none
Смена пароля через VPN L2TP (MS CHAPv2) RRS feed

  • Вопрос

  • Добрый день!

    Есть сервер VPN + контроллер домена 2003 R2. Клиенты осуществляют доступ по протоколу L2TP, аутентификация - по протоколу MS CHAPv2 через RADIUS.

    В политике удаленного доступа RADIUS для метода аутентификации MS CHAPv2 включена возможность изменения пароля по истечении его срока действия. В этом-то и вопрос: при подключении VPN система определяет, что пароль надо изменить и выводит форму ввода нового пароля, но после ввода нового пароля и нажатия "ОК" выходит ошибка "Учетная запись не имеет прав для дозвона. (Ошибка 649)" и пароль не изменяется. Такое наблюдается как для учетных записей, у которых пароль истек по истечении отведенного времени, так и для учеток, которым задана явная смена пароля при следующем входе в систему. А если для той же самой учетки отменить смену пароля, вход выполняется без проблем (т.е. соблюдаются все остальные условия политики удаленного доступа RADIUS) - проблема возникает только при необходимости изменения пароля через VPN.

    Прошу подсказать решение.
    • Изменено Eurisco 28 июня 2012 г. 6:18
    11 ноября 2009 г. 16:39

Ответы

  • Можно опубликовать "IISADMPWD" - специальное веб-приложение, поставляемое вместе с IIS 6, позволяющее изменить пароль.

    http://support.microsoft.com/kb/907271

    А что у Вас за клиент и сервер. Я, например, свободно меняю пароль с помощью VPN-клиента Windows XP SP3/Windows 7 на VPN сервере RRAS под управлением Windows Server 2003 за ISA и AD DS 2008 за ISA 2006 по MS CHAP v2 over L2TP/IPSec.

    Можете попробовать без политик RADIUS (только свойства Dial-In учетной записи задейстовать) попробовать подключиться?

    27 ноября 2009 г. 21:10
    Отвечающий

Все ответы

  • А возможна реализация смены пароля иным методом? Т.е. При подходе срока пользователя при подключенном VPN редиректит на страницу, где он может поменять пароль (как это реализовано в exchange или ISA). Он меняет пароль там, после чего на подключенную станцию приходит просьба заблокировать экран и разблокировать уже используя новый пароль?

    12 ноября 2009 г. 20:53
  • Вообще, при наличии в организации Exchange с опубликованным OWA проблема смены пароля отсутствует как класс. Пользователь может просто сменить свой пароль через веб-интерфейс. Если же этого нет, топридется потанцевать с бубном - начиная от предоставления пользователям на случай такой неприятности доступа по RDP к серверу, где смена пароля не должна составить проблем и заканчивая сменой пароля на локальной рабочей станции, если она включена в домен.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    17 ноября 2009 г. 7:27
    Модератор
  • Нет ни Exchange, ни ISA. Все предельно просто: удаленный доступ через VPN. RDP есть, но он сможет помочь только, если пользователь застанет период напоминаний о смене пароля. А если нет?

    Мне просто инетерсно, если в политике RADIUS в части аутентификации MS CHAPv2 предусмотрена опция "Разрешить смену пароля", почему она не работает, когда активирована???


    • Изменено Eurisco 28 июня 2012 г. 6:19
    27 ноября 2009 г. 20:51
  • Можно опубликовать "IISADMPWD" - специальное веб-приложение, поставляемое вместе с IIS 6, позволяющее изменить пароль.

    http://support.microsoft.com/kb/907271

    А что у Вас за клиент и сервер. Я, например, свободно меняю пароль с помощью VPN-клиента Windows XP SP3/Windows 7 на VPN сервере RRAS под управлением Windows Server 2003 за ISA и AD DS 2008 за ISA 2006 по MS CHAP v2 over L2TP/IPSec.

    Можете попробовать без политик RADIUS (только свойства Dial-In учетной записи задейстовать) попробовать подключиться?

    27 ноября 2009 г. 21:10
    Отвечающий