実に解決できます。

対処法 5: Windows Update 後に RDP で表示される “Logon Attempt Failed” を修正する

このエラーの原因として 2 つの更新関連シナリオが報告されています。1 つ目は、2018 年 5 月の更新(KB4103727 など)で導入された CredSSP の Encryption Oracle 修復です。2 つ目は Windows 11 24H2 および 25H2 の KB5065426 で、不適切に Sysprep されたイメージにより SID が重複しているマシンで RDP 認証が機能しなくなる問題です。


CredSSP エラー(An authentication error has occurred. The function requested is not supported)については、正しい修正はクライアントと接続先の両方のマシンを最新の状態に更新し、CredSSP のバージョン互換性を確保することです。一時的な回避策としてのみ、接続元のマシンで次を適用してください:

  1. Windows キー + R を押し、gpedit.msc と入力し、Enter を押します。

  2. コンピューターの構成 > 管理用テンプレート > システム > 資格情報の委任 に移動します。

    暗号化オラクルの修復をクリックする

  3. 暗号化オラクルの修復 を開き、有効 に設定します。

  4. 保護レベル脆弱に設定します。

    暗号化オラクルの修復を有効に設定し、保護レベルを脆弱に設定する

  5. 管理者権限のコマンド プロンプトgpupdate /forceを実行します。

これは一時的な応急処置にすぎません。恒久的な修正は、両者が互換性のある CredSSP バージョンを実行できるよう、対象マシンを更新することです。

Windows 11 24H2 および 25H2 における KB5065426 のリグレッションに対して、コミュニティが報告しているレジストリによる回避策は、その更新で導入された機能フラグを無効化しようとするものです:

  1. 対象のコンピューターで、Windows キー + R を押して、regedit.exe と入力し、レジストリ エディターを開きます。

  2. HKLM\SYSTEM\CurrentControlSet\Control\FeatureManagement\Overridesに移動します。

    レジストリ エディターで Overrides に移動する

  3. 718619 という名前の新しい DWORD (32 ビット) 値を作成します。

  4. データを0に設定します。

  5. 対象マシンを再起動します。

この環境に対する恒久的な修正は、あらゆるデプロイの前にベースイメージ上で sysprep /generalize /oobe /shutdown を実行することです。

注意: このレジストリの回避策はコミュニティ提供のもので、Microsoft によって公式に文書化されていません。適用する前に、お使いの特定のビルドに該当することを確認してください。

修正 6: ドメイン環境で 2 回目の試行で発生する RDP のログオン試行の失敗を修正

ドメイン環境では、最初のRDP試行は失敗するが2回目は成功する、あるいは2回目の試行でアカウントがロックアウトされるといった現象が一部のユーザーで発生します。マシン間で異なるNTLMポリシーが適用されているドメインやレガシー環境では、誤ったNTLM認証設定(lmcompatibilitylevel)が原因で認証に失敗することがあります。


対処法は、両方のマシンでlmcompatibilitylevelを揃えることです:

  1. ドメイン コントローラーと RDP ホストの両方で、Windows キー + R を押し、regedit.exe と入力します。

  2. HKLM\SYSTEM\CurrentControlSet\Control\Lsa に移動します。

    レジストリ エディターでの Lsa への移動

  3. lmcompatibilitylevel という名前の DWORD 値を見つけるか作成します。

  4. 値を 5 に設定すると、次が強制されます: NTLMv2 応答のみを送信し、LM および NTLM を拒否

  5. 両方のマシンを再起動してください。

これは、グループ ポリシーのパス: コンピューターの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプション > ネットワーク セキュリティ: LAN Manager 認証レベル に対応します。両方のマシンでこれを NTLMv2 応答のみを送信する。LM および NTLM を拒否する に設定すると、繰り返し発生する失敗を引き起こす不一致が解消されます。

イベント ビューアーを使用して RDP 認証の失敗を診断する

ターゲット マシンのイベント ビューアーは、設定を変更する前に、どの根本原因が該当するのかを正確に特定する最も速い方法です。修正方法がすぐに明らかでないマシンでは、私はまずこれを実行します。

