Xác thực Windows hoạt động kỳ quặc khi VPN'd

Chúng tôi đã có một vài ứng dụng dựa trên xác thực windows - một vài ứng dụng web đã bật AD auth và chúng tôi thường kết nối với các máy chủ SQL của chúng tôi bằng windows auth. Điều này thường chạy mà không gặp một trở ngại. Nó không hoạt động tốt như vậy nếu chúng tôi VPN đến một trang web của khách hàng.

SSMS

Mở SSMS bình thường từ menu bắt đầu, sau đó chọn một máy chủ thường chấp nhận cửa sổ auth, kết quả là một thông báo cho biết:

Đăng nhập thất bại. Đăng nhập là từ một miền không tin cậy và không thể được sử dụng với xác thực Windows. (.Net Nhà cung cấp dữ liệu SqlClient)

Nếu tôi thả xuống một dấu nhắc lệnh và sử dụng runas /user:domain\userđể khởi chạy SSMS, tôi có thể tự động thành công các cửa sổ auth đến các phiên bản máy chủ SQL của chúng tôi với quy trình ssms đó.

Nếu tôi tìm trong trình quản lý tác vụ, cả hai bản sao của ssms.exe (menu bắt đầu so với runas) có cùng một người dùng và tôi có thể thấy không có sự khác biệt rõ rệt giữa các quy trình trong procexp.

Trang web AD Auth

Nếu tôi mở IE và duyệt đến bất kỳ trang web nào của chúng tôi yêu cầu người dùng windows được xác thực, tôi sẽ nhận được lời nhắc "bạn là ai" và hộp thoại đó nghĩ rằng tôi là bất kỳ ai là người dùng VPN. Tôi có thể nhấp vào "Sử dụng tài khoản khác" và xác thực theo cách đó.

Quan điểm

Ngay cả Outlook cũng nhắc tên người dùng khi chúng tôi là VPN!

Nó ảnh hưởng đến máy Win7 và Vista của chúng tôi. Đã được một thời gian kể từ khi chúng tôi có một hộp XP, nhưng tôi không nhớ vấn đề này trên XP là gì.

Các kết nối VPN chỉ sử dụng các kết nối VPN tích hợp trong windows, chúng không phải là VPN cisco ưa thích hay bất cứ thứ gì có tính chất đó.

Có ai biết làm thế nào để nói với các cửa sổ rằng tôi muốn trở thành người dùng tên miền chính cũ bình thường của tôi chứ không phải là người dùng VPN khi xác thực tài nguyên trong miền của chúng tôi không? Heck, tôi rất vui với một giải pháp nhắc tôi với "bạn là ai" nếu tôi đang cố truy cập các cửa sổ auth yêu cầu tài nguyên trên VPN của máy khách.

Cảm ơn!

Xin lỗi nếu đây là một câu hỏi siêu người dùng, tôi không chắc trang nào phù hợp nhất. Đó là về mạng và cơ sở hạ tầng và bệnh dịch cho tất cả các nhà phát triển của chúng tôi ở đây, vì vậy tôi hy vọng đó là một máy chủ Q.

Tôi cũng gặp vấn đề tương tự và tìm thấy giải pháp ở đây:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Bạn sẽ cần xác định vị trí các tệp .pbk kết nối VPN của mình.

Bạn có thể tìm thấy nó ở đây:

C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connected \ Pbk

Hoặc nếu bạn đã đặt nó để cho phép tất cả người dùng sử dụng kết nối, bạn có thể tìm thấy nó ở đây:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Chỉnh sửa nó bằng một trình soạn thảo văn bản và tìm dòng có nội dung:

UseRasCredentials=1

Vô hiệu hóa nó bằng cách đặt nó về 0

UseRasCredentials=0

Chúng tôi sử dụng phần mềm Cisco VPN cho một số người dùng ngoài trang web. Phần mềm VPN nhắc nhở thông tin xác thực truy vấn Active Directory để đảm bảo tên người dùng / mật khẩu là chính xác và người dùng có quyền đăng nhập qua VPN. Nhưng một xác thực thành công chỉ thiết lập một kết nối với mạng. Truy cập vào tài nguyên mạng phụ thuộc vào xác thực bạn đã cung cấp cho máy trạm khi bạn đăng nhập.

Điều này trở thành một vấn đề đối với chúng tôi vì người dùng sẽ đăng nhập vào máy tính xách tay với thông tin đăng nhập được lưu trong bộ nhớ cache, thiết lập kết nối VPN, sau đó thay đổi mật khẩu của họ. Sau đó, họ sẽ khóa tài khoản miền của họ vì mã thông báo người dùng của họ có thông tin đăng nhập cũ. Kể từ đó, chúng tôi đã khuyên những người dùng này khóa và mở khóa máy trạm của họ sau khi thay đổi mật khẩu trong khi đường hầm VPN được thiết lập. Điều này cập nhật mã thông báo người dùng và cho phép họ truy cập tài nguyên mạng bằng thông tin đăng nhập được cập nhật.