我有一台运行 Forefront TMG (7.0.9193.500) 的 Windows Server 2008R2 服务器,它充当我们的防火墙和 VPN 网关。在大多数情况下,它都能正常工作,阻止流量并允许用户通过 VPN 接入。我遇到了密码过期导致的问题 - 如果用户登录到运行 Windows 7 的客户端计算机,则无法发送新密码。
网络被严格封锁,只有少数几台机器可以访问互联网。同样,连接的客户端除了通过 VPN 连接到家庭地址外,不允许访问互联网(某些特定规则允许发现等,但不允许“正常”互联网)。客户端(使用 Windows 7 计算机)由 TMG 进行身份验证,TMG 将请求传递给一组 RADIUS 服务器,这些服务器本身就是 Windows Server NAP 计算机。
在密码过期后,用户无法发送新密码。如果他们登录 Windows,系统会告诉他们密码已过期并要求他们发送新密码。如果他们这样做,计算机就会卡在 VPN 拨入上,并显示“正在发送新密码...“看来它永远也无法实现。”
如果用户先注销,然后从登录屏幕通过 VPN 连接,这样做确实有效,但有时会导致密码不同步 - 因此 VPN 和服务器认为他们有新密码,但本地机器认为它使用的是旧密码。经过一番折腾,我可以让机器连接到 VPN 并重新同步密码,但这需要管理员干预。
所以我的问题是,有谁知道可能导致机器卡在发送新密码的问题是什么?
如果我查看 TMG 日志,我看不到任何有用的信息。我没有看到任何审计失败信息,在 NPS 日志中也看不到任何信息。我可能遗漏了一些东西,但我不太确定要查找什么。
VPN 客户端设置相当简单 - 尝试使用证书的 SSTP 并使用当前 Windows 用户名和密码作为主要方法,但我还添加了使用 EAP 的 PPTP 备份,以确定它是否与侦听器有关。