我们有几个应用程序依靠Windows身份validation – 一些AD身份validation打开的Web应用程序,我们通常使用Windows身份validation连接到我们的SQL服务器。 这通常顺利运行。 但是,如果我们VPN'd的客户端网站虽然不起作用。
通常从开始菜单中打开SSMS,然后select一个通常接受Windows身份validation的服务器,产生一条消息:
login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (.Net SqlClient数据提供程序)
如果我放到命令提示符并使用runas /user:domain\user启动SSMS,则可以使用该ssms进程将Windowsvalidation成功执行到我们的SQL服务器实例。
如果我查看任务pipe理器,ssms.exe(开始菜单vs runas)的两个副本具有相同的用户,并且我可以看到procexp中的进程之间没有明显的区别。
如果我打开IE并浏览我们的任何一个需要authentication的Windows用户的网站,我会得到“你是谁”提示,那个对话框认为我是VPN用户。 我可以点击“使用另一个帐户”,然后通过validation。
即使Outlook提示input用户名,当我们VPN'd!
它影响我们的Win7和Vista机器。 我们有一个XP的盒子已经有一段时间了,但我不记得有这个问题在XP的价值。
VPN连接只是使用内置的windows VPN连接,而不是华丽的思科VPN或任何性质的东西。
有没有人知道如何告诉Windows,当我们的域名资源进行身份validation时,我想成为我的普通老域名用户而不是VPN用户? 哎呀,如果我试图访问需要客户端VPN上的资源的Windowsauthentication,我会很高兴的提供一个解决scheme,让我和“你是谁”。
谢谢!
道歉,如果这是更多的超级用户问题,我不知道哪个网站最适合。 这是关于networking和基础设施,在这里困扰我们所有的开发人员,所以我希望这是一个服务器故障Q.
我也有这个相同的问题,并find了解决办法在这里:
您需要find您的VPN连接.pbk文件。
你可以在这里find它:
C:\用户\ {WindowsLogin} \应用程序数据\漫游\微软\networking\连接\ PBK
或者,如果您已将其设置为允许所有用户使用该连接,则可以在此处find它:
C:\ ProgramData \微软\networking\连接\ PBK
用文本编辑器编辑它,find下面这行:
UseRasCredentials=1
通过将其设置为0来禁用它
UseRasCredentials=0
我们为一些非现场用户使用Cisco VPN软件。 VPN软件会提示input用于查询Active Directory的凭据,以确保用户名/密码正确,并且用户有权通过VPNlogin。 但是,成功的身份validation只能build立到networking的连接。 访问networking资源依赖于您在login时提供给工作站的身份validation。
这对我们来说成了一个问题,因为用户将使用caching的凭证login笔记本电脑,build立VPN连接,然后更改密码。 然后他们会locking他们的域帐户,因为他们的用户令牌有他们的旧凭证。 我们build议这些用户在build立VPN隧道的同时更改密码后locking和解锁工作站。 这将更新用户令牌,并允许他们使用更新的凭据访问networking资源。