Cisco VPN Concentrator 3000 und Server 2008 Active Directory-Authentifizierung - Wie Man

Cisco VPN Concentrator 3000 und Server 2008 Active Directory-Authentifizierung

Ich werde darauf hinweisen, dass Cisco möglicherweise eine aktualisierte Firmware-Version für diesen Konzentrator hat, die dieses Problem behebt. Dies kann jedoch für diejenigen hilfreich sein, die bei dem bleiben, was sie haben (wie ich!).

Ich hatte ein Problem mit unserem Cisco VPN Concentrator 3000, seit wir unsere DCs auf Server 2008 R2 aktualisiert haben. Wir haben die Domänenfunktionsebene auf Server 2008 festgelegt, was meines Erachtens dieses Problem verursacht hat.

Das Problem war, wenn wir versuchen, eine Verbindung herzustellen, würde es die Annahme von Anmeldeinformationen ablehnen, von denen wir wussten, dass sie gut waren. Beim Überprüfen der Ereignisprotokolle wird nur die Authentifizierung abgelehnt angezeigt. Wenn Sie den AD-Server von der Weboberfläche des 3000 aus testen, wird auch die Authentifizierung zurückgewiesen. Grund? Unbekannte.
Wäre schön gewesen, mehr Informationen über das Problem zu bekommen ... aber hey! Darum geht es bei der IT. Herausfinden!

2 Schritte insgesamt

Schritt 1: Ändern Sie die Einstellung für das Benutzerobjekt

Suchen Sie in Active Directory-Benutzer und -Computer nach dem betreffenden Benutzer.
Doppelklicken Sie auf das Objekt, um das Eigenschaftenfenster aufzurufen.
Blättern Sie auf der Registerkarte Konto bis zum Ende des Abschnitts Kontooptionen.
Suchen Sie nach "Keine Kerberos-Vorauthentifizierung erforderlich" und stellen Sie sicher, dass diese Option aktiviert ist. Klicken Sie auf Übernehmen und schließen Sie die Fenster.

Wenn Sie jetzt versuchen, die Verbindung erneut herzustellen, sollte es funktionieren!

Schritt 2: Die Ursache

Die Ursache scheint Kerberos V5 zu sein (das in Windows DC 2000-2008 R2 implementiert ist).
Nun wurde dies seit Server 2000 implementiert, es scheint jedoch 2008 eine strengere Implementierung zu geben, oder die Kerberos-Implementierung des Concentrators ist nicht korrekt. In jedem Fall soll die Vorauthentifizierung dazu beitragen, böswillige Angriffe zu verhindern, also würde ich entweder:
A) Erstellen Sie Benutzerkonten, für die mit Ausnahme der Authentifizierung so ziemlich alles möglich ist, und verwenden Sie diese zum Anmelden. Sie können Spiegelungen bestehender Konten sein (IE: jdale hat ein VPN-Login von jdale_VPN) oder speziell für jede Abteilung erstellt werden ... verwenden Sie Ihre Phantasie

B) Verbessere deine Ausrüstung. Ich bin kein Experte für Sicherheitsfragen, aber ich weiß, dass es sicherer wäre, eine Vorauthentifizierung zu verlangen. Wie offenkundig diese Option ist, liegt außerhalb des Geltungsbereichs dieses Dokuments. Wenn Sie sich jedoch stark mit der Sicherheit auseinandersetzen, werden Sie wahrscheinlich den Verdichter hochlegen, um Ihren Konzentrator zu ersetzen.

Wie Sie sehen, ist dies eher eine Problemumgehung als ein Fix. Eine geeignete Lösung wäre, die Firmware zu aktualisieren (falls möglich) oder Ihre VPN-Appliance durch etwas aktuellere zu ersetzen.