L'autenticazione di Windows si comporta in modo strano quando VPN

Abbiamo alcune app che fanno affidamento sull'autenticazione di Windows: un paio di app Web con l'autenticazione AD attivata e di solito ci connettiamo ai nostri server SQL con Windows Autent. Questo normalmente funziona senza intoppi. Tuttavia, non funziona così bene se siamo VPN per un sito client.

SSMS

Aprendo SSMS normalmente dal menu Start, quindi selezionando un server che normalmente accetta l'autenticazione di Windows, si ottiene un messaggio che dice:

Accesso fallito. L'accesso proviene da un dominio non attendibile e non può essere utilizzato con l'autenticazione di Windows. (.Net SqlClient Data Provider)

Se passo a un prompt dei comandi e utilizzo runas /user:domain\userper avviare SSMS, posso eseguire correttamente l'autenticazione di Windows alle istanze del nostro server SQL con quel processo SMS.

Se guardo in Task Manager, entrambe le copie di ssms.exe (menu di avvio vs runas) hanno lo stesso utente e non vedo differenze distinguibili tra i processi in procexp.

Siti web di AD Auth

Se apro Internet Explorer e accedo a uno dei nostri siti Web che richiedono un utente Windows autenticato, ricevo il prompt "chi sei" e quella finestra di dialogo pensa che sia chiunque sia l'utente VPN. Posso fare clic su "Usa un altro account" e autenticare in quel modo però.

prospettiva

Anche Outlook richiede un nome utente quando siamo VPN!

Sta interessando le nostre macchine Win7 e Vista. È passato un po 'di tempo da quando avevamo una scatola XP, ma non ricordo di aver avuto questo problema su XP per quello che vale.

Le connessioni VPN stanno solo usando le connessioni VPN di Windows integrate, non sono fantastiche VPN Cisco o qualcosa del genere.

Qualcuno sa come dire a Windows che mi piacerebbe essere il mio normale vecchio utente di dominio primario piuttosto che l'utente VPN durante l'autenticazione con risorse nel nostro dominio? Cavolo, sarei felice con una soluzione che mi ha spinto a "chi sei" se stavo cercando di accedere all'autorizzazione di Windows che richiede risorse sulla VPN del client.

Grazie!

Mi scuso se questa è più una domanda da superutente, non ero sicuro di quale sito fosse più adatto. Si tratta di reti e infrastrutture e affligge tutti i nostri sviluppatori qui, quindi spero che sia un serverfault Q.

Stavo riscontrando lo stesso problema e ho trovato la soluzione qui:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Dovrai individuare il file .pbk delle connessioni VPN.

Potete trovare qui:

C: \ Users \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Network \ Connections \ PBK

Oppure, se lo hai impostato per consentire a tutti gli utenti di utilizzare la connessione, puoi trovarlo qui:

C: \ ProgramData \ Microsoft \ Network \ Connections \ Pbk

Modificalo con un editor di testo e trova la riga che dice:

UseRasCredentials=1

Disabilitalo impostandolo su 0

UseRasCredentials=0

Usiamo il software Cisco VPN per alcuni utenti fuori sede. Il software VPN richiede credenziali che richiedono Active Directory per garantire che nome utente / password siano corretti e che l'utente disponga dei diritti di accesso tramite VPN. Ma un'autenticazione riuscita stabilisce solo una connessione alla rete. L'accesso alle risorse di rete si basa sull'autenticazione fornita alla workstation al momento dell'accesso.

Questo è diventato un problema per noi perché gli utenti accedevano al laptop con le credenziali memorizzate nella cache, stabilivano una connessione VPN, quindi cambiavano la password. Avrebbero quindi bloccato i loro account di dominio perché il token utente aveva le loro vecchie credenziali. Da allora abbiamo consigliato a questi utenti di bloccare e sbloccare la propria postazione di lavoro dopo aver modificato la password mentre il tunnel VPN è stato stabilito. Ciò aggiorna il token utente e consente loro di accedere alle risorse di rete utilizzando le credenziali aggiornate.