web-dev-qa-db-ja.com

VPNを使用すると、Windows認証が異常な動作をする

Windows認証に依存するアプリがいくつかあります。AD認証がオンになっているWebアプリがいくつかあり、通常はWindows認証を使用してSQLサーバーに接続します。これは通常、問題なく実行されます。ただし、クライアントサイトにVPNで接続している場合は、うまく機能しません。


SSMS

通常、スタートメニューからSSMSを開き、通常はWindows認証を受け入れるサーバーを選択すると、次のようなメッセージが表示されます。

ログインに失敗しました。ログインは信頼されていないドメインからのものであり、Windows認証では使用できません。 (.Net SqlClientデータプロバイダー)

コマンドプロンプトにドロップしてrunas /user:domain\user SSMSを起動するには、そのssmsプロセスを使用してSQLサーバーインスタンスへのWindows認証を正常に実行できます。

タスクマネージャーを見ると、ssms.exeの両方のコピー(スタートメニューとルーン文字)のユーザーが同じであり、procexpのプロセス間に識別可能な違いはありません。

AD認証Webサイト

IEを開いて、認証されたWindowsユーザーを必要とするWebサイトを参照すると、「who are you」プロンプトが表示され、そのダイアログは私がVPNユーザーであると見なします。 「別のアカウントを使用」をクリックして、その方法で認証できます。

見通し

Outlookでさえ、VPNを使用しているときにユーザー名の入力を求められます。


それは私たちのWin7とVistaマシンに影響を与えています。 XPボックスができてからしばらく経ちましたが、XPの価値があるため、この問題が発生したことを覚えていません。

VPN接続は、組み込みのWindows VPN接続を使用しているだけであり、派手なCiscoVPNやそのような性質のものではありません。

ドメイン内のリソースを認証するときに、VPNユーザーではなく通常の古いプライマリドメインユーザーになりたいことをウィンドウに伝える方法を知っている人はいますか?一体、クライアントのVPN上のリソースを必要とするWindows Authにアクセスしようとしていた場合に、「あなたは誰ですか」というメッセージを表示する解決策に満足しています。

ありがとう!

申し訳ありませんが、これがスーパーユーザーの質問である場合、どのサイトが最適かわかりませんでした。ネットワーキングとインフラストラクチャに関するものであり、ここにいるすべての開発者を悩ませているので、サーバー障害Qであることを願っています。

8
Dan F

私もこれと同じ問題を抱えていて、ここで解決策を見つけました:

http://social.technet.Microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

VPN接続の.pbkファイルを見つける必要があります。

あなたはそれをここで見つけることができます:

C:\ Users\{WindowsLogin}\AppData\Roaming\Microsoft\Network\Connections\Pbk

または、すべてのユーザーが接続を使用できるように設定している場合は、ここで見つけることができます。

C:\ ProgramData\Microsoft\Network\Connections\Pbk

テキストエディタで編集し、次の行を見つけます。

UseRasCredentials=1

0に設定して無効にします

UseRasCredentials=0
8
Makotosan

一部のオフサイトユーザーにはCiscoVPNソフトウェアを使用しています。 VPNソフトウェアは、ユーザー名/パスワードが正しく、ユーザーがVPN経由でログオンする権利を持っていることを確認するためにActive Directoryに対してクエリを実行する資格情報を要求します。ただし、認証が成功すると、ネットワークへの接続が確立されるだけです。ネットワークリソースへのアクセスは、ログオン時にワークステーションに提供した認証に依存します。

ユーザーはキャッシュされた資格情報を使用してラップトップにログオンし、VPN接続を確立してからパスワードを変更するため、これは私たちにとって問題となりました。その後、ユーザートークンに古い資格情報があるため、ドメインアカウントをロックアウトします。それ以来、VPNトンネルの確立中にパスワードを変更した後、ワークステーションをロックおよびロック解除するようにこれらのユーザーにアドバイスしています。これにより、ユーザートークンが更新され、更新された資格情報を使用してネットワークリソースにアクセスできるようになります。

2
user7078