La autenticación de Windows se comporta de manera extraña cuando VPN'd

8

Tenemos algunas aplicaciones que dependen de la autenticación de Windows: un par de aplicaciones web con autenticación AD activada y generalmente nos conectamos a nuestros servidores SQL con autenticación de Windows. Esto normalmente funciona sin problemas. Sin embargo, no funciona tan bien si estamos conectados a un sitio cliente.

SSMS

Al abrir SSMS normalmente desde el menú de inicio, luego elegir un servidor que normalmente acepte la autenticación de Windows, aparece un mensaje que dice:

Error de inicio de sesion. El inicio de sesión es de un dominio no confiable y no se puede usar con la autenticación de Windows. (Proveedor de datos .Net SqlClient)

Si llego a un símbolo del sistema y lo uso runas /user:domain\userpara iniciar SSMS, puedo autenticar con éxito la autenticación de Windows en nuestras instancias del servidor SQL con ese proceso de SMS.

Si miro en el administrador de tareas, ambas copias de ssms.exe (menú de inicio vs runas) tienen el mismo usuario, y no puedo ver diferencias discernibles entre los procesos en procexp.

Sitios web de autenticación de AD

Si abro IE y busco en cualquiera de nuestros sitios web que requieren un usuario de Windows autenticado, aparece el mensaje "¿quién es usted?", Y ese cuadro de diálogo piensa que soy el usuario de VPN. Sin embargo, puedo hacer clic en "Usar otra cuenta" y autenticarme de esa manera.

panorama

¡Incluso Outlook solicita un nombre de usuario cuando tenemos VPN!

Está afectando a nuestras máquinas Win7 y Vista. Ha pasado un tiempo desde que teníamos una caja de XP, pero no recuerdo haber tenido este problema en XP por lo que vale.

Las conexiones VPN solo están utilizando las conexiones VPN de Windows integradas, no son elegantes VPN de Cisco ni nada de esa naturaleza.

¿Alguien sabe cómo decirle a Windows que me gustaría ser mi antiguo usuario de dominio primario normal en lugar de ser el usuario de VPN cuando me autentico en los recursos de nuestro dominio? Diablos, estaría contento con una solución que me impulsó a "quién eres" si intentaba acceder a la autenticación de Windows que requiere recursos en la VPN del cliente.

¡Gracias!

Disculpas si esta es más una pregunta de superusuario, no estaba seguro de qué sitio se adaptaba mejor. Se trata de redes e infraestructura y afecta a todos nuestros desarrolladores aquí, así que espero que sea un error de servidor Q.

active-directory  vpn  authentication  windows-authentication 
Dan F
fuente
¿Está utilizando la autenticación de Windows cuando se conecta a su servidor VPN? es decir, el servidor VPN utiliza la autenticación AD o Windows.
Jack B Nimble
Erm, eso creo. Creo que el nombre de usuario + contraseña que ingresamos cuando nos conectamos a los servidores VPN de los clientes es un nombre de usuario AD para su red. Espero que ayude :-)
Dan F

Respuestas:

9

También estaba teniendo este mismo problema y encontré la solución aquí:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Deberá ubicar su archivo .pbk de conexiones VPN.

Lo puedes encontrar aquí:

C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connections \ Pbk

O si lo tiene configurado para permitir que todos los usuarios usen la conexión, puede encontrarlo aquí:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Edítelo con un editor de texto y encuentre la línea que dice:

UseRasCredentials=1

Deshabilítelo configurándolo en 0

UseRasCredentials=0
Makotosan
fuente
¡BONITO! Trabajado por primera vez!
LucasS
2

Utilizamos el software Cisco VPN para algunos usuarios externos. El software VPN solicita credenciales que realicen consultas en Active Directory para garantizar que el nombre de usuario / contraseña sean correctos y que el usuario tenga derechos para iniciar sesión a través de VPN. Pero una autenticación exitosa solo establece una conexión a la red. El acceso a los recursos de la red depende de la autenticación que proporcionó a la estación de trabajo cuando inició sesión.

Esto se convirtió en un problema para nosotros porque los usuarios iniciarían sesión en la computadora portátil con credenciales almacenadas en caché, establecerían una conexión VPN y luego cambiarían su contraseña. Luego bloquearían sus cuentas de dominio porque su token de usuario tenía sus credenciales anteriores. Desde entonces, hemos aconsejado a estos usuarios que bloqueen y desbloqueen su estación de trabajo después de cambiar su contraseña mientras se establece el túnel VPN. Esto actualiza el token del usuario y les permite acceder a los recursos de la red utilizando las credenciales actualizadas.

usuario7078
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.