VPN и Kerberos


Проблема:

Была “обнаружена” проблема с доступом к сетевым ресурсам в домене, при подключении  к pptp. Как выяснилось проблема возникает если указывать имя сервера без префикса домена, к примеру \\DC01. Если указать ip адрес или \\DC01.test.lan то проблемы не возникает. Сетевой анализатор показывал, что при обращении к ресурсу без суффикса, kerberos при отправке запроса на контроллер домена заполняет имя пользователя соединения pptp, тогда при отключенном соединении передает уже другие данные. В итоге пользователь получает сообщение “Нет доступа к \\DC01 Возможно, у вас нет прав на использование этого сетевого ресурса”.

Решение:

Действительно, это поведение системы by design, начиная с Vista.

При подключённом VPN-соединении, для аутентификации в домене при доступе к ресурсам используются данные аутентификации VPN-подключения, а не доменные. Соответственно, если логин-пароль отличны от доменных, то доступ получить не удаётся. Обойти проблему можно тремя способами:

1)  При обращении к сетевым ресурсам использовать полные имена FQDN.

2) После каждого подключения к VPN, удалять данные аутентификации из кэша командой “cmdkey /delete /ras”;

3)  В NT 6.0 – 6.1 по умолчанию данные аутентификации подключения кэшируются. Чтобы они не кэшировались, нужно в конфигурационном файле подключения отключить эту опцию . Файл подключения имеет расширение .pbk и лежит обычно тут:

%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

Для всех пользователей

C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

Либо найти этот файл поиском, потом открыть файл в блокноте и исправить строчку

UseRasCredentials=1 на UseRasCredentials=0

и сохранить.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.