Question
Pourquoi le trafic des clients Windows 7 / Vista affiche-t-il la station de travail au lieu de l'utilisateur dans les journaux d'accès ?
Environnement
Microsoft Windows 7, Microsoft Windows Vista, Cisco Web Security Appliance (toutes versions), Type de substitution : adresse IP
Symptômes
Certaines lignes de journal dans les journaux d'accès affichent le nom de l'ordinateur de l'ordinateur, au lieu de DOMAINE\UTILISATEUR.
Microsoft a introduit une nouvelle fonctionnalité dans Windows 7 et Windows Vista appelée « Indicateur d'état de connectivité réseau » (NCSI), qui apparaît sous la forme d'une petite icône représentant un globe terrestre qui apparaît sur l'icône de l'interface réseau dans la barre d'état système. Immédiatement après la connexion, cette fonctionnalité tente de demander des données à Internet afin de savoir s'il existe une connectivité Internet.
Il existe des problèmes connus avec NCSI, où il enverra les informations d'identification de l'ordinateur au lieu des informations d'identification de l'utilisateur lorsque l'authentification NTLM est requise.
Étant donné que NCSI est le plus susceptible d'envoyer la première requête d'un PC à l'appareil de sécurité Web, aucun substitut n'existe encore et un nouveau substitut basé sur IP avec le nom de la machine au lieu du nom d'utilisateur réel est créé. Ce substitut est utilisé pour chaque requête à partir de l'adresse IP initiale jusqu'à ce que le substitut expire et que l'utilisateur doive s'authentifier à nouveau, cette fois avec de véritables informations d'identification.
Étant donné que le nom de l'ordinateur n'est très probablement pas membre du groupe AD initialement prévu, toutes les demandes ne déclenchent pas la stratégie d'accès/décodage correcte, ce qui peut parfois entraîner le blocage de la demande.
Pour plus d'informations sur NCSI, consultez l'article Microsoft KB suivant.
Veuillez consulter les instructions ci-dessous pour contourner le problème :
- Lancez l'Éditeur du Registre en recherchant « regedit » dans le menu des tâches. Vous devez cliquer avec le bouton droit de la souris et sélectionner Exécuter en tant qu'administrateur.
- Accédez à : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
- Sous la clé Internet, double-cliquez sur « EnableActiveProbing », puis dans Données de la valeur, tapez : 0.
- Cliquez sur « OK ».
- Redémarrez l'ordinateur.
Ces modifications peuvent être répercutées sur tous les clients en tant qu'objet de stratégie globale (GPO) à l'aide du contrôleur de domaine.
Solution de contournement sur WSA
Créez une identité pour NCSI et exemptez-la de l'authentification basée sur l'URL ou son agent utilisateur.
URL connues auxquelles le NCSI se connecte
ncsi.glbdns.microsoft.com
newncsi.glbdns.microsoft.com
www.msftncsi.com
Agent utilisateur NCSI
Microsoft NCSI