题 VPN身份验证时,Windows身份验证的行为很奇怪


我们有一些依赖于Windows身份验证的应用程序 - 启用了AD身份验证的几个Web应用程序,我们通常使用Windows身份验证连接到我们的SQL服务器。这通常顺利运行。如果我们将VPN连接到客户端站点,它就不能很好地工作。


SSMS

通常从开始菜单打开SSMS,然后选择通常接受Windows身份验证的服务器,会产生一条消息:

登录失败。登录来自不受信任的域,不能与Windows身份验证一起使用。 (.Net SqlClient数据提供程序)

如果我转到命令提示符并使用 runas /user:domain\user 启动SSMS我可以使用该ssms进程成功地将Windows身份验证用于我们的SQL服务器实例。

如果我查看任务管理器,ssms.exe(开始菜单与runas)的两个副本都有相同的用户,我可以看到procexp中的进程之间没有明显的差异。

AD Auth网站

如果我打开IE浏览器并浏览到需要经过身份验证的Windows用户的任何网站,我会得到“你是谁”的提示,并且该对话框认为我是VPN用户的任何人。我可以点击“使用其他帐户”并验证这种方式。

外表

当我们使用VPN时,甚至Outlook都会提示输入用户名!


它影响了我们的Win7和Vista机器。我们有一个XP盒子已经有一段时间了,但我不记得在XP上有这个问题它的价值。

VPN连接只是使用内置的Windows VPN连接,它们不是花哨的cisco VPN或任何性质的东西。

有谁知道在我们域中的资源进行身份验证时,如何告诉Windows我想成为普通的旧主域用户而不是VPN用户?哎呀,如果我试图访问需要客户端VPN上的资源的Windows身份验证,我会很高兴能找到“你是谁”的解决方案。

谢谢!

抱歉,如果这是一个超级用户问题,我不确定哪个网站最适合。这是关于网络和基础设施,并困扰我们所有的开发人员,所以我希望这是一个服务器故障Q.


8
2017-12-03 08:36




您连接到VPN服务器时是否使用Windows身份验证?即VPN服务器使用AD或Windows身份验证。 - Jack B Nimble
呃,我想是的。我相信当我们连接到客户端VPN服务器时输入的用户名+密码是AD用户名 其 网络。我希望有帮助:-) - Dan F


答案:


我也有同样的问题,在这里找到了解决方案:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

您需要找到您的VPN连接.pbk文件。

你可以在这里找到它:

C:\用户\ {WindowsLogin} \应用程序数据\漫游\微软\网络\连接\ PBK

或者如果您将其设置为允许所有用户使用该连接,您可以在此处找到它:

C:\ ProgramData \微软\网络\连接\ PBK

使用文本编辑器对其进行编辑,找到以下行:

UseRasCredentials=1

通过将其设置为0来禁用它

UseRasCredentials=0

8
2018-03-25 16:55



NICE!第一次工作! - LucasS
DUDE!谢谢你,谢谢你,谢谢你。 - Dan F


我们为一些非现场用户使用Cisco VPN软件。 VPN软件会提示您查询针对Active Directory的凭据,以确保用户名/密码正确并且用户有权通过VPN登录。但成功的身份验证只会建立与网络的连接。访问网络资源依赖于您在登录时提供给工作站的身份验证。

这对我们来说是个问题,因为用户会使用缓存凭据登录到笔记本电脑,建立VPN连接,然后更改密码。然后他们将锁定他们的域帐户,因为他们的用户令牌具有旧凭据。我们已经建议这些用户在建立VPN隧道后更改密码后锁定和解锁他们的工作站。这会更新用户令牌,并允许他们使用更新的凭据访问网络资源。


2
2017-12-14 19:58