Windows 2008 R2 + Mikrotik VPN

[Warcz]

Ahojky,

Řeším takovou zapeklitou situaci. Mam na Mikrotiku VPN a na Windows serveru 2008 doménový řadič

- Přihlasim se do počítače učtem DOMENA/PETR
- Vytočím VPN Pavel
- Zadám adresu serveru a windows mě chce logovat uživatelem Pavel ( Uživatelem z VPN )

Proč to dělá ? Proč se neloguje uživatelem doménového uživatele ?

[sub_zero]

tak použij kouzelný tlačítko "use another account", ne? A tam napiš svůj login doména\uživatel
Když se zkusíš z toho serveru připojit bez vytočené VPN (třeba na nějakej jinej server), tak se to děje taky?

[Warcz]

V rámci firmy to funguje v pohodě.

To tlačítko bych používal kdyby se neukázalo jenom občas. Jindy se vůbec neukáže a skončí to chybou ( Vždy to uděla 6 neuspěšných pokusu loginem a heslem z VPN )

Mě nejde přes hlavu proč Windows 7 ( i 8 ) používají login z VPN pro login k serveru.

[Majklik]

Proč ti to dělá? Protože tě to nemá rádo!

Jako spoustu jiných.

Podstata problému je, že zadané ověřovací údaje pro VPN se ukládají do "kredence" (Credential Manager) jako parametry aktivní sešny. A manager to pak cpe všem, kdo požádá o ověření.... Protože předpokládá, že jakmile se ověříš k VPN serveru, tak následně budeš přistupovat dál do té vzdálené sítě a ověřovací údaje k serverům budou stejné s VPN.

Jenže VPNko to do té cache někdy cpe, někdy ne, záleží na nastavneí RRAS...
Aby se v kredenci vůbec neukládaly aktivní VPN autorizační údaje, to by mohlo řešit:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
DisableDomainCreds(REG_DWORD)=1

No a aby je RRAS vůbec nesnažil se do té cache cpát, tak prohledej si adresář s profilem, hledej soubor RASPHONE.PBK. Jestli jsi VPN definoval jen pod sebou a sebe, bude v tvém uživatelském profilu, pokud je pro všechny, tak bude v all users. Je to texťák a hledáš řádek v sekci pro dané VPN UseRasCredentials=0/1. Ten řídí, zda po nahození VPN to má do té cache zkusit nacpat.

[Warcz]

Doprdele prace... Takže kdybych to chtěl změnit 80 lidem tak někde hodně hluboko v doménových politikách a to ještě když to udělám, tak doufám že pojede normální ověření.

[Majklik]

V politikách je to někde zašito, ale asi to nebude fungovat, pokud nemáš spojen RB s doménou. U toho DisableDomainCreds(REG_DWORD)=1 si nejsem jist, co všechno rozbije..

Je třeba si uvědomit, že od dob Win7 na stanicích a W2K8 na serverech je klasické VPN mrtvý kůň. Nová správná nadávka zní Direct access (aka Unified Remote Access), ale ta Mikrotika diskvalifikuje ze hry pro nepodporu AuthIP.
IMHO je cesta nejmenšího odporu sjednotit to ověřování. Ale pokud chceš používat MKčko jako VPN bránu, tak bezpečná konfigurace je jen použití L2TP/IPsec. PPP vrstva v L2TP napojit přes radius na doménu, takže jméno/heslo z domény a IPsec vrstva s certifikáty (ne přes sdílené heslo).
Bohužel, Mkčko zaspalo ve VPNkování trochu dobu. Druhá možnost je SSTP, ale tam aspoň omezit možnost hádání hesel.