  1. 対象のコンピューターで、Windows キー + R を押し、eventvwr.msc と入力して、Enter を押します。

  2. 左側のペインで、Windows ログを展開し、セキュリティを選択します。

  3. 右側の操作ペインで、現在のログのフィルターをクリックします。

  4. イベント ID フィールドに 4625 を入力し、OK をクリックします。

  5. 最新の Event ID 4625 のエントリをクリックし、下部ペインで詳細を確認します。

イベント内のStatusおよびSubStatusフィールドは診断の大部分を担います:

ステータスおよびサブステータス コード 意味 適用する修正
0xC000006A ユーザー名は正しいが、パスワードが間違っている パスワードを確認し、Credential Manager を確認する
0xC0000064 対象にユーザー名が存在しない ローカル ユーザーで正確なアカウント名を確認する
0xC0000234 アカウントがロックアウトされている Active Directory またはローカル ユーザー管理でロック解除する
0xC0000072 アカウントが無効化されている ユーザー管理でアカウントを有効にする
0xC000015B ログオンの種類が付与されていない 上記の修正 1(Allow log on through Remote Desktop Services 権限を追加)
0xC000006F ログオン時間によってアカウントが制限されている アカウントのプロパティを確認する
0xC0000070 ワークステーションの制限 アカウントが特定のマシンに制限されている

SubStatus0x0 を示している場合は、代わりに Status コードを参照してください。Status または SubStatus0xC000015B を示しているのに、そのアカウントがすでに Remote Desktop Users グループに所属している場合は、Fix 1 を適用する前に、ドメイン レベルの GPO がローカルの権限を上書きしていないか確認してください。

Logon Type フィールドも確認する価値があります。Type 10 はリモート インタラクティブで、RDP が使用します。Logon Type 10RDP (RemoteInteractive) を示します。その他のログオン タイプは、異なる認証経路やセッション処理の失敗を示している可能性があり、ローカル ポリシーの問題というよりは、ネットワーク リレーやゲートウェイの構成問題を示唆します。

ドメイン環境では、対象マシンだけでなくドメイン コントローラーの Security ログでも同じ Event ID 4625 を検索してください。ドメイン コントローラーは多くの場合、対象マシンが記録する前に認証の拒否を記録しており、両方のエントリを突き合わせることで、認証チェーンがどこで途切れたかを正確に把握できます。

ドメイン環境では、すべての RDP 失敗が対象マシン上で正確な 4625 エントリを生成するとは限りません。特に、より前段のドメイン コントローラーで認証が失敗している場合はそうです。

それでも解決しない場合、上記の修正後に残る例外的なケースは次の2つです。

  1. 対象マシンが Remote Desktop Services のセッション状態でハングしている。予期しない電源断や強制切断後に、TermService が新しい認証を拒否する状態に入ることがあります。対象マシンを完全に再起動すれば解消します。別経路でそのマシンにアクセスできる場合は、完全な再起動を行わずに、services.msc から Remote Desktop Services のみを再起動できます。

  2. ドメインまたは組織単位レベルのグループ ポリシーが、あなたのアカウントに対して「Remote Desktop Services を介したログオンを拒否」を適用しており、これが下位のすべての「許可」権限を上書きしている。 対象マシンで rsop.msc を実行し、Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment に移動します。

    あなたのアカウントが Allow log on through Remote Desktop ServicesDeny log on through Remote Desktop Services の両方に表示される場合は、グループ メンバーシップに関係なく Deny が優先されます。適用されているポリシー レベルで Deny エントリからそのアカウントを削除する必要があり、これには Group Policy Management Console へのアクセスが必要です。

RDP の「ログオンの試行に失敗しました」エラーの原因

私が見てきた事例の圧倒的多数は6つの根本原因に起因しており、これらはMicrosoftのドキュメント、コミュニティフォーラム、現場でのトラブルシューティングでも一般的に報告されています。

エラー文字列 根本原因 環境
The logon attempt failed. Allow log on through Remote Desktop Services のポリシー権限が付与されていない

