Ошибка сопоставления групповой политики ikev2 windows 10

Обновлено: 18.05.2024

В этом разделе описываются распространенные проблемы и решения для Mobile VPN с IKEv2:

Сообщения журнала

Чтобы просмотреть сообщения журнала о событиях, связанных с Mobile VPN с IKEv2:

для IKE VPN.

1. Откройте монитор трафика.
2. Нажмите значок поиска и введите IP-адрес Firebox, к которому подключаются пользователи IKEv2 VPN.
3. После устранения неполадки сбросьте уровень журнала диагностики до предыдущей настройки. Значение по умолчанию — Ошибка.

Мы не рекомендуем выбирать самый высокий уровень ведения журнала (Отладка), если только представитель службы технической поддержки не даст вам указания сделать это во время устранения проблемы. При использовании самого высокого уровня журнала диагностики файл журнала может очень быстро заполниться, а производительность Firebox может снизиться.

Проблемы с установкой

Если вы не можете запустить сценарий автоматической настройки, загруженный из Firebox:

• Убедитесь, что у вас есть права администратора на компьютере.
• Если вы не можете получить права администратора, вы можете развернуть VPN-клиент IKEv2 с помощью групповой политики Microsoft Active Directory (GPO).
  Дополнительную информацию см. в разделе Как создать и развернуть настраиваемые профили IKEv2 и L2TP VPN для компьютеров Windows? в базе знаний WatchGuard.

В Fireware версии 12.5.3 или ниже сценарий автоматической настройки может завершиться ошибкой, если в объектах групповой политики Windows указаны ограничения цифровой подписи для сценариев PowerShell. Чтобы решить эту проблему, обновите Fireware до версии 12.5.4 или выше и загрузите обновленный скрипт установки из вашего Firebox. Обновленный скрипт использует политику выполнения Bypass вместо политики RemoteSigned.

Или в Fireware версии 12.5.3 или ниже вручную измените политику выполнения на Обход:

1. Откройте сценарий установки WatchGuard в текстовом редакторе.
2. В конце скрипта измените -ExecutionPolicy RemoteSigned на -Execution Policy Bypass .
   Ошибка "Скрипт не может быть загружен" больше не появляется при запуске скрипта.

Проблемы с подключением

Когда пользователь запускает Mobile VPN с подключением IKEv2:

• Клиент VPN устанавливает соединение через порт UDP 500. Если этот порт не открыт на клиентском шлюзе, сеанс не продолжается.
• Если порт UDP 500 открыт, но обнаружен NAT, подключение продолжается через порт UDP 4500. Если клиентский шлюз не разрешает UDP 4500, IPSec и IKEv2 не могут продолжаться.

Если клиентский шлюз не разрешает использование UDP-порта 500 или 4500, пользователи Windows увидят следующее сообщение:




Чтобы устранить эту проблему, убедитесь, что трафик IPSec может проходить через клиентский шлюз:

1. На клиентском шлюзе откройте консоль диагностики или ведения журнала.
2. Убедитесь, что шлюз разрешает ESP и исходящий трафик от хоста через порты UDP 500 и UDP 4500.
1. Запустите анализатор пакетов, например Wireshark, на компьютере пользователя, чтобы определить, покидает ли трафик от требуемых портов локальную сеть или беспроводную сетевую карту.
2. В Firebox запустите утилиту tcpdump. Например, запустите:
   -i eth0 -c2 –n хост 198.51.100.100 и порт 4500
   В этом примере вы настраиваете tcpdump для захвата двух входящих пакетов ( -c2 ) без разрешения имен ( -n ) с общедоступного IP-адреса пользователя ( 198.51.100.100 ) на порт 4500 на внешнем интерфейсе вашего брандмауэра ( eth0 ).
   

Эта ошибка указывает на то, что у пользователя не установлен сертификат центра сертификации (ЦС) в хранилище доверенных ЦС на локальном компьютере.

В Windows вы также можете установить сертификат через консоль управления Microsoft (MMC):

1. Откройте MMC.
2. Выберите «Файл» > «Добавить/удалить оснастку».
3. В меню «Доступные оснастки» выберите «Сертификаты» и нажмите «Добавить».
   Появится мастер оснастки сертификатов.
4. Выберите «Учетная запись компьютера» и нажмите «Далее».
5. Выберите «Локальный компьютер» и нажмите «Готово».
6. В списке сертификатов щелкните правой кнопкой мыши Доверенные корневые центры сертификации.
7. Выберите «Все задачи» > «Импорт».
   Появится мастер импорта сертификатов.
8. Нажмите "Обзор".
9. Перейдите к месту, где вы сохранили файл конфигурации Mobile VPN с IKEv2 из Firebox.
   Информацию о том, как загрузить файл конфигурации, см. в разделе Настройка клиентских устройств для мобильной VPN с помощью IKEv2.
10. Выберите файл rootca.crt.
11. Нажмите "Далее".
12. Оставьте значения по умолчанию: Поместить все сертификаты в следующее хранилище и Доверенные корневые центры сертификации.
13. Нажмите "Готово".

