VPN и Kerberos


Проблема:

Была «обнаружена» проблема с доступом к сетевым ресурсам в домене, при подключении  к pptp. Как выяснилось проблема возникает если указывать имя сервера без префикса домена, к примеру \\DC01. Если указать ip адрес или \\DC01.test.lan то проблемы не возникает. Сетевой анализатор показывал, что при обращении к ресурсу без суффикса, kerberos при отправке запроса на контроллер домена заполняет имя пользователя соединения pptp, тогда при отключенном соединении передает уже другие данные. В итоге пользователь получает сообщение «Нет доступа к \\DC01 Возможно, у вас нет прав на использование этого сетевого ресурса».

Решение:

Действительно, это поведение системы by design, начиная с Vista.

При подключённом VPN-соединении, для аутентификации в домене при доступе к ресурсам используются данные аутентификации VPN-подключения, а не доменные. Соответственно, если логин-пароль отличны от доменных, то доступ получить не удаётся. Обойти проблему можно тремя способами:

1)  При обращении к сетевым ресурсам использовать полные имена FQDN.

2) После каждого подключения к VPN, удалять данные аутентификации из кэша командой «cmdkey /delete /ras»;

3)  В NT 6.0 — 6.1 по умолчанию данные аутентификации подключения кэшируются. Чтобы они не кэшировались, нужно в конфигурационном файле подключения отключить эту опцию . Файл подключения имеет расширение .pbk и лежит обычно тут:

%APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

Для всех пользователей

C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

Либо найти этот файл поиском, потом открыть файл в блокноте и исправить строчку

UseRasCredentials=1 на UseRasCredentials=0

и сохранить.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s