ユーザー名の形式が不正(ローカルとドメインの不一致) 		ワークグループまたはドメイン
Your credentials did not work. The logon attempt failed. 資格情報マネージャーに古いまたは競合する資格情報が存在 すべての環境
Logon credentials invalid. 一部の RDP シナリオでの Microsoft アカウント資格情報の問題(パスワード/PIN の不一致や資格情報処理が原因となることが多い) Windows 11
An authentication error has occurred. The function requested is not supported. クライアントと接続先間の CredSSP/NLA のセキュリティ不整合(更新後、またはいずれかが完全にパッチ適用されていない場合によく発生) 更新後、すべて
An authentication error has occurred. The Local Security Authority cannot be contacted. ドメイン コントローラーに到達できないことによる NLA 失敗 ドメイン ネットワーク
Logon failure: user has not been granted the requested logon type at this computer. グループ ポリシー により、RDS ログオン権が明示的に拒否されているアカウント ドメインまたはローカル ポリシー

注意: 混在環境では、誤ったユーザー名の形式(たとえば、DOMAIN\username の代わりにローカルユーザー名を使用した場合、またはその逆)により、パスワードが正しくても即座に認証が失敗します。

このエラーは、完全に誤ったホストに接続している場合(例: DNS が別のマシンに解決している)や、対象でリモート デスクトップが正しく有効になっていない場合にも発生することがあります。

これらの原因の多くは、リモートデスクトップの画面が1ピクセルも表示される前に、RDP が認証レイヤーを積み重ねる仕組みに起因します。その設計は、企業ネットワーク向けのプロトコルとしては理にかなっています。しかし、完全には管理できないエンドポイントに対してリモートサポートを行う IT 技術者にとっては、そうしたレイヤーがセッション失敗の避けられない原因になります。 HelpWire は、その特定のユースケース向けに設計されています。リンクを送るだけでセッションを開始でき、エンドユーザー側でのアカウント設定は一切不要です。さらに、無人アクセスにより、再び認証の手順をたどることなく、後続の作業を行えます。

RDPで正しいパスワードを入力しても「Remote Desktop Connection Logon Attempt Failed」と表示されるのはなぜですか?

正しい資格情報でも、欠落しているポリシー権限を上書きすることはできません。ローカル セキュリティ ポリシーの Allow log on through Remote Desktop Services の権限は、ローカル管理者特権とは別の制御です。対象マシンでその権限にあなたのアカウントが含まれていなければ、Windows はパスワードが有効かどうかを確認する前に接続を拒否します。パスワードを2回リセットし、ローカル Administrators グループにアカウントを追加しても、同じエラーに遭遇する人を見てきました。どちらの操作もそのポリシー設定には影響しないからです。

2つ目の見落とされやすい原因は、接続元マシンの資格情報マネージャーです。Windows は、RDP の資格情報を対象のホスト名または IP アドレスにひも付けて保存します。保存された資格情報が古かったり別アカウントのものであったりすると、エントリの保存方法によっては、プロンプトを表示する前に Windows がそのターゲットに対して保存済みの資格情報を自動的に適用してしまうことがあります。エラーを見るとパスワードが違うと考えて変更しても、また同じ壁にぶつかります。場合によっては、特にパスワード変更後に、資格情報マネージャー内の保存済み資格情報が手入力より優先されます。

ワークグループ環境で見落とされがちな3つ目の原因は、アカウントのロックアウトです。別のデバイスや、ブラウザーに保存された古い資格情報、切断状態の RDP セッションが同じアカウントに対して古い資格情報で試行を繰り返していると、あなたがリモート デスクトップ接続を開く前にアカウントがロックされてしまいます。対象マシンの「コンピューターの管理」配下にあるローカル ユーザー管理パネルを確認すれば、30秒もかからずにこれを確認できます。

“Remote Desktop Login Failed” が出た後に多くの人が最初に試すこと(それがうまくいかない理由)

Windows ファイアウォールを無効化するのは反射的に最初にやりがちな対応です。ファイアウォール ルールは、TCP 3389 の接続がそもそも対象に到達できるかどうかを制御します。資格情報の入力プロンプトまで到達できる場合、原因がファイアウォールであることは通常ありません。

次に本能的に行われがちなのは、そのアカウントをローカルの Administrators グループに追加することです。管理者特権によって Remote Desktop Services のログオン権利が付与されるわけではありません。これらは別個の制御です。ローカル管理者であっても、そのポリシー上の権利がなければ RDP はブロックされます。