Проблемы с подключением к учетной записи

Во время VPN-подключения Firebox проверяет личность пользователя и членство в группе в локальной базе данных или на существующем сервере RADIUS.

Пользователь должен быть членом:

• Группа IKEv2-Users по умолчанию в Firebox или
• Группа, явно добавленная во время настройки Firebox.

Если VPN-соединение не может быть установлено из-за проблемы с учетной записью пользователя, в журнале Traffic Monitor в Firebox появляется сообщение журнала Unhandled external packet. Это сообщение журнала указывает, что пользователь не является частью группы, которой разрешено подключаться к Mobile VPN с помощью IKEv2.

Примеры сообщений журнала:

Если пользователь укажет неправильный пароль, в журнале Traffic Monitor на Firebox появится сообщение журнала неверные учетные данные.

Пример сообщения журнала:

Если пользователь указывает имя пользователя, которое не существует на сервере аутентификации, сообщение журнала пользователь не существует появляется в Traffic Monitor на Firebox.

Примеры сообщений журнала:

Для этих проблем с подключением, связанных с аккаунтом, пользователи видят общее сообщение об ошибке, например:




Чтобы устранить проблемы с аутентификацией AuthPoint, см.:

Проблемы после подключения

Если пользователи не могут подключиться к общим папкам, принтерам или другим сетевым ресурсам с помощью доменного имени или IP-адреса:

• Определить, могут ли пользователи пинговать IP-адрес внутреннего сетевого ресурса или внутренний интерфейс Firebox.
• Убедитесь, что политика Firebox, контролирующая доступ к внутренним ресурсам, отправляет сообщение журнала для этого действия. Вы можете просмотреть сообщения журнала, чтобы определить, видит ли Firebox трафик и разрешает ли ему проходить.
  Информацию о ведении журнала см. в разделе Настройка ведения журнала и уведомлений для политики.

Если политика разрешает трафик и сетевой ресурс доступен, но пользователь не получает ответа от сетевого ресурса:

• Используйте диагностический инструмент tcpdump, чтобы отфильтровать запрос от интерфейса или VLAN, где находится целевой ресурс. Например:
  -i vlan10 -c2 -n host 10.0.10.250 и icmp
• На компьютере пользователя:
  • Используйте инструмент для анализа пакетов, например Wireshark, чтобы определить, получил ли хост пакет.
  • Определите, блокирует ли брандмауэр Windows или стороннее программное обеспечение подключение к ресурсам за пределами подсети пользователя. Если это так, добавьте исключение или правило, разрешающее такой трафик.
  • Убедитесь, что Firebox является шлюзом по умолчанию или имеет маршрут для виртуальной IP-сети VPN-клиента через Firebox.

  Чтобы убедиться, что конфигурация VPN-клиента включает ваш внутренний DNS-сервер для разрешения имен, в Firebox:

  1. В конфигурации Mobile VPN с IKEv2 параметром DNS по умолчанию является Назначить сетевые параметры DNS/WINS мобильным клиентам. Оставьте этот параметр по умолчанию, чтобы Firebox передал свои сетевые DNS-серверы мобильным клиентам IKEv2.
     
  2. В настройках сетевого DNS-сервера в разделе Сеть > Интерфейсы > DNS/WINS убедитесь, что внутренний DNS-сервер является основным сервером. Первичный сервер отображается первым в списке.
     

  Если пользователи не могут использовать однокомпонентное имя хоста для подключения к внутренним сетевым ресурсам, но могут использовать для подключения полное доменное имя (FQDN), суффикс DNS не определен на клиенте. Подключенные диски обычно используют имена хостов, и клиенту нужен DNS-суффикс, чтобы найти DNS-запись для общей папки.

  Мобильные клиенты IKEv2 VPN не наследуют суффикс имени домена, указанный в настройках сетевого DNS-сервера в Firebox. Чтобы указать суффикс домена для VPN-клиентов, у вас есть следующие варианты:

  • Вариант 1. Создайте собственный сценарий для развертывания объекта групповой политики Active Directory. Дополнительные сведения см. в разделе Как создать и развернуть настраиваемые профили IKEv2 и L2TP VPN для компьютеров Windows? в базе знаний WatchGuard.
  • Вариант 2. Вручную настройте суффикс домена в настройках VPN-клиента. Дополнительные сведения см. в разделе Настройка DNS-сервера и суффиксов вручную для подключений Windows VPN в базе знаний WatchGuard.

