Scusate se non ho ancora risposto ma sono stato impegnato, tra l'altro proprio su questo problema con il cliente.
Date le dimensioni molto contenute dell'infrastruttura (1 solo server e 7 client) e dato che la vpn serve solo ad un client in modo saltuario, abbiamo pensato di evitare l'adozione del protocollo sstp proprio per non dover attivare CA e aggiungere ulteriori
ruoli al server.
La vpn in questione è una pptp che dal momento della sua attivazione ha funzionato subito correttamente.
Ho utilizzato la policy in NPS per definire un gruppo di utenti che hanno l'accesso ("vpn_client"). Da test fatti abbiamo visto che la cosa funziona: gli utenti appartenenti al gruppo vpn_client accedono, gli utenti che non appartengono vengono rifiutati.
Dato che il pc utilizzato per accedere alla vpn è solo uno (un portatile che è parte del dominio) avevamo pensato di incrementare un poco il livello di sicurezza aggiungendo un'altra condizione, cioè una condizione "Machine groups". Abbiamo creato un gruppo
"vpn_client" (global/security) al quale è stato aggiunto il pc in questione. Nella policy di grant è stata aggiunta la condizione "Machine groups" e come gruppo è stato inserito "vpn_client".
Purtroppo ad ogni tentativo di autenticazione viene restituito un errore e la connessione funziona solo rimuovendo la condizione "Machine groups".
Riporto di seguito l'errore che sembra fare riferimento all'utente e al metodo di autenticazione usato. In realtà, rimuovendo la condizione "Machine groups" l'accesso funziona utilizzando lo stesso utente/password. Se mi confermate che per utilizzare la
condizione "Machine groups" è necessario utilizzare la CA, proporrò al cliente di lasciare la configurazione com'è ora.
Grazie e a presto.
Log Name: System
Source: RemoteAccess
Date: 21/11/2012 17:50:52
Event ID: 20271
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: SERVER2008.contoso.com
Description:
CoId={6D7DF49F-7BAF-4D73-8248-41A5B43F4946}: The user cfranceschi connected from 192.168.0.100 but failed an authentication attempt due to the following reason: The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="RemoteAccess" />
<EventID Qualifiers="0">20271</EventID>
<Level>3</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-11-21T16:50:52.000000000Z" />
<EventRecordID>2094</EventRecordID>
<Channel>System</Channel>
<Computer>SERVER2008.contoso.com</Computer>
<Security />
</System>
<EventData>
<Data>{6D7DF49F-7BAF-4D73-8248-41A5B43F4946}</Data>
<Data>cfranceschi</Data>
<Data>192.168.0.100</Data>
<Data>The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.</Data>
<Data>0x30</Data>
<Binary>2C030000</Binary>
</EventData>
</Event>
VPN windows server 2008
