none
VPN и Kerberos RRS feed

  • Вопрос

  • Недавно обнаружил проблему с доступом к сетевым ресурсам в домене, если есть подключение pptp. Как выяснилось проблема возникает если указывать имя сервера без префикса домена, к примеру \\DC01. Если указать ip адрес или \\DC01.test.lan то проблемы не возникает. Сетевой анализатор показывает, что при обращении к ресурсу без префикса, kerberos при отправки запроса на контроллер домена заполняет имя пользователя соединения pptp, тогда при отключенном соединении передает уже другие данные. В итоге пользователь получает сообщение "Нет доступа к \\DC01 Возможно, у вас нет прав на использование этого сетевого ресурса".

    В принципе объяснить, что нужно дописывать префикс домена не проблема, но есть интерес к этой проблеме. Почему именно так происходит и можно это как нибудь отключить.

    4 апреля 2013 г. 0:43

Ответы

  • Действительно, есть такая проблема, начиная с Висты. При подключённом VPN-соединении, для аутентификации в домене при доступе к ресурсам используются данные аутентификации VPN-подключения, а не доменные. Соответственно, если логин-пароль отличны от доменных, то доступ получить не удаётся. Решение проблемы в следующем:

    1)  При обращении к шаркам использовать полные имена FQDN.

    2) После каждого подключения к VPN, удалять данные аутентификации из кэша командой "cmdkey /delete /ras";

    3) Самый нормальный способ. В Висте и семёрке по умолчанию данные аутентификации подключения кэшируются. Чтобы они не кэшировались, нужно в конфигурационном файле подключения эту опцию отключить. Файл подключения имеет расширение .pbk и лежит обычно тут:

    %APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

     

    Для всех пользователей

    C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

     

    Либо найти этот файл поиском, потом открыть файл в блокноте и исправить строчку

    UseRasCredentials=1 на UseRasCredentials=0

    Сохранить. Всё.

    • Предложено в качестве ответа Dmitriy Razbornov 10 апреля 2013 г. 8:09
    • Помечено в качестве ответа AndricoRusEditor 10 апреля 2013 г. 8:14
    10 апреля 2013 г. 8:06

Все ответы

  • Добрый день!

    Посмотрите статью Resolving Network Issues-You Might Not Have Permission To Use This Network Resource.

    Надеюсь, это поможет Вам решить Ваш вопрос.

    8 апреля 2013 г. 6:19
    Модератор
  • Действительно, есть такая проблема, начиная с Висты. При подключённом VPN-соединении, для аутентификации в домене при доступе к ресурсам используются данные аутентификации VPN-подключения, а не доменные. Соответственно, если логин-пароль отличны от доменных, то доступ получить не удаётся. Решение проблемы в следующем:

    1)  При обращении к шаркам использовать полные имена FQDN.

    2) После каждого подключения к VPN, удалять данные аутентификации из кэша командой "cmdkey /delete /ras";

    3) Самый нормальный способ. В Висте и семёрке по умолчанию данные аутентификации подключения кэшируются. Чтобы они не кэшировались, нужно в конфигурационном файле подключения эту опцию отключить. Файл подключения имеет расширение .pbk и лежит обычно тут:

    %APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

     

    Для всех пользователей

    C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

     

    Либо найти этот файл поиском, потом открыть файл в блокноте и исправить строчку

    UseRasCredentials=1 на UseRasCredentials=0

    Сохранить. Всё.

    • Предложено в качестве ответа Dmitriy Razbornov 10 апреля 2013 г. 8:09
    • Помечено в качестве ответа AndricoRusEditor 10 апреля 2013 г. 8:14
    10 апреля 2013 г. 8:06
  • Спасибо за помощь!
    10 апреля 2013 г. 9:36