Bonjour,
J’ai un utilisateur qui essaie de travailler depuis chez lui en se connectant à notre VPN RRAS. L’erreur qu’il obtient dit ce qui suit : “La connexion à distance a été refusée parce que la combinaison nom d’utilisateur et mot de passe que vous avez fournie n’est pas reconnue, ou le protocole d’authentification sélectionné n’est pas autorisé sur le serveur d’accès à distance.”
Avant que vous ne le mentionniez, j’ai déjà fait ce qui suit :
- J’ai vérifié que le nom d’utilisateur et le mot de passe qu’elle tape sont corrects.
- J’ai vérifié que ses paramètres VPN sont corrects.
- Le type de connexion VPN est Automatique, comme tout le monde dans mon entreprise, et cela fonctionne pour eux.
- Nous avons essayé plusieurs connexions Internet : WiFi, Ethernet, Hotspot et aucune n’a fonctionné, toutes donnent la même erreur ci-dessus.
- Nous avons essayé avec mes identifiants et cela fonctionne. Les seuls identifiants qui ne fonctionnent pas sont les siennes.
- Il semble se connecter, mais il est ensuite refusé une fois qu’il essaie de vérifier ses identifiants.
J’ai le sentiment qu’il s’agit d’un problème de permissions de sécurité. Malheureusement, je ne connais pas assez RRAS pour savoir où chercher pour lui donner accès, et Google ne m’a pas beaucoup aidé. Je suis un nouveau Sys Admin pour cette entreprise, je n’ai jamais utilisé le VPN RRAS de Windows auparavant, j’ai seulement travaillé avec FortiClient VPN, Cisco VPNs et Citrix VPN (donc presque tous les autres services VPN d’entreprise sauf RRAS). Toute aide pour résoudre cette énigme est appréciée. Merci !
EDIT : Le problème a été résolu ! Merci à u/smoothies-for-me pour la solution. Le bouton “Autoriser l’accès” n’était pas coché sous l’onglet Dial-in dans Active Directory sous Permission d’accès réseau. Je l’ai activé pour l’utilisateur et cela fonctionne maintenant.
Vérifiez l’onglet “Dial in” de votre compte et de son compte dans AD utilisateurs et ordinateurs.
L’accès est-il autorisé ou refusé ? Ou est-ce contrôlé via NPS ? Si c’est via NPS, alors ouvrez NPS et vérifiez la politique pour les connexions VPN RRAS, il y a probablement un groupe de sécurité requis auquel l’utilisateur ne fait pas partie. D’après mon expérience, la plupart des organisations contrôlent cela via NPS avec un groupe de sécurité pour l’accès VPN. Alternativement, comparez l’appartenance au groupe de sécurité de vous et de son compte, ce sera évident, mais vous devriez aussi examiner les politiques NPS pour mieux comprendre comment cela fonctionne.
S’ils font partie du groupe de sécurité, cela pourrait être un problème de certificat, et vous devrez peut-être consulter les logs NPS.
Je vérifierais les Options Internet > Paramètres du proxy pour m’assurer que rien ne redirige par erreur. Cet article semble donner une piste ; je me demande si vous pouvez régénérer un autre fichier XML VPN pour l’utilisateur ou remplacer le sien par un fonctionnel. C’est une étape de dépannage proche de la façon dont Cisco VPN et leurs profils fonctionnent.
Je suppose qu’elle essaie de se connecter à distance depuis chez elle ou un autre endroit ? J’ai déjà eu des problèmes de ce genre selon la façon dont l’utilisateur se connecte ; par exemple, si elle essaie de se connecter à un VPN via un iPhone tetheré, cela ne fonctionne généralement pas car iOS n’implémente pas IPsec VPN de la même manière ; vous pouvez vous connecter via le téléphone lui-même sans problème, mais la façon dont il passe les paquets via le tether ne semble pas se connecter via RRAS pour les appareils connectés (du moins d’après mon expérience).
J’ai aussi rencontré des refus de connexion inexplicables sur des ports SMTP classiques pour certains utilisateurs parce que leur situation réseau à domicile ne permettait pas la connexion SMTP sur les ports 25 ou 465 à cause de leur FAI ou modem/routeur qui ne redirigeaient pas ou ne permettaient pas de recevoir des paquets.
S’ils se connectent depuis un portable, cela vaut peut-être la peine de leur suggérer d’essayer une autre connexion Internet comme une salle de sport/café ou la maison de quelqu’un d’autre pour éliminer cette possibilité. Nous avions un utilisateur qui ne pouvait pas se connecter à une passerelle RD alors que les autres pouvaient. C’était en fait un problème de ses réglages internet à domicile que nous ne pouvions pas corriger. Si ce genre de problème est la cause, leur FAI pourrait peut-être le régler s’il filtre simplement certains paquets.
Il n’y a pas moyen de changer la valeur par défaut qui est contrôlée via NPS — mais voici quelques points :
- En général, il est bon de cloner un utilisateur existant lors de la création d’un compte unique, ou d’utiliser PowerShell où vous pouvez spécifier ce qu’il faut définir.
- Configurez NPS et basculez tout le monde sur le contrôle via NPS.
- Votre politique NPS peut simplement permettre à tous les utilisateurs du domaine et cela se réglera tout seul, mais une meilleure pratique serait de créer un groupe de sécurité “Utilisateurs VPN” et d’y ajouter les employés. Il n’est pas pertinent d’autoriser les comptes de service ou autres pour l’accès VPN, cela représente un risque de sécurité.