问题
为什么来自Windows 7/Vista客户端的流量在访问日志中显示工作站而不是用户?
环境
Microsoft Windows 7、Microsoft Windows Vista、思科网络安全设备(所有版本)、代理类型:IP地址
症状
访问日志中的某些日志行显示计算机名称,而不是DOMAIN\USER。
Microsoft在Windows 7和Windows Vista中引入了一项名为“网络连接状态指示器”(NCSI)的新功能,该功能显示为系统托盘中网络接口图标上出现的一个小小的全局图标。登录后,此功能将立即尝试从Internet请求数据,以了解是否存在Internet连接。
NCSI存在已知问题,当需要NTLM身份验证时,它将发送计算机凭据,而不是用户凭据。
由于NCSI最有可能将来自PC的第一个请求发送到WSA,因此不存在替代项,并且会创建一个新的基于IP的替代,使用计算机名而不是实际用户名。此代理用于来自初始IP地址的每个请求,直到代理超时且用户必须重新进行身份验证(这次使用真实凭证)。
由于计算机名称很可能不是最初预定的AD组的成员,因此所有请求都不会触发正确的访问/解密策略,有时会导致请求被阻止。
有关NCSI的详细信息,请参阅以下Microsoft知识库文章。
请参阅以下说明以解决此问题:
- 通过从任务菜单中搜索“regedit”启动注册表编辑器。必须右键单击并选择“以管理员身份运行”。
- 导航至:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
- 在Internet密钥下,双击“EnableActiveProbing”,然后在“Value data”中,键入0。
- 单击“确定”。
- 重新启动计算机。
可以使用域控制器将这些更改作为全局策略对象(GPO)推送到所有客户端。
WSA的解决方法
为NCSI创建身份,并根据URL或其用户代理使其免于身份验证。
NCSI连接的已知URL
ncsi.glbdns.microsoft.com
newncsi.glbdns.microsoft.com
www.msftncsi.com
NCSI用户代理
Microsoft NCSI
反馈