[mx1805]

Неужели никто с подобной проблемой не сталкивался?!

Может я недостаточно где-то что-то пояснил, так уточняйте, пожалуйста, с огромной радостью отвечу на все вопросы.

[Telepuzik]

Цитата mx1805:

"Системе Windows не удалось подключиться к сети используя предоставленные пароль и имя пользователя. »

Логин пользователя вводите в формате username@domain ??? На КД какие записи в журнале безопсности в время логина через VPN?

[Delirium]

Цитата mx1805:

Системе Windows не удалось подключиться к сети используя предоставленные пароль и имя пользователя »

Скорее всего этому пользователю запрещен удаленный доступ. Какие свойства в AD выставлены для пользователя?

[mx1805]

Telepuzik, Логин настроил с запросом домена. В DC появляестя что-то вроде

Код:

Logon attempt by:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:	User
Source Workstation:	
Error Code:	0xC000006A

Побродил по интернету, пишут, что ошибка 0xC000006A означает неверный логин/пароль.

Delirium, Удалённый доступ разрешал.

В общем, кажется, я нашёл что-то, правда попробовать нет возможности, ибо это противоречит корпоративной политике, но, надеюсь услышать на форуме подтверждение этой гипотезы и возможные варианты решения.
У нас в политике безопасности домена в LAN Manager Compatibility прописано отказывать в LM- и NT-аутентификации, разрешать только NTLMv2.
Так вот, вычитал я, что MS-CHAPv2 не поддерживает NTLMv2.

Если это действительно так, то можно ли это как-то обойти?

[mx1805]

Вот, нашёл подтверждение и, вроде, обходной путь: Входящие методы проверки подлинности

Вот выдержка оттуда:

читать дальше »

Цитата:

Серверы IAS и RRAS используют NTLM для проверки подлинности учетных данных своих клиентов в домене. Это означает, что контроллеры домена, которые должны проверять подлинность клиентов серверов IAS или RRAS, нельзя настраивать на прием проверки подлинности только по протоколу NTLMv2. Однако, начиная с Windows Server 2003 SP1, контроллеры домена могут принимать NTLM от серверов IAS и RRAS, но во всех других случаях принимается только NTLMv2. Это происходит по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, использующих PEAP-MSCHAPv2, потому что PEAP-MSCHAPv2 обеспечивает такую же защиту, как NTLMv2. Это исключение не делается по умолчанию, если IAS- или RRAS-сервер под управлением Windows Server 2003 SP1 использует PPP-MSCHAPv2 для проверки подлинности клиентов.

И вот из этой цитаты...

читать дальше »

Цитата:

...то флажок Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее на странице Входящие методы проверки подлинности должен быть установлен, даже если все IAS- и RRAS-серверы работают под управлением Windows Server 2003 SP1.

возник у меня вопрос, где эта страница "Входящие методы проверки подлинности", о которой в тексте идёт речь?

Ну и исходя из всего вышеописанного уточняю:
DC на Win2003SP2
TMG на Win2008R2SP1

[parafoxer]

Привет
чем все закончилось? ИМею аналогичную проблему, DC - 2008 сервер.
Подключение устанавливается, но логин-пароль якобы неверный и все тут.

Цитата:

mx1805 где эта страница "Входящие методы проверки подлинности", о которой в тексте идёт речь?

полагаю речь о параметрах политик, ибо весь реестр успешно правится и оттуда. Технет вообще доставляет своими описаниями, способными запутать больше, чем научить, одна фраза "Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее" чего стоит.

Суть кажется понятна - надо пробовать перекрывать default domain policy в параметрах:
Сетевая безопасность: уровень проверки подлинности LAN Manager
Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
или править саму дефолтную политику где-то в этой области.
щас не имею КД 2008 под руками, но зато смотрю в 2003, работающий хорошо, и вижу сразу, на глаз, что в default domain policy в ветке Конфигурация компьютера \ конфигурация Виндовс \ Параметры безопасности \ локальные политики \ параметры безопасности > существенно отличается от 2008 - там определено намного больше, в 2003 у меня всего 1 параметр определен, да и тот Интерактивный вход в систему:не отображать последнее имя пользователя.

mx1805, у вас ТМГ с сервис паками? русский?

[mx1805]

parafoxer, в общем вчера решил проблему изменив политику контроллера домена "уровень проверки подлинности LAN Manager". Проблема, как я и предполагал заключалась в том, что MSCHAPv2 аутентифицируется через NTLM, и не поддерживает NTLMv2, поэтому пришлось понизить уровень на один пункт до "Отправлять только NTLMv2 ответ, отказывать LM", после чего всё заработало как по маслу

TMG русский, со всеми обновлениями.

parafoxer, помотри у себя в RSOP.msc на DC, да в gpedit.msc, что прописано в LAN Manager. Кстати, в свойсвах учётки под которой подключаешься, не забыл разрешить VPN подключения?

[parafoxer]

Цитата:

в свойсвах учётки под которой подключаешься, не забыл разрешить VPN подключения?

забыл разрешить подключения. я как-то в 2003 еще мозгом-то
ок, как доберусь - проверю. а то весь мозг проела проблема, приходится ногами ездить в контору, а это далеко

[parafoxer]

и кстати в свойствах учетки у меня нет вкладки входящие звонки
DC 2003, ISA 2006, ВПН работает по L2TP

а в 2008 посмотрю конечно