我最近在公司部署了一个新的远程访问 VPN 系统,使用 Cisco ASA 5510 作为集中器。该协议是 L2TP-over-IPsec,以实现客户端之间的最大兼容性,身份验证由 RSA SecurID 设备处理。一切都运行良好,除了一个特定场景:
- 用户的工作站是域成员
- 用户以域用户身份登录本地工作站
- 用户使用与登录账户相同的用户名连接到 VPN
- 用户尝试访问网络资源,例如文件共享或 Microsoft Exchange
在这种情况下,用户尝试连接到网络资源(即打开 Outlook)后几乎立即在 Active Directory 中被锁定。
我认为问题在于 Windows 正在尝试使用提供的凭据来连接 VPN。由于用户名匹配但密码不匹配(因为它实际上是由 SecurID 令牌生成的一次性密码),因此身份验证失败。连续尝试会导致帐户被锁定。
有什么方法可以告诉 Windows 停止这样做吗?我尝试禁用 VPN 属性中的“Microsoft 网络客户端”选项,但没有帮助。
答案1
我知道这是一个老问题,但我相信有一个更好的答案,因为它不需要任何服务器端更改:编辑 VPN 设置以在向网络服务器进行身份验证时不使用 VPN 凭据。此设置不会通过 Windows 的 UI 公开,因此您需要找到与您的 VPN 连接关联的 .pbk 文件(%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk对于用户 VPN)或(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk对于系统 VPN)。
- 右键单击 VPN 的 .pbk 文件并使用记事本打开它。(请记住取消勾选“始终使用此程序处理此文件类型”)
- 大约 5 行以下会有条目“UseRasCredentials=1”
- 将其更改为“UseRasCredentials=0”
- 保存文件。
答案2
有一个安全策略设置可以专门完成我所寻找的任务:网络访问:不允许存储网络身份验证的密码和凭据启用此设置后,VPN 凭据将不会被存储,因此不会用于尝试对共享文件和 Exchange 等网络资源进行身份验证。
由于该问题仅影响域成员工作站,因此将此设置应用于所有工作站只需使用组策略进行设置即可。