最近、Cisco ASA 5510をコンセントレータとして使用して、新しいリモートアクセスVPNシステムを会社に導入しました。プロトコルは、クライアント間の互換性を最大にするためにL2TP-over-IPsecであり、認証はRSA SecurIDアプライアンスによって処理されます。 1つの特定のシナリオを除いて、すべてが本当にうまく機能します。
この場合、ユーザーのアカウントは、ネットワークリソースへの接続を試みた(つまり、Outlookを開いた)直後にActive Directoryでロックされます。
問題は、WindowsがVPNに接続するために提供された資格情報を使用しようとしていることだと思います。ユーザー名は一致しますがパスワードは一致しないため、実際にはSecurIDトークンによって生成されたワンタイムパスワードであるため、認証は失敗します。継続的に試行すると、アカウントがロックアウトされます。
これをやめるようにWindowsに指示する方法はありますか? VPNのプロパティで[Microsoftネットワーク用クライアント]オプションを無効にしてみましたが、役に立ちませんでした。
特に私が探しているものを実行するセキュリティポリシー設定があります: ネットワークアクセス:ネットワーク認証用のパスワードと資格情報の保存を許可しない 。この設定を有効にすると、VPN資格情報は保存されないため、共有ファイルやExchangeなどのネットワークリソースへの認証に使用されません。
この問題はドメインメンバーのワークステーションにのみ影響するため、この設定をすべてのワークステーションに適用するのは、グループポリシーで設定するだけです。
これは古い質問であることはわかっていますが、サーバー側の変更を必要としないという点でより良い答えがあると思います。ネットワークサーバーへの認証時にVPN資格情報を使用しないようにVPN設定を編集します。この設定はWindowsのUIを通じて公開されないため、VPN接続に関連付けられている.pbkファイルを見つける必要があります(%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk
(ユーザーVPNの場合)または(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk
(システムVPNの場合)。
私はこれらの手順を以下から入手しました: https://social.technet.Microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session -credential-in-credential-manager-without-disabling-all-of