none
同仁外出透過VPN連線網路磁碟機問題(AD環境)

    問題

  • 各位好

    小弟請教各位前輩一個問題,目前我這邊有一個2003的AD環境,目前外出的同仁,會透過VPN(第三方的防火牆)連線回公司,但發現一些網路磁碟機會無法使用,會出現帳戶已鎖定的訊息,我手動執行 \\192.168.1.1之類的方式想去連線該主機分享的資源,會出現帳號密碼不正確,即便是我手動輸入,也是一樣無法通過驗證,不知道我有甚麼地方沒有設定好?

    感謝!


    • 已編輯 朱小安 2016年9月30日 上午 09:33
    2016年9月30日 上午 09:28

解答

所有回覆

  • 建議先檢查 VPN 的網段及伺服器網段間,
    防火牆上是否有什麼 IPS Policy 或設定做了檢查造成異常

    這類的問題大多只能就經驗給予方向,
    如果要比較明確找出原因,
    可能要側錄兩邊的網路封包去觀察溝通驗證過程,
    比較正常的狀況與異常的狀況差異


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年9月30日 下午 12:49
    版主
  • 目前VPN會拿到一個VPN專屬的網段,與LAN不同,防火牆目前是允許VPN連線完全進入不阻擋的狀態。

    後來測試,發現我AD裡面,有建立一個自行建立的系統管理者帳號,這個帳號似乎不會有密碼不對的問題,這個帳號有一些比較特別的,概略是:

    1.密碼不會過期。
    2.在DOMAIN/Builtin的Administrators群組、DOMAIN/Users的Domain Admins群組。一般帳號,僅有DOMAIN/Users的Domain Users群組。

    我在猜不知道這有沒有影響?因為小弟的AD沒有很熟,大多建立好就維持現狀了,群組原則不太有異動過,最多動過密碼原則而已。

    不好意思,再麻煩大家了,謝謝。


    • 已編輯 朱小安 2016年9月30日 下午 02:57
    2016年9月30日 下午 02:55
  • 您好,

    通常使用第三方防火牆會建議使用SSL VPN方式為佳.

    就我經驗通常都是防火牆設定有誤,或者相容性不佳等等原因,

    另外,防火牆硬體是否可更新韌體試試呢?

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 朱小安 2016年11月29日 上午 05:43
    2016年10月3日 上午 02:48
  • 外出的同仁的電腦拿到公司內部是否可以正常連線磁碟機?

    如果一樣有問題就是該電腦帳號與AD帳號沒有同步,所以會驗證錯誤

    另外192.168.1.1這台主機是否有加入網域?

    如果沒有所使用的帳號也是不一樣的

    例如有加入網域的clinet在聯結其他電腦時預設帳號都會顯示\\domian\user name

    所以密碼輸入都會是錯誤的

    2016年10月3日 上午 03:49
  • 這台電腦是已經加入網域的電腦,回公司用是正常的,網路磁碟機的主機,也是有加入網域的狀態。

    目前發現好像系統管理者帳號似乎不會有問題,只有一般user帳號會有這種情況。

    2016年10月3日 上午 09:43
  • 防火牆目前版本是最新的,沒多久前才更新過,不過我猜問題可能是出在AD上面,因為系統管理者帳號,似乎不會有這種情況發生。
    2016年10月3日 上午 09:44
  • 問題描述有提到帳號已鎖定的狀況,
    或許從事件檢視器中去尋找帳號鎖定的事件資訊,
    可以找一些蛛絲馬跡進一步解決

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 朱小安 2016年11月29日 上午 05:43
    2016年10月3日 下午 01:26
    版主
  • 謝謝,AskSu前輩,明天我來找一台機器測試看看。
    2016年10月3日 下午 02:43