Windows VPN / TMG Server истек пароль застрял отправка нового пароля
У меня есть сервер Windows Server 2008R2 под управлением Forefront TMG (7.0.9193.500), который работает как наш межсетевой экран и шлюз VPN. По большей части это работает, блокируя трафик и позволяя пользователям подключаться к VPN. У меня проблема с истечением срока действия пароля, вызывающая проблемы - невозможно отправить новые пароли, если пользователь вошел в систему на своем клиентском компьютере под управлением Windows 7.
Сеть довольно заблокирована, и только несколько машин имеют доступ в Интернет. Аналогичным образом, клиентам, которые подключаются, не разрешают доступ в Интернет, кроме подключения через VPN к домашнему адресу (некоторые конкретные правила, разрешающие обнаружение и т. Д., Но не "обычный" Интернет). Клиенты (с компьютерами под управлением Windows 7) проходят проверку подлинности TMG, который передает запрос на набор серверов RADIUS, которые сами являются компьютерами Windows Server NAP.
По истечении срока действия пароля у пользователей возникают проблемы с отправкой нового пароля. Если они вошли в Windows, он сообщает, что срок действия пароля истек, и отправляет новый. Если они это сделают, машина сядет и застрянет в VPN-соединении с сообщением "Отправка нового пароля...".
Если пользователь сначала выходит из системы и подключается через VPN с экрана входа, это работает, но иногда это приводит к тому, что пароли не синхронизированы, поэтому VPN и сервер считают, что у них новый пароль, но локальный компьютер считает, что он использует Старый. После некоторого возни я могу заставить машину подключиться к VPN и повторно синхронизировать пароль, но это требует вмешательства администратора.
Итак, мой вопрос / проблема заключается в том, знает ли кто-нибудь, что является возможной проблемой, которая приводит к зависанию компьютера при отправке нового пароля?
Если я посмотрю журналы TMG, я не вижу ничего полезного. Я не вижу сбоев аудита и ничего не вижу в журналах NPS. Возможно, я скучаю по вещам, но я не слишком уверен, что искать.
Настройки VPN-клиента довольно просты - попробуйте SSTP с сертификатами и используйте текущее имя пользователя Windows и passwprd в качестве основного метода, но я также добавил в резервную копию PPTP с EAP, чтобы выяснить, нужно ли это делать со слушателями.