Eu tenho um servidor Windows Server 2008 R2 executando o Forefront TMG (7.0.9193.500), que funciona como firewall e gateway de VPN. Na maioria das vezes funciona, bloqueando o tráfego e permitindo que os usuários façam VPN. Eu tenho um problema com expiração de senha causando problemas - incapaz de enviar novas senhas se um usuário estiver logado em sua máquina cliente, executando o Windows 7.
A rede está completamente bloqueada e apenas algumas máquinas têm acesso à Internet. De maneira semelhante, os clientes que se conectam não têm permissão de acesso à Internet além de se conectarem pela VPN ao endereço residencial (algumas regras específicas que permitem a descoberta e assim por diante, mas não a Internet "normal"). Os clientes (w Windows 7) são autenticados pelo TMG, que passa a solicitação para um conjunto de servidores RADIUS, que são eles próprios máquinas NAP do Windows Server.
No final do período de expiração da senha, os usuários têm problemas ao enviar uma nova senha. Se eles estão logados no Windows, eles informam que a senha expirou e para enviar uma nova. Se o fizerem, a máquina fica e fica presa na discagem VPN com " Enviando nova senha ... " Nunca parece passar.
Se um usuário fizer logoff primeiro e se conectar pela VPN a partir da tela de login, ele funcionará, mas às vezes acaba fazendo com que as senhas fiquem fora de sincronia; assim, a VPN e o servidor acreditam ter uma nova senha, mas a máquina local acredita que usa o antigo. Com algumas bagunças, posso fazer a máquina se conectar à VPN e ressincronizar a senha, mas isso requer uma intervenção do administrador.
Então, minha pergunta / problema é: alguém sabe qual é o possível problema que faz com que a máquina fique presa ao enviar uma nova senha?
Se eu observar os logs do TMG, não consigo ver nada de útil. Não há falhas de auditoria que eu possa ver e também não consigo ver nada nos registros do NPS. Eu posso estar perdendo as coisas, mas não tenho certeza do que procurar.
As configurações do cliente VPN são bastante simples - tente o SSTP com certificados e use o nome de usuário e o passwprd atuais como o método principal, mas também adicionei um backup do PPTP com o EAP para funcionar se fosse com os ouvintes .