Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 6837 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

When on PPTP VPN mapped drives not accessible.

Jds5
Hi There,
This is probably more of a windows issue, but hopefully someone has come across it before.

I have users on Win7 64bit that are local admins on their laptops, connecting to PPTP VPN using a windows VPN connection through Astaro UTM v9.135-2.

When they connect they are not able to access the mapped drives that are available when they are on the local lan.

The mapped drives are in the form \fileserver1\Documents and are done via policy. When on the VPN they can ping fileserver1 okay, they can nslookup filserver1 and it returns fileserver1.local okay. They can even map the drive \fileserver1.local\Documents okay, but just not access the mapped \fileserver1\Documents.

I don't really want to change the policy to map using \fileserver1.local\Documents in case they have docs and shortcuts etc linking using the shortname as it will effect about 100 users and while some have the smarts to be able to remap the drive as \fileserver1.local\Documents, most would not be able to.

And I shouldn't have to change the policy, as interestingly it works as an domain administrator - but that's no solution.

I can log in as Domain Admin, open the same VPN connection they do, log onto the VPN using the same credentials they do, switch user to the laptop username and I can open the mapped drive \fileserver1\Documents no problem this time.

All windows firewalls are turned off on the laptop while I have been testing.

Any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Just FYI in case someone else comes across this.

    It seems that Win7 is using the cached VPN creds which are local on the Astaro and not domain creds so when its trying to access resources I believe its trying the VPN creds first.

    Fix for the Session: run this in cmd.exe "cmdkey /delete /ras"
    Permanent Fix: change reg key HKLM\System\CurrentControlSet\Control\Lsa\DisableDomainCreds from 0 to 1.

    Thanks to this article https://social.technet.microsoft.com/forums/windowsserver/en-US/fec26db0-3df8-4683-b467-423efacb3067/windows-7-network-drive-mapping-over-vpn

    which linked to another article that was no longer available but helpfully contained the text of the fix 

    "Ive been investigating a problem involving a user trying to access a local DFS share while having an active VPN connection to a remote network. I looked at all the usual things including a routing problem or a DNS issue without any success. I also tested this same setup on a Virtual Machine running Windows XP and there was no problem. This therefore narrowed it down to a change in functionality between Windows Vista and Windows XP. As I couldn't nail down the reason I decided to speak to Microsoft and see whether they could shed any light on the problem. It turns out that the problem is caused by the credential manager in Vista. When connected to a VPN the credentials that you are signed onto the VPN with are cached and then used to authenticate when accessing resources on the local or remote network. When trying to access a DFS share the cached VPN credentials are submitted and access is denied. The second part of the issue is that Windows Vista will not default back to your local domain credentials following this failure. There are two ways of resolving this problem
    1.) You can set the value of the following key to 1, Hkey_Local_Machine\System\CurrentControlSet\Control\Lsa\DisableDomainCreds. This turns off the caching off credentials and forces your domain credentials to be used when accessing resources on both the local and remote network.
    2.) The second option is to run cmdkey /delete /ras from a command prompt once you have connected to the vpn. This will clear the cached vpn credentials from credential manager.  This is not really a long term fix as once you disconnect and reconnect the vpn, the credentials will be cached again and you will be back to square one. "
Reply
  • 0
    Just FYI in case someone else comes across this.

    It seems that Win7 is using the cached VPN creds which are local on the Astaro and not domain creds so when its trying to access resources I believe its trying the VPN creds first.

    Fix for the Session: run this in cmd.exe "cmdkey /delete /ras"
    Permanent Fix: change reg key HKLM\System\CurrentControlSet\Control\Lsa\DisableDomainCreds from 0 to 1.

    Thanks to this article https://social.technet.microsoft.com/forums/windowsserver/en-US/fec26db0-3df8-4683-b467-423efacb3067/windows-7-network-drive-mapping-over-vpn

    which linked to another article that was no longer available but helpfully contained the text of the fix 

    "Ive been investigating a problem involving a user trying to access a local DFS share while having an active VPN connection to a remote network. I looked at all the usual things including a routing problem or a DNS issue without any success. I also tested this same setup on a Virtual Machine running Windows XP and there was no problem. This therefore narrowed it down to a change in functionality between Windows Vista and Windows XP. As I couldn't nail down the reason I decided to speak to Microsoft and see whether they could shed any light on the problem. It turns out that the problem is caused by the credential manager in Vista. When connected to a VPN the credentials that you are signed onto the VPN with are cached and then used to authenticate when accessing resources on the local or remote network. When trying to access a DFS share the cached VPN credentials are submitted and access is denied. The second part of the issue is that Windows Vista will not default back to your local domain credentials following this failure. There are two ways of resolving this problem
    1.) You can set the value of the following key to 1, Hkey_Local_Machine\System\CurrentControlSet\Control\Lsa\DisableDomainCreds. This turns off the caching off credentials and forces your domain credentials to be used when accessing resources on both the local and remote network.
    2.) The second option is to run cmdkey /delete /ras from a command prompt once you have connected to the vpn. This will clear the cached vpn credentials from credential manager.  This is not really a long term fix as once you disconnect and reconnect the vpn, the credentials will be cached again and you will be back to square one. "
Children
No Data
Unfiltered HTML