Problemumgehungen mit GlobalProtect VPN Tunnel
GlobalProtect3.1 und frühere Versionen bieten keine nativ Unterstützung, AD um die Passwort. Sie können jedoch alternative Authentifizierungsmethoden neben Active Directory konfigurieren, mit denen Remotebenutzer einen Tunnel einrichten GlobalProtect VPN können. Sobald der Tunnel eingerichtet wurde und Benutzer das Active Directory des Unternehmens erreichen können, können sie ihr Kennwort auch bei Remotearbeit ändern.
GlobalProtectunterstützt zwei Konfigurationsoptionen, die Remotebenutzern mit dem erforderlichen Zugriff zum
Ändern ihres AD Kennworts ermöglichen:
- A Voranmeldungsverbindungsmethode, die einen Tunnel auf Maschinenebene VPN mithilfe eines Maschinenzertifikats erstellt.
- GlobalProtect Authentifizierungsüberschreibung, die die Cookie-basierte Authentifizierung ermöglicht.
Mit einer dieser Optionen können Sie verhindern, dass Remotebenutzer gesperrt werden, wenn sie ihr Kennwort vergessen oder wenn ihr Kennwort abläuft.
A Remotebenutzer können versuchen, sein Kennwort zu 2 verschiedenen Zeiten zu ändern oder zu aktualisieren:
- Zum Zeitpunkt der Anmeldung Windows-system
- Nach dem Einloggen in des Windows-Systems
Aktivieren der remote-Benutzer, Kennwort bei Windows-Anmeldung ändern
Die Voranmeldung ist eine der verbindungsmethoden, die von unterstützt GlobalProtect wird. Die Voranmeldung ermöglicht GlobalProtect die Einrichtung eines Tunnels mithilfe eines VPN Computerzertifikats auf dem Endpunkt des Benutzers (Computer, Laptop oder Notizbuch). Diese Verbindungsmethode richtet einen Voranmeldungstunnel unmittelbar nach dem Hochfahren des Systems und vor der Anmeldung des Benutzers ein. Wenn auf das Unternehmen AD über diesen Voranmeldetunnel zugegriffen werden kann, können sich Remotebenutzer mit einem temporären Kennwort bei der Domäne anmelden oder die Option Kennwort ändern verwenden, die nativ auf dem Windows-Anmeldebildschirm verfügbar ist, um ihre Kennwörter zu aktualisieren.
Diese Option ist besonders nützlich, wenn ein Remotebenutzer die Active Directory-Anmeldeinformationen vergisst und sich nicht einmal beim Windows-System anmelden kann. Ohne den Voranmeldungstunnel kann sich der Remotebenutzer nicht mit dem neuen Kennwort bei der Domäne anmelden und anschließend das Kennwort aktualisieren, selbst wenn der Administrator das Kennwort des Benutzers zurücksetzt.
Aufgrund der Änderungen, die Microsoft an der Windows-Anmeldung und dem Anmeldeinformationsanbieter-Framework vorgenommen hat, ist die Endbenutzererfahrung, um ihr Kennwort zum Zeitpunkt der AD Windows-Anmeldung remote zu ändern, in Windows 7 und Windows 8 / Windows 10 anders.
Kennwortändern AD unter Windows 7:
Unter Windows 7 GlobalProtect umschließt der Anmeldeinformationsanbieter den systemeigenen Windows-Anmeldeinformationsanbieter und bietetdem Endbenutzer eine systemeigene Windows-Anmeldeerfahrung. So benutzer können login, wie sie normalerweise tun und jedespolicy Passwort, das durch AD angewendet wird angewendet und Benutzer wird über die Passwort-Anforderungen wie üblich benachrichtigt.
Kennwortändern AD unter Windows 8 und 10:
Unter Windows 8 und Windows 10 ist das Ändern des Kennworts jedoch nicht verfügbar, wenn BenutzerGlobalProtect als Anmeldeoption auswählen. Benutzer müssen Windows als Standard-Anmeldeoption festlegen, bevor sie ein temporäres Kennwort verwenden, und anschließend ihr Kennwort AD ändern, während sie sich remote AD anmelden.
GlobalProtect Single Sign On ( SSO ) schlägt fehl, nachdem der Benutzer Windows als Standard-Anmeldeoption festgelegt hat. Der Benutzer muss sich bei Windows abmelden und dann als Anmeldeoption auswählen, während er GlobalProtect sich bei Windows anmeldet, um wieder an die Arbeit zu GlobalProtect SSO gehen.
Aktivieren der remote-Benutzer, Kennwort zu ändern, nach der Anmeldung an Windows
Wenn sich der Remotebenutzer die Anmeldeinformationen merkt, AD das Kennwort jedoch abgelaufen ist, kann sich der Benutzer weiterhin mit zwischengespeicherten Anmeldeinformationen beim Windows-System anmelden. Die Authentifizierung für das Portal oder Gateway schlägt jedoch fehl, da das AD Kennwort abgelaufen ist. In diesem Szenario können Sie die GlobalProtect Authentifizierungsüberschreibungsfunktion verwenden (in PAN OS 7.1 und GlobalProtect 3.0 eingeführt). Diese Funktion ermöglicht es GlobalProtect Portalenund GlobalProtect Gateways, die Anforderungen des Authentifizierungsprofils zu überschreiben und stattdessen Benutzer mit einem Cookie zu authentifizieren. Um diese Option verwenden, müssen Sie Folgendes tun:
- Konfigurieren Sie das GlobalProtect Portal, um ein Cookie zu generieren, und akzeptieren Sie das Cookie für die Authentifizierung.
- Konfigurieren Sie mindestens ein GlobalProtect Gateway, um das Cookie für die Authentifizierung zu akzeptieren.
- Legen Sie die Lebensdauer des Cookies so lange fest, wie Sie möchten, dass sich der Benutzer auch nach Ablauf des Kennworts des Benutzers bei diesem Gateway anmelden kann.
Mit dieser Konfiguration kann ein Remotebenutzer, selbst wenn das Kennwort abgelaufen ist, weiterhin über das Cookie mit diesem Gateway verbunden werden, solange es noch gültig ist. Nachdem der Tunnel eingerichtet wurde, können Remotebenutzer das Active Directory des Unternehmens erreichen und ihre Kennwörter ändern, indem sie Strg + Alt + Löschen drücken und die Option Kennwort ändern verwenden.
Weitere Informationen zur Cookie-basierten Authentifizierung finden Sie unter Erweiterte Zwei-Faktor-Authentifizierung.
Problemumgehungen, damit Remotebenutzer AD Kennwörter mithilfe von GlobalProtect
Obwohl GlobalProtect Active Directory-Kennwortänderungen nicht nativ unterstützt werden, können Sie konfigurieren,
GlobalProtect damit Remotebenutzer ihre Active Directory-Kennwörter ändern können.
- Die Voranmeldungsverbindungsmethode ist besonders nützlich, wenn sich der Benutzer zum ersten Mal bei der Domäne anmeldet oder über ein temporäres Kennwort für die Domäne verfügt.
- Die Authentifizierungsüberschreibung ist nützlich, wenn das Kennwort des Benutzers abgelaufen ist und der Benutzer sich weiterhin mit zwischengespeicherten Anmeldeinformationen am Endpunkt anmelden kann.