Otentikasi Windows berlaku aneh ketika VPN

Kami punya beberapa aplikasi yang mengandalkan otentikasi windows - beberapa aplikasi web dengan auth AD diaktifkan dan kami biasanya terhubung ke server SQL kami dengan auth windows. Ini biasanya berjalan tanpa hambatan. Ini tidak bekerja dengan baik jika kita VPN ke situs klien.

SSMS

Membuka SSMS secara normal dari menu mulai, lalu memilih server yang biasanya menerima windows auth, menghasilkan pesan yang mengatakan:

Gagal masuk. Info masuk berasal dari domain yang tidak terpercaya dan tidak dapat digunakan dengan otentikasi Windows. (. Penyedia Data SqlClient Net)

Jika saya beralih ke command prompt dan gunakan runas /user:domain\useruntuk meluncurkan SSMS saya dapat berhasil windows auth ke contoh SQL server kami dengan proses ssms.

Jika saya melihat task manager, kedua salinan ssms.exe (start menu vs runas) memiliki pengguna yang sama, dan saya tidak dapat melihat perbedaan yang mencolok antara proses di procexp.

Situs web Auth AD

Jika saya membuka IE dan menjelajah situs web kami yang membutuhkan pengguna windows terotentikasi, saya mendapatkan prompt "who are you", dan dialog itu mengira saya adalah siapa pun pengguna VPN itu. Saya dapat mengklik "Gunakan akun lain" dan mengotentikasi dengan cara itu.

Pandangan

Bahkan Outlook meminta nama pengguna saat kami VPN!

Ini memengaruhi mesin Win7 dan Vista kami. Sudah lama sejak kami memiliki kotak XP, tapi saya tidak ingat memiliki masalah ini pada XP untuk apa nilainya.

Koneksi VPN hanya menggunakan koneksi VPN windows bawaan, mereka tidak suka VPN cisco atau hal semacam itu.

Adakah yang tahu cara memberi tahu windows bahwa saya ingin menjadi pengguna domain primer lama yang normal daripada pengguna VPN saat mengautentikasi ke sumber daya di domain kami? Heck, saya akan senang dengan solusi yang mendorong saya dengan "siapa kamu" jika saya mencoba mengakses windows auth yang membutuhkan sumber daya pada VPN klien.

Terima kasih!

Maaf jika ini lebih merupakan pertanyaan pengguna super, saya tidak yakin situs mana yang paling cocok. Ini tentang jaringan dan infrastruktur dan mengganggu semua pengembang kami di sini, jadi saya harap ini adalah kesalahan server Q.

Saya juga mengalami masalah yang sama dan menemukan solusinya di sini:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Anda harus mencari koneksi VPN .pbk file Anda.

Anda dapat menemukannya di sini:

C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connections \ Pbk

Atau jika Anda mengaturnya untuk memungkinkan semua pengguna menggunakan koneksi, Anda dapat menemukannya di sini:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Edit dengan editor teks dan temukan baris yang berbunyi:

UseRasCredentials=1

Nonaktifkan dengan mengaturnya ke 0

UseRasCredentials=0

Kami menggunakan perangkat lunak Cisco VPN untuk beberapa pengguna di luar lokasi. Perangkat lunak VPN meminta kredensial yang menanyakan terhadap Active Directory untuk memastikan nama pengguna / kata sandi benar dan pengguna memiliki hak untuk masuk melalui VPN. Tetapi otentikasi yang berhasil hanya membuat koneksi ke jaringan. Akses ke sumber daya jaringan bergantung pada otentikasi yang Anda berikan ke workstation saat Anda masuk.

Ini menjadi masalah bagi kami karena pengguna akan masuk ke laptop dengan kredensial yang di-cache, membuat koneksi VPN, lalu mengubah kata sandi mereka. Mereka kemudian akan mengunci akun domain mereka karena token pengguna mereka memiliki kredensial lama. Kami telah menyarankan para pengguna ini untuk mengunci dan membuka kunci stasiun kerja mereka setelah mengubah kata sandi mereka saat terowongan VPN dibuat. Ini memperbarui token pengguna dan memungkinkan mereka mengakses sumber daya jaringan menggunakan kredensial yang diperbarui.