【AD環境】IKEv2接続クライアントへのグループポリシー適用について

Question

お世話になります。下記のような構成にて運用しております。
AD CSをWS2019からWS2025へ変更しました。移行はスムースに行なえたと思います。
○DC構成【DFSRにて運用中】
WS2022 1台、WS2019 1台
○VPN+NPS（RRASを利用：IKEv2）
WS2022
○NPS（Radius）
WS2022
○AD CS
WS2025【WS2019からWS2025へリプレイス】

○運用方法
クライアントにドメインメンバーでサインインをした後、IKEv2接続（ユーザ証明書）を行ないます。

上記を行なった後、IKEv2クライアント（Win11）からの接続は正常に行なえるのですが、画像のように共有リソース（ex：\test001）へのアクセス時に「認証要求を処理するドメインコントローラーにアクセスできません」というエラーが出るようになりました。ここで正しく入力し、資格情報を保存しても次回サインインの時には同様になります。
ただし、UNC表記（ex：\test001.＊＊＊.＊＊＊）ですと即座にアクセスは行なえます。

グループポリシーの適用においては、コンピュータポリシーは適用できますが、ユーザーポリシーの適用時に、ID7017・ID1058（gpresult /hではユーザー名とパスワード違いとメッセージされます）となります。
新規にユーザを作成し、有線環境でドメイン認証を行ないユーザ証明書を発行、IKEv2接続をした場合でも現象は同様です。
尚、他の既存ローカルクライアントや新規のローカルクライアントでも上記のような問題は発生しておりません。
これを試してみたら？というアドバイスがある方がいらっしゃれば、お願いしたく思います。
よろしくお願いいたします。
サインインの前にIKEv2接続を行なわないとダメなのでしょうか・・。

Answer 1

チャブーンです。

この件ですが、まず前提条件として、GPOをVPN経由でリモートクライアントに「ログオン前に」適用させる方法は、サードパーティ製品を含まない場合、ありません。純粋にWindowsのみで行うにはDirectAccessサーバー+Windows Enterpriseクライアントの構成が必要です。

ですので、単純にVPN接続後にgpupdateコマンドを実行した結果、を対象にお話しします。

状況から、VPN接続した後に、以下の状況になっている可能性があります。

• ドメインコントローラーの名前解決ができない
  SRVレコードでの必要サービス(ldap,kerberos等)名前解決ができていない可能性があります。クライアントから以下のnslookupコマンドを実行して、SRVレコードの名前解決ができるのか、をかくにんしてください。
  nslookup -type=srv _ldap.tcp.<Active Directoryドメイン名>.
• ドメインコントローラーへのIPアクセスができない
  念のため、IPレベルでのアクセスができるか、確認してください。
  ping <ドメインコントローラーのIPアドレス>
ping <ドメインコントローラーのFQDN>
• ドメインコントローラー側でSYSVOL複製がうまくいっていない
  これはクライアント側ではなくドメインコントローラー側での対応が必要です。
  ドメインコントローラー上で、以下のコマンドを実行して確認すると、複製状況がわかります。「DFS管理ツール」のインストールが必要です。
  dfsrdiag backlog /RGName:"Domain System Volume" /RFName:"SYSVOL Share" /smem:<複製元サーバー名> /rmem:<複製先サーバー名>