  Дополнительную информацию о настройках DNS в мобильной VPN с конфигурацией IKEv2 см. в разделе Настройка серверов DNS и WINS для мобильной VPN с IKEv2.

  Дополнительную информацию о глобальных настройках DNS в Firebox см. в разделе Настройка сетевых DNS- и WINS-серверов.

  В конфигурации мобильной VPN в Firebox, если IP-адрес, указанный для пользовательских подключений, соответствует внешнему интерфейсу VLAN, установите флажок Применить политики брандмауэра к трафику внутри VLAN в конфигурации VLAN, чтобы применялись политики Firebox и NAT. к мобильному пользовательскому трафику VPN. Дополнительные сведения об этом параметре см. в разделе Определение новой VLAN.

  Если пользователи по-прежнему не могут подключиться к сетевым ресурсам через установленный VPN-туннель, см. раздел Устранение неполадок с сетевым подключением, чтобы узнать о других шагах, которые можно предпринять для выявления и устранения проблемы.

  См. также

  © WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

  У меня есть подключенный диск gpo, который не работает для пользователей Cisco AnyConnect VPN, если я не выполню команду gpupdate /force и не заставлю их выйти из системы, а затем снова войти в нее. У меня нет этой проблемы с любыми пользователями, которые подключены к сети, а затем выходят из системы и снова входят в нее.

  Эти пользователи в основном используют 32-разрядную версию Windows XP, если это вообще помогает. Я не знаю, влияет ли это на пользователей Windows 7.

  Может быть, я упустил какой-то параметр?

  
  

  Защитите свои конечные точки от киберпреступников

  2022-03-24 14:00:00 UTC Веб-семинар Веб-семинар: Cisco — защитите свои конечные точки от кибер-преступников Подробности о событии Просмотреть все события

  
  

  17 ответов

  
  

  Попробуйте использовать полное доменное имя на этих картографических дисках при подключении через VPN. NetBIOS неправильно работает через vpn.
  

  
  

  Убедитесь, что вы включили общий доступ к подключенному диску с основного хост-компьютера.

  
  

  
  

  Джоффлз

  Computer IT Solutions писало:

  Убедитесь, что вы включили общий доступ к подключенному диску с основного хост-компьютера.

  в отличие от общей сетевой папки, которая не является общей?

  У меня тоже такое было. кажется, что когда я впервые вхожу в систему, GPO пытается запуститься до того, как VPN установит свое соединение. вы сопоставляете с помощью своего рода login.bat? Мне больше всего повезло с пакетным файлом входа в систему.

  
  

  Объекты групповой политики не могут работать, пока VPN-туннель не будет запущен. Если вы подождете 15 минут или около того после того, как VPN-туннель станет активным, объект групповой политики должен запуститься сам по себе и обновить клиент без необходимости перезагрузки (при условии, что в объекте групповой политики нет чего-то, что требует перезагрузки).

  В случае локальных сетевых устройств они подключаются к серверу во время загрузки, поэтому объект групповой политики может запускаться при входе в систему. Если клиент Anyconnect не может выполнить подключение перед входом в систему, вам придется либо выполнить команду /force, либо подождать не менее 15 минут после входа в систему, чтобы процесс GPO мог работать естественным образом.

  
  

   Карта проезда (Диск: T) скрыть
  

  Действие

  Заменить

  Свойства < td>Включено

  Буква	T< /td>
  Местоположение	\\int\fileshare\анализ конкурентного рынка
  Повторное подключение
  Пометить как	Анализ конкурентного рынка
  Использовать первое доступное	Отключено
  Скрыть/Показать этот диск	Без изменений
  Скрыть/Показать все диски	Без изменений

  
  

  Я предполагаю, что эти пользователи остаются на связи более 15 минут, поскольку на самом деле они в основном удаленные пользователи.

  
  

  На самом деле я использую не файл .bat, а

  Настройки > Настройки Windows > Карты дисков и назначение диска на основе группы безопасности

  
  

  Я посмотрел это. это может быть до 120 минут.

  Поскольку вы пытаетесь подключить сетевой диск, действительно ли пользователи ждут 15+ минут, прежде чем сообщить об этом или попробовать найденное вами решение?
  

  
  

  Думаю, мне нужно это проверить , но я знаю, что предоставил некоторым пользователям доступ к этому некоторое время назад, и у некоторых до сих пор возникают проблемы с доступом к диску. Это пользователи, которые, скорее всего, находятся в VPN более 15 минут за раз. 120 минут могут быть другой историей, так как я относительно новичок в компании (3 месяца) и все еще понимаю их привычки использования. Я полагаю, я мог бы проверить концентратор VPN, чтобы увидеть, как долго пользователи фактически подключены. Моей основной целью в этом посте было выяснить, не пропустил ли я какую-то настройку или есть ли способ принудительно применить групповую политику?

