我最近在我的公司部署了一个新的远程访问VPN系统,使用Cisco ASA 5510作为集中器。 该协议是L2TP-over-IPsec,用于在客户端之间实现最大的兼容性,authentication由RSA SecurID设备处理。 一切工作得很好,除了在一个特定的情况下:
在这种情况下,用户的帐户在尝试连接到networking资源(即打开Outlook)后几乎立即被locking在Active Directory中。
我相信问题是Windows正在尝试使用提供的用于连接到VPN的凭据。 由于用户名匹配,但密码不匹配,因为它实际上是由SecurID令牌生成的一次性密码,所以validation失败。 连续尝试导致帐户被locking。
有没有办法告诉Windows停止这样做? 我已经尝试在VPN属性中禁用“Microsoftnetworking客户端”选项,但它没有帮助。
有一个安全策略设置,具体做我正在寻找: networking访问:不允许存储networking身份validation的密码和凭据 。 通过启用此设置,VPN凭证不会被存储,因此不会用于尝试对共享文件和Exchange等networking资源进行身份validation。
由于该问题仅影响域成员工作站,因此将其应用于所有这些设置是使用组策略进行设置的简单方法。