リモート接続時に、移動プロファイルの同期がされず、一時ユーザプロファイル(TEMP)でログオンされる。

Question

■事象
　Windows Server 2012 R2のアプリケーションサーバに、リモートデスクトップ接続した際に、

　初回はグループポリシーで設定した移動ユーザプロファイルが正常に適用され、デスクトップが想定通り展開されるのですが、

　一度サインアウトし、再度ログオンするとそれ以降は何度繰り返しても一時ユーザプロファイル(TEMP)がでログオンされ

　デスクトップは初期設定の状態になっております。

　原因または解決法をご存じの方がいらっしゃいましたらご教示いただけますと幸いです。

■サーバ用途、運用

　対象サーバは主にAccessをRemoteAppで利用するためのアプリケーションサーバです。
　ユーザによっては直接リモート接続することもあります。

　アプリケーションサーバは複数台ありますが、

　ユーザは割り振られた１つのアプリケーションサーバショートカットから接続する運用になっているため、

　特定のアプリケーションサーバ以外に接続することはありません。

■グループポリシー設定

　・リモート デスクトップ サービス移動ユーザー プロファイルのパスを指定する

　　　移動プロファイルの設定は以下でDFSのフォルダを指定しています。　　　
　　　※DFSではレプリケーションは行っておらず、単純に名前空間を使用するためだけにDFSを使用しております

　・Administrators セキュリティ グループを移動ユーザー プロファイルに追加する：有効

　・移動プロファイル フォルダーのユーザー所有権を確認しない：有効

　・一時記憶された移動プロファイルのコピーを削除する：有効

　・コンピューターの起動およびログオンで常にネットワークを待つ：有効

　※ほかにも複数のポリシーの設定はしておりますが、関係しそうな設定があればご教示ください。

■確認した内容

　・ユーザの権限の問題か

　　→同一権限でも正常にいくユーザもいればうまくいかないユーザもいる

　・グループポリシーの問題か

　　→同一のOU配下のユーザでも正常にいくユーザもいればうまくいかないユーザもいる

　・ユーザプロファイルの仮想ハードディスク化による問題か

　　→ネットワーク上のファイルサーバの共有フォルダに書くのされたユーザプロファイル仮想ディスクを使用しており、
　　　ログオン時にC:\users\配下にマウントされる設定になっているが、

　　　プロファイル仮想ハードディスクをやめて
　　　C:\users\配下に直接ユーザプロファイル作成する設定に変えても事象が発生

　・認証先DCの問題か

　　→うまくいくユーザもそうでないユーザもログオン時はどちらも同じDCで認証されていた。

　・ユーザを新規作成ではどうか

　　→新規ユーザでも事象発生

■関係するサーバ環境

　・アプリケーションサーバ：Windows Server 2012 R2　※事象発生サーバ

　・ドメインコントローラ：Windows Server 2022

　・RDPライセンスサーバ：Windows Server 2022

　・ファイルサーバ：Windows Server 2022

Answer 1

教えていただき誠にありがとうございます。
FSLogix確認致します。

また、以下の件、現状User Profile Diskを使用しております。

>上記がライセンス上難しい場合は、よりシンプルな方法として、User Profile Diskを使ってください。原>理原則は同じですが、シンプルな方法でこうせいできます。以下の情報を参考にしてください。

>Configuring User Profile Disks (UPD) on Windows Server RDS | Windows OS Hub (woshub.com)

以下の件は、手動での作業になりますが近い方法で解決できております
1.[コンピューターの管理]-[共有フォルダー]-[開いているファイル]で、ロックされているファイルを確認、個別に手動で解放
2.ファイルサーバ上のUser Profile Diskを手動で削除

>切り分けとしては、リモートプロファイルを保存しているサーバー上で、[コンピューターの管理]-[共
>有フォルダー]-[開いているファイル]で、ロックされているファイルを確認、個別に手動で解放するこ

>とで、問題解決するとは思います。

Answer 2

一時プロファイルでサインインしてしまったクライアント側のイベントログを調査してみてください。

ログオンに関するイベントで、何らかのエラーが出ているかと思いますので、その内容を確認してください。

参考として、以下のような情報もあります。

ユーザー プロファイルをイベント ID 1509 で読み込むことができません - Windows Server | Microsoft Learn

Answer 3

回答いただきありがとうございます。

イベントビューアではエラーが出ておりませんでした。

Answer 4

チャブーンです。

この件ですが、プロファイルロード時の問題ではない、ということであれば、直接的な原因としては、「最初のログオフ時のSMBセッションが切断されていない」が、原因の可能性が高いです。

移動ユーザープロファイルでは、ログオフ時にローカルプロファイルをリモートプロファイルにコピーします。この際 SMBセッションが生成されて、ファイルが一時的にロックされます。ログオフが完了したら、SMBセッションが終了してロックが解かれるはずなのですが、SMBセッションが残っていると、ファイルのロックが解けず、次回ログオン時に「リモートプロファイルにアクセスできない」ため、一時ファイルでログオンするのではないでしょうか。

切り分けとしては、リモートプロファイルを保存しているサーバー上で、[コンピューターの管理]-[共有フォルダー]-[開いているファイル]で、ロックされているファイルを確認、個別に手動で解放することで、問題解決するとは思います。(実際はメンドウなので[コンピューターの管理]-[共有フォルダー]-[セッション]で、不要なセッションを切断することになります)

解決策ですが、これはOSの仕様というか不具合の要素を含んでいますので、「クライアントOS(ここではServer 2012 R2)とサーバーOSの組み合わせを変える」以外の、抜本解決策はないかもしれません。Windows Server 2012 R2はサポートが切れたOSですので、OSをアップグレードする、ということをお奨めします。というか、これ以外は難しいでしょう。

運用で何が何でもカバーしたい、というのであれば、『リモートプロファイルを保存しているサーバー上で、[コンピューターの管理]-[共有フォルダー]-[セッション]で、不要なセッションを切断する』を、手動で毎回実施することです。この作業自体は、コマンドで設定することはできます。が、解除するタイミングを自動検出することはできない(ログオフが完全終了したタイミングをリモートサーバー側では検出できません)ので、結局は手動で実行する、というメンドウな話しになると思います。

追記:後で気が付きましたが、実はひとつだけ解決方法があります。移動ユーザープロファイルを「SMBセッション」ベースで使うのではなく、「イメージマウント」という別のしくみに置き換えることです。このしくみはFSLogixというもので、プロファイルデータ領域を「リモートイメージをマウント」することでローカル化して、そこにデータを書き込むという手法です。こうすれば、リモートイメージをマウントするだけで、異なるマシン上で、同じプロファイルを利用できます。ファイル単位のロックは発生しませんので、上記の問題は発生しません。以下を参照いただくといいでしょう。

FSLogix とは - FSLogix | Microsoft Learn

上記がライセンス上難しい場合は、よりシンプルな方法として、User Profile Diskを使ってください。原理原則は同じですが、シンプルな方法でこうせいできます。以下の情報を参考にしてください。

Configuring User Profile Disks (UPD) on Windows Server RDS | Windows OS Hub (woshub.com)