基於 SSLVPN 的域認證
在問我的問題之前,我將從一些背景資訊開始。
網路設置:
帶雲防火牆的 5 站點 MPLS。SSLVPN 客戶端連接到雲防火牆並通過 LDAP 針對我們的 PDC 對使用者進行身份驗證,並獲得可在 MPLS 上路由的 IP。
設備位置:
Virtualized Server 2003 SE 作為 PDC @site1
Virtualized Server 2012 作為 DC 從站 @site5
Virtualized Server 2003 SE 作為文件伺服器 @site5
XP Pro 客戶端使用 SSLVPN 從家裡連接到 MPLS。
設想:
一名員工最近開始在家工作。她已將公司擁有的連接域的筆記型電腦帶回家,通過我們的 SSLVPN 連接工作。使用者能夠使用域憑據登錄 SSLVPN,並能夠與上述三台伺服器進行通信。使用者需要在文件伺服器上訪問 2 個共享。這些共享有 4 個權限/安全組分配:會計、本地管理員、域管理員、經過身份驗證的使用者。當他們在 site1 時,他們可以使用他們的憑據訪問共享。當他們通過 SSLVPN 從家中連接並嘗試從其域帳戶訪問這些共享時,他們會收到消息“無法找到 DC 以驗證此使用者”(他們的使用者名在會計組中)。然而,
我已經查看了我的所有共享和安全設置,但找不到任何導致問題的地方。我還編輯了她電腦的主機文件,以自動將每個伺服器解析為正確的 IP 地址,如 Servername 和 servername.domain.com。可以通過 ping 驗證通過主機名和 FQDN 進行的通信。我研究了 XP 如何定位 DC,但我無法確定為什麼它無法定位 DC 進行身份驗證。現在,這個使用者必須通過 RDP 訪問我們在 site5 的應用程序伺服器的共享文件,但這並不是最佳的。
問題:
為什麼我的域憑據能夠針對 DC 進行身份驗證,但使用者的憑據在嘗試訪問共享時非法“無法找到 DC 來驗證使用者”。
看起來是我們的防火牆將我們的 SSLVPN 適配器交給了無用的 DNS,從而阻止了一些使用者定位 DC 進行身份驗證。用我們的內部 DNS 替換預設 DNS,然後在電腦的防火牆中打開一個孔以進行文件共享並打開電腦瀏覽器服務解決了這個問題。