  Мне также нужно проверить коэффициент обновления, чтобы увидеть, что там происходит.

  Возможно ли, что параметр передается, но, возможно, диск не подключается после перезагрузки, поскольку машина еще не подключена к VPN? Я имею в виду, что я предполагаю, что пользователю необходимо выйти из системы, чтобы подключить диск?

  
  

  Я бы не подумал, что это будет необходимостью.
  

  Кое-что, что вы могли бы попробовать. Предполагая, что вы не используете перемещаемые профили, попросите кого-нибудь, у кого вы применили этот профиль, войти в компьютер, в который они никогда раньше не входили, и посмотреть, сопоставляются ли диски при первом входе в систему?
  

  
  

  Сценарий входа также можно сохранить где-нибудь в клиенте и запускать после входа в систему. Другой вариант, основанный на опыте несколько недель назад, заключается в том, что таймер можно увеличить, чтобы обеспечить более медленный удаленный вход в систему.

  
  

  
  

  
  

  слизняк

  В настоящее время я использую то же решение, что и CallUpChuck и Ignwe. У меня есть скрипт, который пользователь запускает после подключения.

  Я объясняю своим пользователям, как они входят в группу. Если они находятся здесь, на сайте, и они входят в систему, это все равно, что идти на вечеринку через парадную дверь. Хозяин открывает дверь и признает вас, люди на вечеринке видят вас. Использование VPN похоже на использование черного хода или пролезание через окно. VPN просто открывает перед вами дверь и позволяет вам войти. Не все сразу знают, что вы там. AD не будет знать, что вы там, потому что вы не аутентифицировались с ним. Он найдет вас при следующем взмахе, но на это нужно время.

  
  

  Возможно, я попрошу их запустить скрипт после входа в систему. Я думаю, что это будет лучший вариант, и я очень благодарен всем за помощь в этом вопросе. Хорошего дня.

  
  

  RobC0619

  Для правильной обработки настроек Диска необходимо убедиться, что на устройствах XP установлены клиентские расширения для обработки групповой политики на контроллерах домена Server 2008 или более поздней версии. Также ваш объект групповой политики настроен на использование замены действия. Это действие воссоздает карту дисков при каждом сеансе политики процесса. Это может создать проблемы для пользователей, которые выходят из холодного состояния и вынуждены использовать VPN для инициации обработки gp.

  Используйте действие «Обновить», чтобы развернуть сопоставления дисков, которые должны оставаться постоянными. Таким образом, общий доступ к диску всегда будет там, даже если пользователь находится в отключенном состоянии. Вы вынуждены использовать «Заменить», если у вас есть атрибут удаления этого элемента, когда он больше не применяется (общая вкладка, где вы устанавливаете таргетинг на уровне элемента). Если вы должны использовать этот атрибут, вам необходимо установить обработку политики для расширения предпочтения Конфигурация компьютера->Шаблоны администратора->Система->Групповая политика->Общие сетевые ресурсы. Включите параметр Не применять во время периодической фоновой обработки. Это устранит зависимость от постоянной доступности контроллера домена.

  Тогда все, что вам нужно сделать, это запустить GPUpdate один раз, и эта карта дисков сохранится. У наших пользователей VPN работает отлично.

  Скрипты тоже работают нормально, но IMO не нужны. Просто убедитесь, что вы используете полное доменное имя во всех политиках и сценариях сопоставления дисков.

  В прошлую субботу Always On VPN перестал работать для всех клиентов. На сервере наблюдаю события 20255, 20271 и на клиенте событие 20227 ошибка 812.

  Насколько мне известно, ни на сервере, ни на клиентах не было никаких изменений. Срок действия сертификатов не истек.

  4 ответа

  Сначала проверьте метод аутентификации на сервере и клиенте. Если вы внесли какие-либо изменения в настройки по умолчанию для параметров шифрования IKEv2, они должны совпадать на клиенте и VPN-сервере.

  Прежде чем мы пойдем дальше, я хотел бы ответить на следующие вопросы:

  1.Если вы перейдете на соединение SSTP, будет ли по-прежнему невозможно подключиться?

  2.Какая версия ОС установлена ​​на вашем сервере Windows? сервер 2016 или сервер 2019?

  На самом деле сообщение об ошибке носит очень общий характер, и его трудно устранить, не отслеживая сетевой трафик. Нам нужно отследить сетевой монитор, чтобы увидеть, что на самом деле происходит в сети, когда Always On VPN перестала работать.

