@ukrainizator
Помогите разобраться почему Active Directory блокирует пользователей, которые подключаются к корпоративной сети по vpn (l2tp).
Дано:
1. локальный Windows Server 2022 с последними обновлениями + Active Directory + файловое хранилище (samba)
2. фаервол Sophos XG 310, который выполняет роль шлюза и vpn сервера
3. клиентские машины с Windows 10 Pro
При подключении клиентской машины к vpn, сервер с AD пингуется, но если сразу попытаться войти на сетевой ресурс в файловом хранилище, аккаунт блокируется. В логах сервера есть информация о блокировке аккаунта, но нет информации почему. На клиенте в логах есть информация о блокировке winlogon.exe из-за неправильно введенного пароля. Иногда удается получить нормальный доступ к сетевым дискам, если после подключения к vpn, вылогиниться с Windows и залогиниться повторно. Не всегда это удается и аккаунт при попытке залогиниться повторно также блокируется.
При работе с сетевыми ресурсами с локальной сети или с удаленной сети, роутер в которой заранее установил подключения по vpn (создав таким обазом тунель), никакой проблемы с блокировкой аккаунта не возникает. Сетевые папки монтируются автоматически с помощью GPO в зависимости уровня доступа пользователя. Правило в GPO, которое могло бы блокировать пользователей отключено. Т.е. нет блокировки акканута при неправильно введенном пароле.
актуализация: аудит на сервере включен; правило GPO о периодической смене пароля выключено; пароли в менеджере паролей на клиентских машинах удалялись. результат тот же.
p.s. Cервер с AD 1,5 года назад был перенесен с Windows 2003 на Windows 2008, а потом на Windows 2022. пользователи подключались к vpn серверу по протоколу pptp. Потом протокол был заменен на l2tp для большей безопасности и шифрования тунелей. И скорее всего после этого начались проблемы с блокировкой аккаунтов.
p.p.s. Еще заметил, что на тестовой клиентской машине с чистым Windows блокировки аккаунта вообще не наблюдается, даже если пытаешься ввойти на сетевой ресурс сразу после подключения по vpn. Остальные служебные клиентские машины имеют Windows с подготовленного образа с предустановками, но и в локальных настройках я не могу найти правило, которые бы провоцировало блокировку доменных аккаунтов.
Вот такой вот полтергейст. Как найти причину блокировки аккаунтов?
Решения вопроса 0
Ответы на вопрос 1
@mvv-rus
Предполагаемая причина, особенно, если у вас принята политика регулярной смены паролей для пользователей — устаревший запомненный пароль на устройствах пользователей. Обучите пользователей самостоятельно смотреть и удалять эти пароли.