У нас есть несколько приложений, которые полагаются на аутентификацию Windows - несколько веб-приложений с включенной аутентификацией AD, и мы обычно подключаемся к нашим SQL-серверам с аутентификацией Windows. Обычно это работает без сбоев. Однако это не так хорошо работает, если мы подключены к клиентскому сайту через VPN.
Открытие SSMS в обычном режиме из меню «Пуск», а затем выбор сервера, который обычно принимает Windows Auth, приводит к появлению сообщения:
Ошибка входа. Логин из ненадежного домена и не может использоваться с аутентификацией Windows. (Поставщик данных .Net SqlClient)
Если я перейду в командную строку и использую runas /user:domain\user
чтобы запустить SSMS, я могу успешно выполнить авторизацию Windows для наших экземпляров SQL-сервера с помощью этого ssms-процесса.
Если я загляну в диспетчер задач, обе копии ssms.exe (меню «Пуск» и «runas») имеют одного и того же пользователя, и я не вижу заметных различий между процессами в процессе.
Если я открываю IE и просматриваю любой из наших веб-сайтов, для которого требуется аутентифицированный пользователь Windows, я получаю запрос «кто вы?», И в этом диалоговом окне появляется сообщение о том, что я тот, кто является пользователем VPN. Я могу нажать «Использовать другую учетную запись» и пройти аутентификацию таким образом.
Даже Outlook запрашивает имя пользователя, когда мы подключены к VPN!
Это влияет на наши машины Win7 и Vista. Прошло некоторое время с тех пор, как у нас была коробка XP, но я не припомню, чтобы эта проблема была у XP, сколько бы она ни стоила.
VPN-соединения просто используют встроенные в Windows VPN-соединения, это не причудливые VPN-соединения cisco или что-то в этом роде.
Кто-нибудь знает, как сообщить Windows, что я хотел бы быть моим обычным старым основным пользователем домена, а не пользователем VPN при аутентификации на ресурсах в нашем домене? Черт возьми, я был бы доволен решением, которое подсказывало бы мне «кто ты?», Если бы я пытался получить доступ к Windows Auth, требуя ресурсов в клиентской VPN.
Спасибо!
Приносим извинения, если это скорее вопрос суперпользователя, я не был уверен, какой сайт он лучше всего подходит. Речь идет о сетях и инфраструктуре и беспокоит всех наших разработчиков, поэтому я надеюсь, что это ошибка сервера. Q.
У меня тоже была такая же проблема, и я нашел решение здесь:
Вам нужно будет найти файл .pbk ваших VPN-подключений.
Вы можете найти это здесь:
C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connections \ Pbk
Или, если вы настроили его так, чтобы все пользователи могли использовать соединение, вы можете найти его здесь:
C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk
Отредактируйте его в текстовом редакторе и найдите строку, в которой говорится:
UseRasCredentials=1
Отключите его, установив на 0
UseRasCredentials=0
Мы используем программное обеспечение Cisco VPN для некоторых сторонних пользователей. Программное обеспечение VPN запрашивает учетные данные, которые запрашивают Active Directory, чтобы убедиться, что имя пользователя и пароль верны, а у пользователя есть права для входа в систему через VPN. Но успешная аутентификация только устанавливает соединение с сетью. Доступ к сетевым ресурсам зависит от аутентификации, которую вы предоставили рабочей станции при входе в систему.
Это стало проблемой для нас, потому что пользователи входили в систему на ноутбуке с кэшированными учетными данными, устанавливали VPN-соединение, а затем меняли свой пароль. Затем они заблокировали бы свои учетные записи домена, потому что их токен пользователя имел старые учетные данные. С тех пор мы посоветовали этим пользователям заблокировать и разблокировать свою рабочую станцию после изменения пароля во время установки VPN-туннеля. Это обновляет токен пользователя и позволяет им получать доступ к сетевым ресурсам с использованием обновленных учетных данных.