  Однако анализ сетевого трафика выходит за рамки нашего уровня поддержки форума, и из-за политики безопасности форума у ​​нас нет такого канала для сбора информации журнала пользователей. Поэтому мы рекомендуем вам открыть кейс в службе технической поддержки MS Professional, они помогут вам открыть кейс по телефону или электронной почте в Microsoft, чтобы вы получили техническую поддержку один на один, сохраняя при этом конфиденциальную информацию.

  Вот ссылка:

  Кроме того, проверьте, полезна ли вам следующая статья:

  Если ответ полезен, нажмите "Принять ответ" и проголосуйте за него.

  Примечание: следуйте инструкциям в нашей документации, чтобы включить уведомления по электронной почте, если вы хотите получать соответствующее уведомление по электронной почте для этой темы.

  Я подал заявку в Microsoft две недели назад, но до сих пор не могу найти кого-нибудь, кто мог бы связаться со мной. Я звонил несколько раз, и мне сказали, что назначенный инженер скоро позвонит мне. Никто не звонил.

  Поддержка MS отстой. Это худшая из всех техподдержек, с которыми я имел дело за последние 15 лет. Не стоит своих денег.

  Я полностью понимаю причиненные вам неудобства и ваше текущее отношение к этой проблеме. Мы постараемся сообщить о вашем отзыве, однако из-за разных направлений деятельности мы не можем напрямую связаться с соответствующим специалистом по делу. Мы по-прежнему рекомендуем вам связаться с человеком, который открыл это дело для вас, чтобы разобраться с последующими действиями.

  Приносим извинения за неудобства и благодарим за понимание.
  

  Когда я перехожу на SSTP, он жалуется на список отзыва сертификатов.
  Когда я переключаюсь на сертификат машины в профиле VPN, он подключается и работает должным образом.
  Когда я добавляю защищенный пароль eap-MSCHAPv2, он также работает после предоставления учетных данных.

  Серверная ОС – 2019

  Перестал работать IKEv2 PEAP с доверенным корневым сертификатом.

  На клиенте появляется сообщение об ошибке: метод аутентификации, используемый сервером для проверки вашего имени пользователя и пароля сервером, может не совпадать с методом аутентификации, настроенным в вашем профиле подключения.

  На сервере ошибка: Имя пользователя: . Соединение было запрещено из-за политики, настроенной на вашем сервере RAS/VPN. В частности, метод аутентификации, используемый сервером для проверки вашего имени пользователя и пароля, может не совпадать с методом аутентификации, настроенным в вашем профиле подключения. Пожалуйста, свяжитесь с администратором сервера RAS и сообщите ему об этой ошибке.

  Я пытался восстановить VPN-сервер из резервной копии до возникновения проблемы, но безрезультатно.

  Я не уверен, совпадение это или корреляция, но сегодня утром я обнаружил, что на нашем сервере ЦС произошел сбой, в то же время возникла проблема с VPN. Служба не может быть запущена. Я не знаю, существует ли прямая зависимость между сервером ЦС и сервером VPN.

  В этой статье описывается ситуация, в которой пользователи VPN могут столкнуться с проблемами доступа к ресурсам или конфигурации после изменения их членства в группе.

  Относится к: Windows 10, всем SAC

  Симптомы

  В связи с пандемией Covid-19 все больше пользователей работают, учатся и общаются из дома. Они подключаются к рабочему месту с помощью VPN-соединений. Эти пользователи VPN сообщают, что когда они добавляются в группы безопасности или удаляются из них, изменения могут не вступить в силу должным образом. Они сообщают о следующих симптомах:

  • Изменения доступа к сетевым ресурсам не вступают в силу.
  • Объекты групповой политики (GPO), нацеленные на определенные группы безопасности, применяются неправильно.
  • Политика перенаправления папок применяется неправильно.
  • Правила Applocker, нацеленные на определенные группы безопасности, не работают.
  • Сценарии входа в систему, которые создают сопоставленные диски, включая домашние папки пользователей или сопоставления дисков GPP, не работают.
  • Команда whoami /groups (запускаемая из командной строки) сообщает об устаревшем списке членства в группах для локального контекста безопасности пользователя.
  • Команда gpresult /r (запускаемая в командной строке) сообщает об устаревшем списке членства в группах.

  Если пользователь блокирует, а затем разблокирует Windows, в то время как клиент остается подключенным к VPN, некоторые из этих проблем исчезают сами собой. Например, вступают в силу некоторые изменения доступа к ресурсам. Впоследствии, если пользователь выходит из Windows, а затем входит снова (закрывая все сеансы, использующие сетевые ресурсы), устраняются другие симптомы. Однако сценарии входа в систему могут работать неправильно, а команда gpresult /r может по-прежнему не отражать изменения членства в группе. Пользователь не может обойти проблему, используя команду runas для запуска нового сеанса Windows на клиенте. Эта команда просто использует те же учетные данные для запуска нового сеанса.

