У меня есть сервер Windows Server 2008R2 под управлением Forefront TMG (7.0.9193.500), который работает как наш брандмауэр и шлюз VPN. По большей части он работает, блокируя трафик и позволяя пользователям подключаться к VPN. У меня проблема с истечением срока действия пароля, вызывающая проблемы - невозможно отправить новые пароли, если пользователь вошел в систему на своей клиентской машине под управлением Windows 7.
Сеть практически заблокирована, и только несколько машин имеют доступ в Интернет. Аналогичным образом подключающимся клиентам не разрешен доступ в Интернет, кроме подключения через VPN к домашнему адресу (некоторые специальные правила, разрешающие обнаружение и т. Д., Но не «нормальный» Интернет). Клиенты (машины с Windows 7) аутентифицируются TMG, который передает запрос на набор серверов RADIUS, которые сами являются машинами NAP Windows Server.
По истечении срока действия пароля у пользователей возникают проблемы с отправкой нового пароля. Если они вошли в Windows, он сообщает им, что срок действия пароля истек, и отправляет новый. Если они это сделают, машина сидит и застревает на подключении к VPN с "Отправка нового пароля ..."Кажется, это никогда не пройдет.
Если пользователь сначала выходит из системы и подключается через VPN с экрана входа в систему, он работает, но иногда приводит к рассинхронизации паролей - таким образом, VPN и сервер считают, что у них новый пароль, но локальная машина считает, что использует Старый. Немного повозившись, я могу заставить машину подключиться к VPN и повторно синхронизировать пароль, но это требует вмешательства администратора.
Итак, мой вопрос / проблема: знает ли кто-нибудь, какая возможная проблема заставляет машину зависать при отправке нового пароля?
Если я смотрю логи TMG, я не вижу ничего полезного. Я не вижу сбоев аудита, и я ничего не вижу в журналах NPS. Возможно, мне чего-то не хватает, но я не совсем уверен, что искать.
Настройки VPN-клиента довольно просты - попробуйте SSTP с сертификатами и используйте текущее имя пользователя Windows и пароль в качестве основного метода, но я также добавил резервную копию PPTP с EAP, чтобы выяснить, связано ли это со слушателями.