問題
為什麼來自Windows 7/Vista客戶端的流量在訪問日誌中顯示的是工作站而不是使用者?
環境
Microsoft Windows 7、Microsoft Windows Vista、思科網路安全裝置(所有版本)、代理型別:IP地址
症狀
訪問日誌中的某些日誌行顯示的是電腦名稱,而不是DOMAIN\USER。
Microsoft在Windows 7和Windows Vista中引入了一項名為「網路連線狀態指示器」(NCSI)的新功能,該功能顯示為系統托盤網路介面圖示上出現的一個小球形圖示。登入後,此功能將立即嘗試從Internet請求資料,以便瞭解是否存在Internet連線。
NCSI存在已知問題,當需要NTLM身份驗證時,NCSI將傳送電腦憑據而不是使用者憑據。
由於NCSI最有可能從PC向WSA傳送第一個請求,因此不存在替代,並且會建立一個新的基於IP的替代(機器名稱而不是實際使用者名稱)。此替代會用於來自初始IP位址的每個要求,直到替代逾時,且使用者必須重新進行驗證(這次使用的是真實憑證)。
由於電腦名稱很可能不是最初預期的AD組的成員,因此所有請求將不會觸發正確的訪問/解密策略,有時會導致請求被阻止。
有關NCSI的詳細資訊,請參閱以下Microsoft知識庫文章。
請參閱以下說明以解決此問題:
- 透過從工作功能表中搜尋「regedit」,啟動「登入編輯器」。您必須按一下滑鼠右鍵並選取「以系統管理員身分執行」。
- 導航至:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
- 在Internet金鑰下,按兩下「EnableActiveProbing」,然後在Value data中鍵入:0。
- 按一下「確定」。
- 重新啟動電腦。
這些更改可以使用域控制器作為全局策略對象(GPO)推送到所有客戶端。
WSA的解決方法
為NCSI建立身份,並根據URL或其使用者代理將其免於身份驗證。
NCSI連線的已知URL
ncsi.glbdns.microsoft.com
newncsi.glbdns.microsoft.com
www.msftncsi.com
NCSI使用者代理
Microsoft NCSI
意見