Vraag
Waarom toont verkeer van Windows 7 / Vista-clients werkstation in plaats van gebruiker in de toegangslogboeken?
Omgeving
Microsoft Windows 7, Microsoft Windows Vista, Cisco Web Security Applicatie (alle versies), Surrogate Type: IP-adres
Symptomen
Bepaalde logregels in de toegangslogbestanden tonen de naam van de computer, in plaats van de domeinnaam\GEBRUIKER.
Microsoft introduceerde een nieuwe functie in Windows 7 en Windows Vista genaamd "Network Connectivity Status Indicator" (NCSI), die wordt weergegeven als een klein wereldpictogram dat verschijnt over het pictogram van de netwerkinterface in het systeemvak. Direct na het inloggen zal deze functie proberen gegevens op te vragen via het internet om te weten of er internetverbinding is.
Er zijn bekende problemen met NCSI, waar het machinereferenties in plaats van gebruikersreferenties zal verzenden wanneer de authentificatie NTLM wordt vereist.
Aangezien NCSI de meeste kans heeft om het eerste verzoek van een PC naar de WSA te sturen, bestaat er nog geen surrogaat en wordt er een nieuw op IP gebaseerd surrogaat met de machinenaam in plaats van de huidige gebruikersnaam gemaakt. Dit surrogaat wordt gebruikt voor elk verzoek vanaf het eerste IP-adres tot de surrogaattijden en de gebruiker moet opnieuw authenticeren, dit keer met echte referenties.
Aangezien de machinenaam hoogstwaarschijnlijk geen lid is van de aanvankelijk bedoelde AD-groep, zullen alle verzoeken niet het juiste Access/Decryptie-beleid genereren, wat soms resulteert in de blokkering van het verzoek.
Voor meer informatie over NCSI, zie het volgende Microsoft KB artikel.
Raadpleeg de onderstaande instructies om het probleem op te lossen:
- Start de Register-editor door te zoeken naar "regedit" in het taakmenu. U moet met de rechtermuisknop klikken en "Als beheerder uitvoeren" selecteren.
- Navigeren naar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
- Dubbelklik onder de Internet-toets op "EnableActiveProbing" en typ vervolgens in Value-gegevens: 0.
- Klik op OK.
- Start de computer opnieuw.
Deze wijzigingen kunnen naar alle clients worden gedrukt als een Global Policy Object (GPO) met behulp van de Domain Controller.
Workaround op het WSA
Maak een identiteit voor NCSI en stel deze vrij van verificatie op basis van de URL of de bijbehorende User Agent.
Bekende URL’s waarmee NCSI verbinding maakt
ncsi.glbdns.microsoft.com
newncsi.glbdns.microsoft.com
www.msftncsi.com
NCSI gebruikersagent
Microsoft NCSI