При попытке подключения VPN к TMG блокируется учётная запись
 

Здравствуйте!
У меня настроен шлюз на Forefront TMG.
Для настройки VPN сделал следующее:
Назначил пул статических адресов 10.68.7.1-10.68.7.20
Установил Группу пользователей Windows, имеющих доступ к VPN. В профиле пользователя на DC установил разрешение на подключение через VPN.
Установил протокол PPTP.
Установил Сеть доступа "Внешняя"
В правилах файервола прописал Разрешать весь исходящий трафик от VPN-клиентов в сеть "Внутренняя" для "Всех пользователей"
Карантин не настраивал.

DC на Win2003SP2. Внутренняя подсеть 10.68.0.0/22

Суть проблемы: На внешнем компьютере создал VPN подключение, задаю "Имя пользователя", "Пароль", "Домен", жму Подлкючение, после чего появляется внешне странное окно в котором сообщается "Системе Windows не удалось подключиться к сети используя предоставленные пароль и имя пользователя. Повторите ввод пароля и имя пользователя." Ну и согласно парольной политике учётная запись блокируется после пяти попыток подключения. Первое время думал, что я ввожу свои данные как-то не так, но потом уже попробовал тупо копировать из блокнота, но результат такой же. Т.е. получается, что на DC передаётся какой-то неверный пароль.

Честно говоря даже не знаю куда копать и что делать...

Неужели никто с подобной проблемой не сталкивался?!

Может я недостаточно где-то что-то пояснил, так уточняйте, пожалуйста, с огромной радостью отвечу на все вопросы. :)

Логин пользователя вводите в формате username@domain ??? На КД какие записи в журнале безопсности в время логина через VPN?

Скорее всего этому пользователю запрещен удаленный доступ. Какие свойства в AD выставлены для пользователя?

Telepuzik, Логин настроил с запросом домена. В DC появляестя что-то вроде
Побродил по интернету, пишут, что ошибка 0xC000006A означает неверный логин/пароль.

Delirium, Удалённый доступ разрешал.

В общем, кажется, я нашёл что-то, правда попробовать нет возможности, ибо это противоречит корпоративной политике, но, надеюсь услышать на форуме подтверждение этой гипотезы и возможные варианты решения.
У нас в политике безопасности домена в LAN Manager Compatibility прописано отказывать в LM- и NT-аутентификации, разрешать только NTLMv2.
Так вот, вычитал я, что MS-CHAPv2 не поддерживает NTLMv2.

Если это действительно так, то можно ли это как-то обойти?

Вот, нашёл подтверждение и, вроде, обходной путь: Входящие методы проверки подлинности

Вот выдержка оттуда:


И вот из этой цитаты...

возник у меня вопрос, где эта страница "Входящие методы проверки подлинности", о которой в тексте идёт речь?

Ну и исходя из всего вышеописанного уточняю:
DC на Win2003SP2
TMG на Win2008R2SP1

Привет
чем все закончилось? ИМею аналогичную проблему, DC - 2008 сервер.
Подключение устанавливается, но логин-пароль якобы неверный и все тут.


полагаю речь о параметрах политик, ибо весь реестр успешно правится и оттуда. Технет вообще доставляет своими описаниями, способными запутать больше, чем научить, одна фраза "Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее" чего стоит.

Суть кажется понятна - надо пробовать перекрывать default domain policy в параметрах:
Сетевая безопасность: уровень проверки подлинности LAN Manager
Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
или править саму дефолтную политику где-то в этой области.
щас не имею КД 2008 под руками, но зато смотрю в 2003, работающий хорошо, и вижу сразу, на глаз, что в default domain policy в ветке Конфигурация компьютера \ конфигурация Виндовс \ Параметры безопасности \ локальные политики \ параметры безопасности > существенно отличается от 2008 - там определено намного больше, в 2003 у меня всего 1 параметр определен, да и тот Интерактивный вход в систему:не отображать последнее имя пользователя.

mx1805, у вас ТМГ с сервис паками? русский?

parafoxer, в общем вчера решил проблему изменив политику контроллера домена "уровень проверки подлинности LAN Manager". Проблема, как я и предполагал заключалась в том, что MSCHAPv2 аутентифицируется через NTLM, и не поддерживает NTLMv2, поэтому пришлось понизить уровень на один пункт до "Отправлять только NTLMv2 ответ, отказывать LM", после чего всё заработало как по маслу :)

TMG русский, со всеми обновлениями.

parafoxer, помотри у себя в RSOP.msc на DC, да в gpedit.msc, что прописано в LAN Manager. Кстати, в свойсвах учётки под которой подключаешься, не забыл разрешить VPN подключения?

забыл разрешить подключения. я как-то в 2003 еще мозгом-то
ок, как доберусь - проверю. а то весь мозг проела проблема, приходится ногами ездить в контору, а это далеко

и кстати в свойствах учетки у меня нет вкладки входящие звонки
DC 2003, ISA 2006, ВПН работает по L2TP

а в 2008 посмотрю конечно

parafoxer, хм, странно, везде, где я читал решая эту проблему, написано, что именно в 2003 возникает такой затор, так как по-умолчанию RAS и VPN в настройках учётки запрещены. Причём на моём DC 2003 SP2 вкалдка "входящие звонки" есть.