ファイルサーバの利用者より、表題のような「指定されたログオンセッションは存在しません。そのセッションは既に終了している可能性があります。」というメッセージが出てサーバにアクセスできないと問い合わせがありました。
外出先からVPN接続経由でファイルサーバにアクセスできないようで、調べてみました。
社外からファイルサーバにアクセスするためにはデータセンタにVPNで接続しないといけなくて、利用者からすると接続方法がややこしいからクラウドのサービスを使ってほしいという意見はごもっともです。
私も経営陣に訴え続けようやくクラウドストレージのBoxを導入できそうな気配ですが、今回はオンプレサーバのお話です。
外出先では貸出用PCを使用
通常の社内で利用するPCではこういう問題は発生しないのですが、外出者が社外でPCを利用するために貸出PCを数台準備しており、そのPCでまれに上記のエラーが発生します。
原因については、貸出PC利用者は都度貸出申請を行って使用するのですが、複数の従業員で使い回す貸出PCのためドメイン参加させておらずこのようなエラーが発生しているという仮説を立てました。
使いまわしってセキュリティ的に大丈夫なの?というご心配もあるかと思います。
貸出PCの利用方法として、外出先で社内のWebアプリケーションを利用する場合は社内ネットワークへVPN接続を行い、デスクトップ上にはショートカットを置かれておりそこからアクセスすればログイン画面が表示されるので各種サービスについては利用者の特定ができます。
共有PCでログインアカウントを使い回すのだから誰が実際にログインしたか分かんないじゃないの!?という点では、貸出履歴で誰が持っていったかわかるようになっていますので若干アナログ感はありますが、そういうことにしています。
外出先からファイルサーバへアクセス
社内のファイルサーバにアクセスしたい場合も、ファイルサーバへのパスが記載されたショートカットがデスクトップ上に置かれておりますので、そのショートカットからアクセスするのですが、その際に「Windows セキュリティ」画面が表示され、ドメインユーザーのIDとPWを入力してもらいます。
通常であればドメインユーザーに許可されたフォルダのみ表示され、アクセスする個人が特定されるのですが、上記のエラーが発生した場合は、次の方法で回避します。
「指定されたログオンセッションは存在しません」エラーの回避方法
「ファイル名を指定して実行」から「gpedit.msc」と入力し、「OK」を押します。
「ローカルグループポリシーエディター」が表示されます。
画面左側から「ローカルコンピュータポリシー」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」をクリックします。
右側のポリシーの一覧から、真ん中ほどにある「ネットワークアクセス:ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」が「有効」になっていますので「無効」にします。
これで設定は完了です。再起動をすると接続が確認できました。今回の場合は、分散ファイルシステム(DFS)を構築している場合に起きたようです。結構手間取りました。
まとめ
元はと言えば貸出PCを使い回すのが原因で、 この令和にPCを持ち出すことはできないって何ナノ!?という意見が勝ち、貸与されているPCを持ち出してよいことになったため、現在はこの現象も発生していません。
その手前で、シンクライアントはどうなの?なんて議論もあったのですが、コスト的に全然見合わなくて却下となりました。
Windows環境をクラウド上で利用できるAzure Virtual Desktopがもう少し手頃な価格に落ち着けばいずれは導入することになるのだろうなと想像しつつ、今回はゴリゴリのファットPCをそのまま持ち出すというパワープレイに出ました。
(もちろん暗号化はしてますよ、念の為。)
シンクラ環境を導入する前にPCを紛失するというインシデントが発生しないことを祈りつつこの辺で筆を置きたいと思います。
コメント