リモートデスクトップのログインやログアウトの履歴を確認する方法
会社でパソコンを使っていると、特に何もしていないのに急に画面が真っ暗になる事がありました。
数秒で元に戻るのですが、急に落ちたかの様に真っ暗になるのでとても気持ちが悪い現象です。Windows Updateが勝手に動いた訳でも、他の何かが壊れた訳でもありません。
そこでイベントビューアーで調べた結果、リモートデスクトップが原因とわかりました。
今回は原因とイベントビューアーで調べた方法、その設定についてまとめたいと思います。
またこの設定はWindows10 Proでのみ設定可能です。
画面が真っ暗になる原因
前振りですがちょっと長め。
勝手に画面が真っ暗になる現象は、リモートデスクトップで他人がログインしようとして失敗した結果な事が分かりました。
会社内にパソコンのうち、主立った物は 社外からも仕事が出来る様にインターネットVPNを設定してリモートデスクトップでアクセスできる様になっています。
このインターネットVPN、DHCPでしたがユーザーが少数だったのでほぼ固定IPの様な状態になっていました。
DHCPですからIPアドレスの割り振りは変わる事があります。ですがそれに気付かずログインしようとしても、接続先はいつもと違うパソコンになります。
すると使っている側からすれば接続時点で画面は真っ暗になり、IDとパスワードが違うとログインエラーになったら元の画面に戻る、と言う状態になった訳です。
ちなみにアクセスしようとしていた側は「なぜか繋がらない」と文句を言っていたそうですが、違うパソコンですから繋がる訳が無いんですけどね。
これで原因が分かったので、IPアドレスでは無くパソコンの名前でアクセスする様に指示をしたら無事解決した、と言う事がありました。
調べた方法
この「リモートデスクトップでアクセスした事が真っ暗になる原因」と確定するのに役だったのがイベントビューアーとローカルセキュリティポリシーでした。
まずローカルセキュリティポリシーでログイン履歴を取る様に設定しておきます。次にイベントビューアーを起動しておき、真っ暗になった時点でイベントを確認する様にしました。
しばらくイベントを確認していたら、リモートデスクトップのアクセスとログインエラーが起きたら真っ暗になっていた事が判明した訳です。
本当にイベントビューアーとローカルセキュリティポリシー様々です。
ログイン履歴の設定方法
ローカルセキュリティポリシーで設定します。
Windows管理ツールからローカルセキュリティポリシーを起動します。起動後、「ローカルポリシー」-「監査ポリシー」をクリックします。
「アカウント ログオン イベントの監査」をダブルクリックします。
プロバティ画面が開くので、「成功」「失敗」の両方にチェックを入れ「OK」ボタンをクリックします。
元の画面に戻るので「ログオン イベントの監査」をダブルクリックします。
プロバティ画面が開くので、「成功」「失敗」の両方にチェックを入れ「OK」ボタンをクリックします。
ここまで設定したらローカルセキュリティポリシーを終了します。次は現象が起きた時点でイベントビューアーを確認します。
ログイン履歴の確認方法
イベントビューアーで確認します。
Windows管理ツールからイベントビューアーを起動します。起動したら「ローカルポリシー」-「監査ポリシー」をクリックします。
この画面の内、今回は「イベントID」を言う所に注目します。「4624」というイベントIDがログオンになります。もし真っ暗になった時間にこのイベントIDがあれば原因はリモートデスクトップのアクセスになります。
そして画面下またはダブルクリックすると、どのIDでログインしようとしたか等の詳細を確認する事が出来ます。
おわりに
何かしら問題やトラブルが起きた際に何が起きたか、を教えてくれるのがイベントビューアーです。
お陰でなにか変な動きをしたらイベントビューアーを見てみる、と言う癖がつきました。
以前にはイベントを確認する事でハードウェアのドライバーインストールエラーを解決した事もありますし、ネットワークのエラー原因を特定した事もあります。
今回はログイン状況のチェックのみに使っていますが、トラブルの調査時には 使いこなすとかなり有用なツールになります。