  В сферу охвата этой статьи входят среды, в которых реализован механизм проверки подлинности (AMA) в домене и в которых пользователи должны проходить проверку подлинности с помощью смарт-карты для доступа к сетевым ресурсам. Дополнительные сведения см. в разделе Описание использования AMA в сценариях интерактивного входа в Windows.

  Причина

  В офисной среде пользователь обычно выходит из Windows в конце рабочего дня. Когда пользователь входит в систему на следующий день, клиент уже подключен к сети и имеет прямой доступ к контроллеру домена. В этих условиях изменения членства в группе вступают в силу быстро. У пользователя будут правильные уровни доступа на следующий день (при следующем входе пользователя). Точно так же изменения в групповой политике вступают в силу в течение дня или двух (после того, как пользователь войдет в систему один или два раза, в зависимости от запланированных политик).

  В домашних условиях пользователь может отключиться от VPN в конце рабочего дня и заблокировать Windows. Они могут не выйти из системы. Когда пользователь разблокирует Windows (или войдет в систему) на следующее утро, клиент не подключится к VPN (и не получит доступ к контроллеру домена) до тех пор, пока пользователь не разблокирует Windows или не войдет в систему. Клиент подписывает пользователя в Windows с использованием кэшированных учетных данных вместо обращения к контроллеру домена за новыми учетными данными. Windows создает контекст безопасности для пользователя на основе кэшированной информации. Windows также применяет групповую политику асинхронно на основе локального кэша групповой политики. Такое использование кэшированной информации может привести к следующему поведению:

  • У пользователя может быть доступ к ресурсам, которых у него быть не должно, и может не быть доступа к ресурсам, которые у него должны быть.
  • Параметры групповой политики могут не применяться должным образом или параметры групповой политики могут быть устаревшими.

  Это происходит из-за того, что Windows использует кэшированную информацию для повышения производительности при входе пользователей в систему. Windows также использует кэшированную информацию для входа пользователей на присоединенных к домену клиентах, не подключенных к сети. Непредвиденные последствия возникают, если клиент использует исключительно VPN для подключения к сети, и клиент не может установить VPN-подключение до тех пор, пока пользователь не войдет в систему.

  Это поведение применимо только в сценарии интерактивного входа в систему. Доступ к сетевым ресурсам работает должным образом, поскольку при входе в сеть не используется кэшированная информация. Вместо этого информация о группе поступает из запроса контроллера домена.

  Влияние на контекст безопасности пользователя и контроль доступа

  Если клиент не может подключиться к контроллеру домена, когда пользователь входит в систему, Windows основывает контекст безопасности пользователя на кэшированной информации. После того как Windows создаст контекст безопасности пользователя, он не будет обновлять этот контекст до тех пор, пока пользователь не войдет в систему в следующий раз.

  Например, предположим, что пользователь назначен группе в Active Directory, когда он находится в автономном режиме. Пользователь входит в Windows, а затем подключается к VPN. Если пользователь открывает окно командной строки, а затем запускает команду whoami /groups, список групп не включает новую группу. Пользователь блокирует, а затем разблокирует рабочий стол, все еще подключенный к VPN. Команда whoami /groups по-прежнему дает тот же результат. Наконец, пользователь выходит из Windows. После повторного входа пользователя команда whoami /groups выдает правильный результат.

  Влияние кэшированной информации на доступ пользователя к ресурсам зависит от следующих факторов:

  • Находятся ли ресурсы на клиенте или в сети
    Ресурсы в сети требуют дополнительного шага проверки подлинности (вход в сеть вместо интерактивного входа). Этот шаг означает, что информация о группе, используемая ресурсом для определения доступа, всегда исходит от контроллера домена, а не из кэша клиента.
  • Используют ли ресурсы билеты Kerberos или другие технологии (например, токены доступа NTLM) для аутентификации и авторизации пользователей
    • Подробнее о том, как кэшированная информация влияет на доступ пользователей к ресурсам, защищенным с помощью NTLM, см. в разделе Ресурсы, использующие проверку подлинности NTLM.
    • Подробнее о том, как кэшированная информация влияет на доступ пользователей к ресурсам, защищенным с помощью Kerberos, см. в разделе Ресурсы, использующие билеты Kerberos.

    Ресурсы, использующие аутентификацию NTLM

    Эта категория ресурсов включает следующее:

    Сеанс пользователя на клиенте

    Любые сеансы ресурсов на клиенте, использующие аутентификацию NTLM

    Любые сеансы ресурсов в сети, использующие аутентификацию NTLM

    Когда пользователь получает доступ к сетевому ресурсу, для которого требуется проверка подлинности NTLM, клиент представляет кэшированные учетные данные из контекста безопасности пользователя. Однако сервер ресурсов запрашивает у контроллера домена самую последнюю информацию о пользователе.

