Adm*_*emo 8 vpn active-directory securid
我最近在我的公司部署了一个新的远程访问 VPN 系统,使用 Cisco ASA 5510 作为集中器。该协议是 L2TP-over-IPsec,以实现客户端之间的最大兼容性,并且身份验证由 RSA SecurID 设备处理。除了在一种特定情况下,一切都运行良好:
在这种情况下,用户的帐户在尝试连接到网络资源(即打开 Outlook)后几乎立即被锁定在 Active Directory 中。
我认为问题在于 Windows 正在尝试使用为连接到 VPN 提供的凭据。由于用户名匹配但密码不匹配,因为它实际上是由 SecurID 令牌生成的一次性密码,因此身份验证失败。连续尝试导致帐户被锁定。
有没有办法告诉 Windows 停止这样做?我尝试禁用 VPN 属性中的“Microsoft 网络客户端”选项,但没有帮助。
有一个安全策略设置专门满足我的要求:网络访问:不允许存储密码和凭据以进行网络身份验证。通过启用此设置,不会存储 VPN 凭据,因此不会用于尝试对共享文件和 Exchange 等网络资源进行身份验证。
由于该问题仅影响域成员工作站,因此将此设置应用于所有工作站是一个简单的问题,只需使用组策略进行设置即可。
我知道这是一个老问题,但我相信有一个更好的答案,因为它不需要任何服务器端更改:编辑 VPN 设置以在对网络服务器进行身份验证时不使用 VPN 凭据。此设置不会通过 Windows 的 UI 公开,因此您需要找到与您的 VPN 连接(%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk对于用户 VPN)或(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk对于系统 VPN)关联的 .pbk 文件。
我的这些说明来自:https : //social.technet.microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session-credential-in -credential-manager-without-disabling-all-of
| 归档时间: |
|
| 查看次数: |
18762 次 |
| 最近记录: |