VPN資格情報を使用してネットワークリソースに接続しませんか?
最近、Cisco ASA 5510をコンセントレータとして使用して、新しいリモートアクセスVPNシステムを会社に導入しました。プロトコルは、クライアント間の互換性を最大にするためにL2TP-over-IPsecであり、認証はRSA SecurIDアプライアンスによって処理されます。 1つの特定のシナリオを除いて、すべてが本当にうまく機能します。
- ユーザーのワークステーションはドメインメンバーです
- ユーザーはドメインユーザーとしてローカルワークステーションにログインしています
- ユーザーは、ログインアカウントと同じユーザー名を使用してVPNに接続しています
- ユーザーがファイル共有やMicrosoft Exchangeなどのネットワークリソースにアクセスしようとした
この場合、ユーザーのアカウントは、ネットワークリソースへの接続を試みた(つまり、Outlookを開いた)直後にActive Directoryでロックされます。
問題は、WindowsがVPNに接続するために提供された資格情報を使用しようとしていることだと思います。ユーザー名は一致しますがパスワードは一致しないため、実際にはSecurIDトークンによって生成されたワンタイムパスワードであるため、認証は失敗します。継続的に試行すると、アカウントがロックアウトされます。
これをやめるようにWindowsに指示する方法はありますか? VPNのプロパティで[Microsoftネットワーク用クライアント]オプションを無効にしてみましたが、役に立ちませんでした。
特に私が探しているものを実行するセキュリティポリシー設定があります: ネットワークアクセス:ネットワーク認証用のパスワードと資格情報の保存を許可しない 。この設定を有効にすると、VPN資格情報は保存されないため、共有ファイルやExchangeなどのネットワークリソースへの認証に使用されません。
この問題はドメインメンバーのワークステーションにのみ影響するため、この設定をすべてのワークステーションに適用するのは、グループポリシーで設定するだけです。
これは古い質問であることはわかっていますが、サーバー側の変更を必要としないという点でより良い答えがあると思います。ネットワークサーバーへの認証時にVPN資格情報を使用しないようにVPN設定を編集します。この設定はWindowsのUIを通じて公開されないため、VPN接続に関連付けられている.pbkファイルを見つける必要があります(%AppData%\Roaming\Microsoft\Network\Connections\PBK\rasphone.pbk(ユーザーVPNの場合)または(%ProgramData%\Microsoft\Network\Connections\Pbk\rasphone.pbk(システムVPNの場合)。
- VPNの.pbkファイルを右クリックして、メモ帳で開きます。 (「このプログラムは常にこのファイルの種類で使用する」のチェックを外してください)
- およそ5行下が「UseRasCredentials = 1」というエントリになります。
- これを「UseRasCredentials = 0」に変更します
- ファイルを保存します。
私はこれらの手順を以下から入手しました: https://social.technet.Microsoft.com/Forums/windows/en-US/0204464d-e32d-4584-966b-60788cce0d6f/disable-creation-of-vpn-session -credential-in-credential-manager-without-disabling-all-of