Ich habe kürzlich in meinem Unternehmen ein neues RAS-VPN-System bereitgestellt, das einen Cisco ASA 5510 als Konzentrator verwendet. Das Protokoll ist L2TP-over-IPsec für maximale Kompatibilität zwischen Clients. Die Authentifizierung wird von einer RSA SecurID-Appliance durchgeführt. Alles funktioniert wirklich gut, außer in einem bestimmten Szenario:
- Die Arbeitsstation des Benutzers ist ein Domänenmitglied
- Der Benutzer meldet sich als Domänenbenutzer bei der lokalen Arbeitsstation an
- Der Benutzer stellt mit demselben Benutzernamen wie das angemeldete Konto eine Verbindung zum VPN her
- Der Benutzer versucht, auf Netzwerkressourcen wie Dateifreigaben oder Microsoft Exchange zuzugreifen
In diesem Fall wird das Benutzerkonto fast unmittelbar nach dem Versuch, eine Verbindung zu einer Netzwerkressource herzustellen (dh Outlook zu öffnen), in Active Directory gesperrt.
Ich glaube, das Problem ist, dass Windows versucht, die für die Verbindung zum VPN bereitgestellten Anmeldeinformationen zu verwenden. Da der Benutzername übereinstimmt, das Kennwort jedoch nicht, da es sich tatsächlich um ein einmaliges Kennwort handelt, das vom SecurID-Token generiert wird, schlägt die Authentifizierung fehl. Kontinuierliche Versuche führen dazu, dass das Konto gesperrt wird.
Gibt es eine Möglichkeit, Windows anzuweisen, dies zu beenden? Ich habe versucht, die Option "Client für Microsoft-Netzwerke" in den VPN-Eigenschaften zu deaktivieren, aber es hat nicht geholfen.