VPN/AD cached credentials , DirectAccess

DirectAccess is alweer een tijdje geleden vervangen door Always On VPN van Microsoft.

Anyways: als je in je VPN verbinding instelt dat deze beschikbaar komt bij het logonscherm, kan je verbinding maken en direct je wachtwoord wijzigen.

OxWax schreef op woensdag 16 september 2020 @ 10:34:
[...]
Ah kijk, dat bedoel ik met achter lopen.


[...]
Misschien linkje naar uitgebreide uitleg aub?

Die heb ik niet voor je. Maar als je zoekt naar inloggen via VPN in Windows of zo, kun je wellicht vinden wat ik bedoel.

Het ligt er ook helemaal aan wat voor VPN-oplossing jullie gebruiken. Wellicht dat ze iets zoeken als inloggen via webmail en daar het wachtwoord wijzigen. Dan loop je alsnog tegen het feit aan dat het wachtwoord is verlopen en tevens moet het inloggen op de mailbox met dezelfde identiteit gebeuren als de AD-identiteit en mocht het gaan om een hybrid omgeving dan moet er vanuit Azure password writeback aanstaan.

Maar het ligt er helemaal aan hoe het is opgezet. De stelling "maar Windows 'wist' het nog niet." klopt ook niet helemaal. Want de gebruiker logt in op Windows met cached credentials terwijl er nog geen VPN-verbinding is (dat lukt uiteraard) en vervolgens probeert hij/zij verbinding te maken via VPN. Dat gebeurt waarschijnlijk middels een radius methode waarbij jullie VPN oplossing een koppeling heeft met AD. Het is in dit geval niet Windows die nog niet op de hoogte is maar de gebruiker zelf die zijn oude wachtwoord probeert te gebruiken. Tenzij de gebruiker geen credentials hoeft in te voeren en dit automatisch voor hem wordt ingevuld. In dat geval zou ik Windows de VPN inloggegevens laten vergeten maar dan nog zit je met het probleem dat het wachtwoord is verlopen.

Die Always On VPN ben ik niet bekend mee dus over scenario's met die oplossing kan ik niet veel zeggen.

DA en AlwaysOn van MS zijn erg handig voor een kleine organisatie. Het is een kant en klare vpn tunnel die het systeem opzet (op basis van de identiteit van het systeem en niet de gebruiker). Het is uitermate onhandig om het te beheren, en zeker in een grotere organisatie heel onhandig om load balanced en ha te krijgen. Maar het is 'gratis' dus zeker bij kleine omgevingen kan je het makkelijk opzetten. Een volwaardige vpn ( al dan niet als een always on setting) is een veel betere keuze.

Qwerty-273 schreef op woensdag 16 september 2020 @ 11:04:
Het is uitermate onhandig om het te beheren, en zeker in een grotere organisatie heel onhandig om load balanced en ha te krijgen

Hoe bedoel je? Kwestie van loadbalancen van je NPS servers, en het neerzetten van Remote Access clusters. Voor grotere IT organisaties is dit echt niet heel spannend.

Een volwaardige vpn ( al dan niet als een always on setting) is een veel betere keuze.

Waarom? Ik werk in een organisatie met meer dan 10K werkplekken en wij gebruiken allways on. Werkt perfect...

@Question Mark beheren is net iets meer dan het opzetten vooral het troubleshooting kan veel beter uitgevoerd worden.

De organisaties waarmee ik met DA en Always-on heb gewerkt zaten met kantoren over de hele wereld. Hoe kan je 'eenvoudig' binnen je vpn oplossing zorgen voor loadbalancing op basis van de prestaties waarvan de client connectie maakt? En eenvoudig troubleshooten op het moment dat 'het niet werkt, maar internet wel'

Om de guru van Direct Access en Always On te quoten:

Always On VPN lacks the visibility and control options provided by many non-Microsoft enterprise mobility offerings.

Maar het wordt vooral een kostenplaatje icm de geografische verspreiding van je gebruikers en data centers / cloud pops.