Недавно я развернул новую систему VPN для удаленного доступа в своей компании, используя Cisco ASA 5510 в качестве концентратора. Это протокол L2TP-over-IPsec для максимальной совместимости между клиентами, а аутентификация обрабатывается устройством RSA SecurID. Все работает очень хорошо, за исключением одного конкретного сценария:
В этом случае учетная запись пользователя блокируется в Active Directory почти сразу после попытки подключения к сетевому ресурсу (т. Е. Открытия Outlook).
Я считаю, что проблема в том, что Windows пытается использовать учетные данные, предоставленные для подключения к VPN. Поскольку имя пользователя совпадает, а пароль - нет, поскольку на самом деле это одноразовый пароль, сгенерированный токеном SecurID, аутентификация не выполняется. Непрерывные попытки приводят к блокировке учетной записи.
Есть ли способ сказать Windows прекратить это делать? Я пробовал отключить опцию «Клиент для сетей Microsoft» в свойствах VPN, но это не помогло.
Есть параметр политики безопасности, который делает именно то, что я ищу: Доступ к сети: не разрешать хранение паролей и учетных данных для сетевой аутентификации.. При включении этого параметра учетные данные VPN не сохраняются и, следовательно, не используются для попытки аутентификации на сетевых ресурсах, таких как общие файлы и Exchange.
Поскольку проблема затрагивает только рабочие станции, входящие в домен, применение этого параметра ко всем из них - простой вопрос настройки с помощью групповой политики.
Я знаю, что это старый вопрос, но я считаю, что есть лучший ответ, поскольку он не требует каких-либо изменений на стороне сервера: отредактируйте настройки VPN, чтобы не использовать учетные данные VPN при аутентификации на сетевых серверах. Этот параметр не отображается в пользовательском интерфейсе Windows, поэтому вам нужно найти файл .pbk, связанный с вашим VPN-подключением (%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk
для пользовательских VPN) или (%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk
для системных VPN).
Я получил эти инструкции из: https://social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in-credential-manager-without- отключение всего