先にイベント ビューアーを確認せずにユーザー名の形式を手当たり次第に試すのは当てずっぽうです。DOMAIN\user, user@domain.com、および単なるユーザー名は、いずれも同じアカウントを表す場合があります。目の前に Event ID 4625 がなければ、実際に何が失敗しているのかを知る根拠がありません。

接続元マシンでリモート デスクトップ接続クライアントを管理者として実行しても効果はありません。認証はクライアントではなく対象マシンのセキュリティ ポリシーに対して行われます。

また、対象マシンでリモート デスクトップが有効になっていること、および Windows エディションが RDP ホスト接続をサポートしていること(Windows Home はサポートしていません)を確認してください。

よくある質問

NLA は、リモート デスクトップが読み込まれる前にセッションを認証します。ターゲット マシンがドメイン コントローラーに到達できない場合、またはクライアントとターゲット間で CredSSP のバージョン不一致がある場合、セッションが初期化される前に NLA が認証試行を打ち切ることがあります。これは、クライアント側で The logon attempt failed というメッセージとして表示されることがよくあります。システムのプロパティ > リモート タブでターゲット マシンの NLA を一時的に無効にすると、NLA が原因かどうかを確認できます。

対象コンピューターで rsop.msc を実行し、コンピューターの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > ユーザー権利の割り当て に移動します。影響を受けるアカウントが リモート デスクトップ サービスを介したログオンを拒否 の下に表示されている場合、そのエントリはすべての 許可 権限に優先し、適用されている グループ ポリシー レベルで グループ ポリシー管理コンソール を使用して削除する必要があります。

2026年4月のWindows更新プログラム(KB5083769)以降、Microsoftは.rdpファイルが接続する前に、どのローカルリソースを共有するかを確認するようユーザーに求める必須の警告を追加しました。これはスプーフィング攻撃を防ぐためのセキュリティ機能ですが、ダイアログが選択内容を保存しない場合は、繰り返し表示されるように見えることがあります。RedirectionWarningDialogVersionを1に設定すると、一時的な回避策としてダイアログの動作が2026年4月以前の動作に戻りますが、根本的なセキュリティ強化は引き続き有効です。


プロのヒント: 必要になる前に、リモートで管理するすべてのマシンにRDPアクセス用の専用ローカル管理者アカウントを用意しておきましょう。パスワードマネージャーに保管する強力なパスワードを設定し、セットアップ時にAllow log on through Remote Desktop Servicesの権限を付与します。ドメインコントローラーがダウンした場合、更新後にNLAが不具合を起こした場合、またはメインアカウントがポリシーの競合に直面した場合でも、そのローカルアカウントは本記事で説明している認証チェーン全体をバイパスしてマシンに入るための唯一の経路になります。


ユーザー向けに.rdpファイルを管理している場合は、2026年4月の更新以降、PowerShellで署名することを検討してください。繰り返し表示される信頼に関する警告を回避できます。署名されていない.rdpファイルは、KB5083769以降が適用されたWindows 11では起動のたびに新しいスプーフィング警告を引き起こします。

「ログオン試行に失敗しました」エラーがマシンへの唯一の経路を塞いでおり、コンソールアクセスも代替のローカルアカウントもなく、現地で設定を変更できる人もいない場合、一般的な RDP のトラブルシューティングは行き詰まります。ログオンできないマシンでは、secpol.msc を開くことも、資格情報マネージャーをクリアすることも、NLA を無効にすることもできません。


このような状況では、HelpWire が実用的な打開策を提供します。エンドユーザーはセッションリンクを開くだけで、アカウントの設定も、NLA のハンドシェイクも、ユーザー側でのドメイン到達性も不要です。セッションが確立されれば、マシン内部から本記事にあるいずれの修正も適用でき、今後の利用に向けて RDP を復旧できます。

HelpWire
4.6

無料のシンプルなリモートデスクトップソフトウェアでリモートサポートを強化しましょう。

サイトを表示
価格: 無料
対応システム: Windows, macOS, Linux
HelpWire