会社のノートPCがXPからVistaに切り替わったのだが、社内LANで使用しているVista機を外に持ち出し、VPNで社内LANに接続し、ドライブ割り当てしてある共有フォルダにアクセスしようとすると「ユーザーが存在しません」と言われて接続できないトラブルが発生した。
サーバの名前解決もできてるし、PINGも通るし、イベントピューワからするとActiveDirectoryのドメインコントローラとも通信を行っているようなのに何で???(もちろんファイアウォールも殺してある。)
唯一IPでの接続(\192.168.XXX.XXX等)の場合だけ、ユーザー名とパスワードを聞いてくるため、その際に適切なユーザー名とパスワード(ドメインにログオンする際の)を指定すればアクセス可能なのは確認できた。
ただそれでは使い勝手が悪いので、さらに調べていくと、手順を変更することで回避可能な事が解った。
通常XPだと、
1.ドメインのユーザー名、パスワードでPCにログオン
2.インターネット接続(携帯やモデムでプロバイダに接続)
※3の設定で事前に接続する設定にしてあれば自動で接続される
3.PPTP等VPNで会社に接続(ドメイン以外のユーザー名、パスワードで接続)
4.共有フォルダにアクセス
という手順であったのだが、Vistaの場合は、
1.インターネット接続(携帯やモデムでプロバイダに接続)
※2の設定で事前に接続する設定にしてあれば自動で接続される
2.PPTP等VPNで会社に接続(ドメイン以外のユーザー名、パスワードで接続)
3.PCへのログオンは失敗するが、回線及びVPNは接続されたままなので指示に従いユーザーを再選択
4.ドメインのユーザー名、パスワードでPCにログオン
5.共有フォルダにアクセス
で問題無くファイルサーバに接続可能であった。
どうやらVistaは、最後にネットワークにログオンしたユーザー名、パスワードでファイルサーバにアクセスに行くうえ、エラーになってもユーザー名とパスワードを再度聞いてこない仕様らしい。
うちの場合、VPNサーバはセキュリティ上ActiveDirectoryの管理外にしてあり、ユーザー名、パスワードもドメインのものとも変えてあるため、PCにログオン後VPNに接続するとそのアカウントが有効になり、全部弾かれてしまっていた訳だ。
ログオン前にVPN接続を完了させておくと、仮想的に社内LANに繋がった状態でログオンする事になり、全ての問題が解決するという訳らしい。
事前にVPNを接続してからPCにログオンするという手段は、Vista以前でも可能ではあったが、インターネット接続のユーザー名、パスワード、VPN接続のユーザー名、パスワード、ドメインログオンのユーザー名、パスワード、計3回認証(しかも全部手打ち…)しないとならなかったため、非常に面倒であり、やむをえずログオン後に接続するという手段を取っていた。(ログオン後であれば、事前に登録したユーザー名、パスワードで接続する事ができるため。)
Vistaでは、事前に登録したインターネットの接続先やVPN接続先が選択できるようになっており、かつVPN接続先の設定で、事前にインターネットへの接続をするようにしてあれば、VPNのユーザー名とパスワードを入力するだけでインターネットの接続〜VPNの接続まで完了するようになっている。
PCへのログオンも、アカウントを選択してパスワードだけ入れれば良いので、かなりの手間が簡略化でき、我慢できる範囲内だと思う。(VPNのアカウントがActiveDirectoryの管理下にあれば、PCへのログオンまで一括でできるため、LAN環境でログオンするのと手間はほとんど変わらない。)
しかし、ここまでたどり着くのに結構手間がかかったよ〜ふぅ…。