    Эти сеансы ресурсов, включая сеанс пользователя на клиенте, не имеют срока действия. Они продолжают работать до тех пор, пока пользователь не завершит сеанс, например, когда пользователь выйдет из Windows. Блокировка, а затем разблокировка клиента не завершает существующие сеансы.

    Ресурсы, использующие билеты Kerberos

    Когда пользователь подключается к VPN, а затем пытается получить доступ к сетевому ресурсу, который использует билеты Kerberos, центр распространения ключей Kerberos (KDC) получает информацию о пользователе из Active Directory. KDC использует информацию из Active Directory для аутентификации пользователя и создания билета на предоставление билетов (TGT). Информация о членстве в группе в TGT актуальна на момент создания TGT.

    Затем Windows использует TGT для получения билета сеанса для запрошенного ресурса. Билет сеанса, в свою очередь, использует информацию о группе из TGT.

    Клиент кэширует TGT и продолжает использовать его каждый раз, когда пользователь запускает новый сеанс ресурса, будь то локальный или сетевой. Клиент также кэширует билет сеанса, чтобы он мог продолжать подключаться к ресурсу (например, по истечении срока действия сеанса ресурса). По истечении срока действия билета сеанса клиент повторно отправляет TGT для получения нового билета сеанса.

    Если членство пользователя в группе изменяется после того, как пользователь запустил сеансы ресурсов, следующие факторы определяют, когда изменение действительно повлияет на доступ пользователя к ресурсам:

    • Изменение членства в группе не влияет на существующие сеансы.
      Существующие сеансы продолжаются до тех пор, пока пользователь не выйдет из системы или иным образом не завершит сеанс, либо пока не истечет срок действия сеанса. Когда сеанс истекает, происходит одно из следующих событий:
      • Клиент повторно отправляет билет сеанса или отправляет новый билет сеанса. Эта операция обновляет сеанс.
      • Клиент больше не пытается подключиться. Сеанс не продлевается.

      Вы можете использовать команду klist, чтобы вручную очистить кеш билетов клиента.

      Кэш билетов хранит билеты для всех пользовательских сеансов на компьютере. Вы можете использовать параметры командной строки klist, чтобы нацелить команду на определенных пользователей или заявки.

      Влияние на процессы запуска и входа

      Служба групповой политики оптимизирована для ускорения применения групповой политики и снижения неблагоприятного воздействия на производительность клиента. Дополнительные сведения см. в статье Влияние оптимизации быстрого входа и быстрого запуска на групповую политику. В этой статье подробно объясняется, как групповая политика взаимодействует с процессами запуска и входа.Служба групповой политики может работать на переднем плане (при запуске или входе в систему) или в фоновом режиме (во время сеанса пользователя). Служба обрабатывает групповую политику следующим образом:

      • Асинхронная обработка относится к процессам, которые не зависят от результатов других процессов.
      • Синхронная обработка относится к процессам, которые зависят от результатов друг друга. Поэтому синхронные процессы должны дождаться завершения предыдущего процесса, прежде чем можно будет запустить следующий процесс.

      В следующей таблице приведены события, запускающие активную или фоновую обработку, а также синхронная или асинхронная обработка.

      td> < td>Фон

      Чтобы применить изменения конфигурации, некоторые клиентские расширения (CSE) требуют синхронной обработки (при входе пользователя или запуске компьютера). В таких случаях CSE идентифицирует необходимость изменения во время фоновой обработки. В следующий раз, когда пользователь войдет в систему или запустит компьютер, СПП завершит изменение в рамках фазы синхронной обработки.

      Некоторые из этих CSE имеют дополнительную сложность: они должны подключаться к контроллерам домена или другим сетевым серверам во время выполнения синхронной обработки. СПП "Перенаправление папок" и "Сценарии" — это две СПП в этой категории.

      Этот дизайн эффективно работает в офисной среде. Однако в среде, где пользователь работает дома, он может не выйти из системы и снова войти в нее при подключении к домену. Синхронная обработка должна быть завершена до того, как клиент свяжется с контроллером домена или любым другим сервером. Поэтому некоторые политики не могут применяться или обновляться корректно.

      Например, для изменения перенаправления папки требуется следующее:

      • Синхронная обработка в приоритетном режиме (во время входа пользователя).
      • Подключение к контроллеру домена. Соединение должно быть доступно во время обработки.
      • Подключение к файловому серверу, на котором размещены целевые папки перенаправления. Соединение должно быть доступно во время обработки.

