A autenticação do Windows se comporta de maneira estranha quando VPN

Temos alguns aplicativos que dependem da autenticação do Windows - alguns aplicativos da Web com autenticação do AD ativada e geralmente nos conectamos aos nossos servidores SQL com o Windows Auth. Isso normalmente é executado sem problemas. No entanto, não funciona tão bem se tivermos VPN para um site cliente.

SSMS

Abrir o SSMS normalmente no menu Iniciar e escolher um servidor que normalmente aceite a autenticação do Windows resulta em uma mensagem dizendo:

Falha na autenticação. O logon é de um domínio não confiável e não pode ser usado com autenticação do Windows. (Provedor de dados .Net SqlClient)

Se eu largar em um prompt de comando e usar runas /user:domain\userpara iniciar o SSMS, posso autenticar com êxito o Windows em nossas instâncias do SQL Server com esse processo ssms.

Se eu procurar no gerenciador de tarefas, ambas as cópias do ssms.exe (menu iniciar x runas) têm o mesmo usuário e não vejo diferenças discerníveis entre os processos no procexp.

Sites de autenticação do AD

Se eu abrir o IE e navegar para qualquer um de nossos sites que exijam um usuário autenticado do Windows, recebo o aviso "quem é você" e essa caixa de diálogo pensa que eu sou quem é o usuário da VPN. Posso clicar em "Usar outra conta" e autenticar dessa maneira.

Outlook

Até o Outlook solicita um nome de usuário quando estamos com VPN!

Está afetando nossas máquinas Win7 e Vista. Já faz um tempo desde que tínhamos uma caixa XP, mas não me lembro de ter esse problema no XP pelo que vale a pena.

As conexões VPN estão apenas usando as conexões VPN embutidas no Windows, não são VPNs cisco sofisticadas ou qualquer coisa dessa natureza.

Alguém sabe como dizer ao Windows que eu gostaria de ser meu usuário antigo de domínio primário normal e não o usuário VPN ao me autenticar nos recursos de nosso domínio? Caramba, eu ficaria feliz com uma solução que me indicasse "quem é você" se eu estivesse tentando acessar a autenticação do Windows que requer recursos na VPN do cliente.

Obrigado!

Desculpas se essa é mais uma pergunta de superusuário, eu não tinha certeza de qual site era o mais adequado. Trata-se de rede e infraestrutura e afeta todos os nossos desenvolvedores aqui, então espero que seja uma falha no servidor.

Eu também estava tendo esse mesmo problema e encontrei a solução aqui:

http://social.technet.microsoft.com/forums/en-US/itprovistanetworking/thread/275599f0-6239-46a5-8245-50a5c13a2713/

Você precisará localizar o arquivo .pbk das conexões VPN.

Você pode encontrá-lo aqui:

C: \ Usuários \ {WindowsLogin} \ AppData \ Roaming \ Microsoft \ Rede \ Conexões \ PBK

Ou, se você o configurou para permitir que todos os usuários usem a conexão, você pode encontrá-lo aqui:

C: \ ProgramData \ Microsoft \ Rede \ Conexões \ PBK

Edite-o com um editor de texto e encontre a linha que diz:

UseRasCredentials=1

Desative configurando-o como 0

UseRasCredentials=0

Usamos o software Cisco VPN para alguns usuários externos. O software VPN solicita credenciais que consultam o Active Directory para garantir que o nome de usuário / senha estejam corretos e que o usuário tenha direitos para efetuar logon via VPN. Mas uma autenticação bem-sucedida apenas estabelece uma conexão com a rede. O acesso aos recursos de rede depende da autenticação que você forneceu à estação de trabalho quando efetuou logon.

Isso se tornou um problema para nós, porque os usuários acessavam o laptop com credenciais em cache, estabeleciam uma conexão VPN e depois alteravam sua senha. Eles bloqueariam suas contas de domínio porque seu token de usuário tinha suas credenciais antigas. Desde então, aconselhamos esses usuários a bloquear e desbloquear sua estação de trabalho depois de alterar sua senha enquanto o túnel da VPN é estabelecido. Isso atualiza o token do usuário e permite que eles acessem os recursos de rede usando as credenciais atualizadas.