A autenticação do Windows se comporta de maneira estranha quando VPN'd

8

Temos alguns aplicativos que dependem da autenticação do Windows - alguns aplicativos da Web com a autenticação do AD ativada e geralmente nos conectamos aos nossos servidores SQL com o Windows auth. Isso normalmente funciona sem problemas. Não funciona tão bem se formos VPNs para um site cliente.

SSMS

Abrir o SSMS normalmente a partir do menu Iniciar e escolher um servidor que normalmente aceita a autenticação do windows resulta em uma mensagem dizendo:

Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. (.Net SqlClient Data Provider)

Se eu cair para um prompt de comando e usar runas /user:domain\user para iniciar o SSMS, posso com êxito o windows auth para nossas instâncias do servidor SQL com esse processo ssms.

Se eu olhar no gerenciador de tarefas, ambas as cópias do ssms.exe (menu iniciar vs runas) terão o mesmo usuário, e não vejo diferenças discerníveis entre os processos no procexp.

Sites de autenticação do AD

Se eu abrir o IE e navegar para qualquer um de nossos sites que exijam um usuário autenticado do Windows, recebo o prompt "who are you", e essa caixa de diálogo pensa que sou quem é o usuário da VPN. Eu posso clicar em "Usar outra conta" e autenticar dessa forma embora.

Outlook

Mesmo o Outlook solicita um nome de usuário quando somos VPN'd!

Está afetando nossas máquinas Win7 e Vista. Já passou algum tempo desde que tivemos uma caixa de XP, mas não me lembro de ter esse problema no XP pelo que vale a pena.

As conexões VPN estão apenas usando as conexões VPN do Windows, elas não são VPNs cisco sofisticadas ou qualquer coisa dessa natureza.

Alguém sabe como dizer ao Windows que gostaria de ser meu usuário de domínio primário antigo normal em vez do usuário de VPN ao autenticar recursos em nosso domínio? Heck, eu ficaria feliz com uma solução que me levou com o "quem é você" se eu estava tentando acessar o windows auth exigindo recursos na VPN do cliente.

Obrigado!

Desculpas se esta é mais uma pergunta de superusuário, eu não sabia qual site seria o mais adequado. É sobre redes e infra-estrutura e praga todos os nossos desenvolvedores aqui, então espero que seja um Q de servidor.

    
por Dan F 03.12.2009 / 09:36

2 respostas

8

Eu também estava tendo o mesmo problema e encontrei a solução aqui:

link

Você precisará localizar o arquivo .pbk de conexões VPN.

Você pode encontrá-lo aqui:

C:\Users\{WindowsLogin}\AppData\Roaming\Microsoft\Network\Connections\Pbk

Ou se você tiver definido para permitir que todos os usuários usem a conexão, você poderá encontrá-la aqui:

C:\ProgramData\Microsoft\Network\Connections\Pbk

Edite-o com um editor de texto e encontre a linha que diz:

UseRasCredentials=1

Desative-o, definindo-o como 0

UseRasCredentials=0
    
por 25.03.2013 / 17:55
2

Usamos o software Cisco VPN para alguns usuários externos. O software VPN solicita credenciais que consultam o Active Directory para garantir que o nome de usuário / senha estejam corretos e que o usuário tenha direitos de logon via VPN. Mas uma autenticação bem-sucedida estabelece apenas uma conexão com a rede. O acesso aos recursos de rede depende da autenticação que você forneceu à estação de trabalho quando você efetuou logon.

Isso se tornou um problema para nós porque os usuários faziam logon no laptop com credenciais armazenadas em cache, estabeleciam uma conexão VPN e alteravam a senha. Eles então bloqueariam suas contas de domínio porque seu token de usuário tinha suas credenciais antigas. Desde então, aconselhamos esses usuários a bloquear e desbloquear sua estação de trabalho depois de alterar sua senha enquanto o túnel VPN é estabelecido. Isso atualiza o token do usuário e permite que eles acessem os recursos da rede usando as credenciais atualizadas.

    
por 14.12.2009 / 20:58