      На самом деле это изменение может потребовать двух входов в систему. Во время первого входа CSE перенаправления папок на клиенте обнаруживает необходимость изменения и запрашивает запуск синхронной обработки переднего плана. При следующем входе СПП применяет изменение политики.

      Влияние на отчеты групповой политики

      Служба групповой политики поддерживает информацию о членстве в группе на клиенте, в инструменте управления Windows (WMI) и в реестре. Хранилище WMI используется в отчете о результирующем наборе политик (создается при запуске gpresult /r ). Он не используется для принятия решений о применении объектов групповой политики.

      Вы можете отключить функцию создания отчетов о результирующем наборе политик, включив политику ведения журнала "Отключить результирующий набор политик".

      В следующих случаях служба групповой политики не обновляет информацию о группе в WMI:

      • Групповая политика работает в фоновом режиме. Например, во время периодических обновлений после запуска компьютера или входа пользователя в систему, или когда пользователь запускает команду gpupdate /force для обновления групповой политики.
      • Групповая политика запускается из кэша групповой политики. Например, когда пользователь входит в систему, когда у клиента нет доступа к контроллеру домена.

      Это означает, что список групп на клиенте только для VPN всегда может быть устаревшим, поскольку служба групповой политики не может подключиться к сети во время входа пользователя. Когда групповая политика запускается и не обновляет информацию о группе в WMI, служба групповой политики может записать событие, подобное следующему:

      GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: восстановление старых групп безопасности

      Вы можете быть уверены, что WMI и выходные данные gpresult /r обновляются только тогда, когда в журнале службы групповой политики для проверяемой учетной записи появляется следующая строка:

      GPSVC(231c.2d14) 11:56:10:651 CSessionLogger::Log: регистрация новых групп безопасности

      Разрешение

      Чтобы решить проблемы, описанные в этой статье, используйте решение VPN, которое может установить VPN-подключение к клиенту до того, как пользователь войдет в систему.

      Временные решения

      Если вы не можете использовать VPN, которая устанавливает клиентское соединение до того, как пользователь войдет в систему, эти обходные пути могут смягчить проблемы, описанные в этой статье.

      Обходной путь для контекста безопасности пользователя и контроля доступа

      После добавления пользователя в группу или удаления пользователя из группы предоставьте пользователю следующие шаги. Эта процедура обеспечивает единственный поддерживаемый обходной путь, который обновляет контекст безопасности пользователя на клиентах, которые не подключаются к VPN до того, как пользователь войдет в систему.

      Выждите достаточно времени для репликации изменения членства между контроллерами домена, прежде чем пользователь начнет эту процедуру.

      1. Войдите на клиентский компьютер, а затем подключитесь к VPN, как обычно.
      2. Если вы уверены, что клиентский компьютер подключен к VPN, заблокируйте Windows.
      3. Разблокируйте клиентский компьютер и выйдите из Windows.
      4. Войдите в Windows еще раз.

      Информация о членстве в группе (и доступе к ресурсам) теперь актуальна.

      Вы можете проверить информацию о членстве в группе, открыв окно командной строки и запустив whoami /all .

      Вы можете использовать следующий сценарий Windows PowerShell, чтобы автоматизировать этапы блокировки и разблокировки этой процедуры. В этом процессе пользователь должен войти в Windows, а затем выйти из Windows после запуска сценария.

      Временное решение для процессов входа, включая групповую политику

      Вы можете смягчить некоторые проблемы, внеся изменения в конфигурацию вручную, внеся изменения в сценарии, чтобы сценарии могли выполняться после входа пользователя в систему, или заставив пользователя подключиться к VPN, а затем выйти из Windows. Возможно, вам придется комбинировать эти подходы. В частности, для групповой политики важно понять, когда и как групповая политика может функционировать.

      Подключения к подключенным дискам и сценарии входа в систему не имеют таких же требований к синхронной обработке переднего плана, как перенаправления папок, но они требуют подключения к контроллеру домена и серверу ресурсов.

      Подробный список требований к обработке CSE групповой политики см. в статье Влияние оптимизации быстрого входа и быстрого запуска на групповую политику.

      Читайте также:

        
      • Служба защиты от вредоносных программ Microsoft, как отключить Windows 7
        
      • Настройка iis windows 7
        
      • Система Dracut Centos 7 не загружается
        
      • Как полностью удалить касперского с компьютера windows 10
        
      • Что такое nscd linux

      Триггер	Синхронный или асинхронный	Передний план или фон
      Запуск или выключение компьютера	Синхронный или асинхронный	Передний план
      Вход или выход пользователя	Синхронный или асинхронный	Передний план
      По расписанию (во время сеанса пользователя)	Асинхронный
      Действие пользователя ( gpupdate /force )	Асинхронный	Фон