Аутентификация Windows ведет себя странно, когда VPN

У нас есть несколько приложений, которые полагаются на проверку подлинности Windows - пару веб-приложений с включенной аутентификацией AD, и мы обычно подключаемся к нашим серверам SQL с аутентификацией Windows. Это обычно работает без помех. Хотя это не так хорошо работает, если мы подключаем VPN к клиентскому сайту.

SSMS

При обычном открытии SSMS из меню «Пуск» и выборе сервера, который обычно принимает проверку подлинности Windows, появляется сообщение:

Ошибка входа. Логин входит в ненадежный домен и не может использоваться с аутентификацией Windows. (Поставщик данных .Net SqlClient)

Если я перейду к командной строке и использую runas /user:domain\userдля запуска SSMS, я могу успешно выполнить аутентификацию Windows на наших экземплярах SQL-сервера с этим процессом ssms.

Если я посмотрю в диспетчере задач, обе копии ssms.exe (меню «Пуск» и «Runas») имеют одного и того же пользователя, и я не вижу заметных различий между процессами в procxp.

AD Auth сайты

Если я открываю IE и просматриваю любой из наших веб-сайтов, для которых требуется аутентифицированный пользователь Windows, я получаю приглашение «кто ты», и в этом диалоговом окне показывается, что я - тот, кто является пользователем VPN. Я могу нажать «Использовать другую учетную запись» и пройти аутентификацию таким образом.

прогноз

Даже Outlook запрашивает имя пользователя, когда мы VPN!

Это влияет на наши машины Win7 и Vista. Прошло довольно много времени с тех пор, как у нас была система XP, но я не помню, чтобы эта проблема была на XP, хотя она того стоит.

VPN-соединения используют только встроенные VPN-соединения Windows, они не являются причудливыми VPN Cisco или чем-то в этом роде.

Кто-нибудь знает, как сказать Windows, что я хотел бы быть моим обычным старым пользователем основного домена, а не пользователем VPN при аутентификации ресурсов в нашем домене? Черт возьми, я был бы счастлив с решением, которое подсказало бы мне, "кто ты", если бы я пытался получить доступ к аутентификации Windows, требующей ресурсов на VPN клиента.

Спасибо!

Извиняюсь, если это вопрос суперпользователя, я не был уверен, какой сайт лучше всего подходит. Речь идет о сети и инфраструктуре и преследует всех наших разработчиков здесь, поэтому я надеюсь, что это ошибка сервера.

У меня тоже была такая же проблема, и я нашел решение здесь:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Вам нужно будет найти ваш файл VPN-подключений .pbk.

Вы можете найти это здесь:

C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connections \ ПБК

Или, если у вас установлено, чтобы разрешить всем пользователям использовать соединение, вы можете найти его здесь:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Отредактируйте его в текстовом редакторе и найдите строку с надписью:

UseRasCredentials=1

Отключите его, установив его на 0

UseRasCredentials=0

Мы используем программное обеспечение Cisco VPN для некоторых сторонних пользователей. Программное обеспечение VPN запрашивает учетные данные, которые запрашивают у Active Directory, чтобы убедиться, что имя пользователя и пароль верны, и у пользователя есть права на вход через VPN. Но успешная аутентификация только устанавливает соединение с сетью. Доступ к сетевым ресурсам зависит от аутентификации, которую вы предоставили рабочей станции при входе в систему.

Это стало проблемой для нас, потому что пользователи входили в систему на ноутбуке с кэшированными учетными данными, устанавливали VPN-соединение, а затем меняли свой пароль. Затем они блокировали свои учетные записи домена, потому что у их токена были свои старые учетные данные. С тех пор мы посоветовали этим пользователям заблокировать и разблокировать их рабочую станцию ​​после изменения их пароля, пока установлен VPN-туннель. Это обновляет маркер пользователя и позволяет им получать доступ к сетевым ресурсам с использованием обновленных учетных данных.