Die Windows-Authentifizierung verhält sich beim VPN merkwürdig

8

Wir haben einige Apps, die auf Windows-Authentifizierung basieren - einige Web-Apps mit aktivierter AD-Authentifizierung und normalerweise stellen wir mit Windows-Authentifizierung eine Verbindung zu unseren SQL-Servern her. Dies läuft normalerweise reibungslos. Es funktioniert jedoch nicht so gut, wenn wir VPN-Verbindungen zu einer Client-Site haben.

SSMS

Wenn Sie SSMS normalerweise über das Startmenü öffnen und dann einen Server auswählen, der normalerweise Windows-Authentifizierung akzeptiert, wird die folgende Meldung angezeigt:

Login fehlgeschlagen. Die Anmeldung stammt aus einer nicht vertrauenswürdigen Domäne und kann nicht mit der Windows-Authentifizierung verwendet werden. (.Net SqlClient Data Provider)

Wenn ich zu einer Eingabeaufforderung runas /user:domain\usergehe und SSMS starte, kann ich mit diesem ssms-Prozess erfolgreich Windows-Authentifizierung für unsere SQL Server-Instanzen durchführen.

Wenn ich im Task-Manager nachschaue, haben beide Kopien von ssms.exe (Startmenü vs Runas) denselben Benutzer, und ich kann keine erkennbaren Unterschiede zwischen den Prozessen in procexp feststellen.

AD Auth-Websites

Wenn ich den Internet Explorer öffne und zu einer unserer Websites navigiere, für die ein authentifizierter Windows-Benutzer erforderlich ist, wird die Eingabeaufforderung "Wer bist du?" Angezeigt. In diesem Dialogfeld wird angenommen, dass ich der VPN-Benutzer bin. Ich kann auf "Anderes Konto verwenden" klicken und mich auf diese Weise authentifizieren.

Ausblick

Sogar Outlook fordert zur Eingabe eines Benutzernamens auf, wenn wir über VPN verfügen!

Dies betrifft unsere Win7- und Vista-Computer. Es ist schon eine Weile her, dass wir eine XP-Box hatten, aber ich kann mich nicht erinnern, dieses Problem auf XP für das gehabt zu haben, was es wert ist.

Die VPN-Verbindungen verwenden nur die integrierten Windows-VPN-Verbindungen. Sie sind keine ausgefallenen Cisco-VPNs oder ähnliches.

Weiß jemand, wie man Windows mitteilt, dass ich bei der Authentifizierung bei Ressourcen in unserer Domäne eher mein normaler alter primärer Domänenbenutzer als der VPN-Benutzer sein möchte? Heck, ich würde mit einer Lösung zufrieden sein, die mich mit dem "Wer bist du" aufforderte, wenn ich versuchte, auf Windows-Authentifizierung zuzugreifen, für die Ressourcen im VPN des Clients erforderlich waren.

Vielen Dank!

Entschuldigung, wenn dies eher eine Superuser-Frage ist, war ich mir nicht sicher, welche Site am besten geeignet ist. Es geht um Netzwerk und Infrastruktur und plagt alle unsere Entwickler hier, also hoffe ich, dass es ein Serverfehler ist. Q.

active-directory  vpn  authentication  windows-authentication 
Dan F.
quelle
Verwenden Sie die Windows-Authentifizierung, wenn Sie eine Verbindung zu Ihrem VPN-Server herstellen? dh Der VPN-Server verwendet die AD- oder Windows-Authentifizierung.
Jack B Nimble
Ähm, ich denke schon. Ich glaube, Benutzername + Passwort, das wir eingeben, wenn wir eine Verbindung zu VPN-Servern von Clients herstellen, ist ein AD-Benutzername für deren Netzwerk. Ich hoffe das hilft :-)
Dan F

Antworten:

9

Ich hatte auch das gleiche Problem und fand hier die Lösung:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Sie müssen die .pbk-Datei Ihrer VPN-Verbindungen suchen.

Sie finden es hier:

C: \ Benutzer \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Netzwerk \ Verbindungen \ Pbk

Wenn Sie es so eingestellt haben, dass alle Benutzer die Verbindung verwenden können, finden Sie es hier:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Bearbeiten Sie es mit einem Texteditor und suchen Sie die Zeile mit der Aufschrift:

UseRasCredentials=1

Deaktivieren Sie es, indem Sie es auf 0 setzen

UseRasCredentials=0
Makotosan
quelle
NETT! Das erste Mal gearbeitet!
LucasS
2

Wir verwenden Cisco VPN-Software für einige externe Benutzer. Die VPN-Software fordert zur Eingabe von Anmeldeinformationen auf, die nach Active Directory fragen, um sicherzustellen, dass Benutzername / Kennwort korrekt sind und der Benutzer die Berechtigung hat, sich über VPN anzumelden. Eine erfolgreiche Authentifizierung stellt jedoch nur eine Verbindung zum Netzwerk her. Der Zugriff auf Netzwerkressourcen hängt von der Authentifizierung ab, die Sie bei der Anmeldung für die Workstation bereitgestellt haben.

Dies wurde zu einem Problem für uns, da sich Benutzer mit zwischengespeicherten Anmeldeinformationen am Laptop anmelden, eine VPN-Verbindung herstellen und dann ihr Kennwort ändern würden. Sie würden dann ihre Domänenkonten sperren, weil ihr Benutzertoken ihre alten Anmeldeinformationen hatte. Wir haben diesen Benutzern seitdem empfohlen, ihre Workstation zu sperren und zu entsperren, nachdem sie ihr Kennwort geändert haben, während der VPN-Tunnel eingerichtet ist. Dadurch wird das Benutzertoken aktualisiert und der Zugriff auf Netzwerkressourcen mithilfe der aktualisierten Anmeldeinformationen ermöglicht.

user7078
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.