我已经配置了点到站点连接,效果很好。
不幸的是,连接到 VPN 后,我无法浏览本地网络上加入域的任何内容。例如,如果我尝试导航到 \192.168.1.2 或 \192.168.1.2\sharename,我会收到“Windows 无法访问”错误。AD 共享打印机也会出现同样的情况。
建立连接后,我能够在本地 ping 设备,并且 traceroute 显示服务器在本地可见。这发生在我本地 AD 上的所有计算机上,也发生在未加入域的工作站上。
我发现的唯一解决方法是:在连接到 VPN 之前先连接到网络共享。然后凭据将被缓存,我就可以访问本地资源。此外,我还可以转到 Windows 凭据管理器(即使我的计算机已加入域)使用我自己的用户名/密码为本地服务器添加凭据,然后我就可以访问所有资源。
几乎感觉就像在连接过程中,凭据被传递到 VPN 而不是本地网络,并且它们永远不会返回。
我需要它发挥作用,因为它是针对大量客户的大型解决方案的一部分,因此任何帮助都将不胜感激。
答案1
微软工程师推荐的解决方案是禁用凭据管理器。之后用户将通过 Kerberos 身份验证进行身份验证。
您必须应用以下reg文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"disabledomaincreds"=dword:00000001
并重新启动计算机。