Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 28 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 9837 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Zugang (über Sophos VPN Client) sowie User Portal Fehler: Ungültiger Benutzername /Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe.

Carsten Lehmann

Sehr geehrtes Forum, 

Ich habe seit Montag das Problem, das sich zwei User nicht mehr am Userportal & per VPN Client unter Windows 10 anmelden können, es kommt folgende Fehlermeldung:

Ungültiger Benutzername / Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe. -> im Userportal. 

Am VPN Client unter Windows kommt keine Fehlermeldung, im Status sehe ich: 
AUTH: Received control message: AUTH_FAILED
Falsches Kennwort der User schließe ich aus. 

Die VPN User werden über eine Sicherheitsgruppe im AD synchronisiert, sind nicht gesperrt, können sich im Büro anmelden. 


Jetzt ist meine Frage, wo kann ich schauen? Welches der Protokolle gibt etwas mehr Auskunft? 


Die Möglichkeit, Flush Authentication Cache zu leeren habe ich gemacht, kein Erfolg. 
https://community.sophos.com/utm-firewall/f/german-forum/119146/anmeldung-am-user-portal-funktioniert-bei-einem-user-uber-otp-nicht


Hier hat jemand Anmelden an im AD als Grund gehabt, ist bei mir nicht der Fall.
https://community.sophos.com/utm-firewall/f/german-forum/59336/userportal-zugang-verweigert


Wir setzen sind SG125 mit V9.711-5 ein, Lizenzen sind gerade verlängert worden. 

Gruß
Carsten Lehmann



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    wir haben seit gestern Abend das gleiche Problem.

    User werden per Prefetch aus dem AD auf der Sophos UTM angelegt, das funktioniert ohne Probleme.

    Auf der Sophos gibt es eine Gruppe für SSL-VPN-Users, die die passende AD-Gruppe enthält.
    Zusätzlich noch eine Gruppe für das User-Portal, selbes Schema.

    Dieses Konstrukt hat über Monate/Jahre problemlos funktioniert.
    Seit gestern Abend können sich diese Benutzer nicht mehr im User Portal anmelden und sich nicht mehr per VPN einwählen.
    Die Fehlermeldungen/Logeinträge sind identisch wie bei Herrn Lehmann.

    Sowohl an der UTM-Konfig als auch an den AD-Gruppen/-Benutzern wurde nichts verändert.
    Die Tests bei den Auth-Servern funktionieren problemlos, User Prefetch auch ohne Probleme.

    Erstelle ich eine Gruppe auf der Sophos, die die gesyncten User enthält, funktionieren User Portal und VPN ohne Probleme.

    So langsam glaube ich nicht mehr an einen Zufall oder einen Fehler auf unserer Seite.

  • 0 in reply to JBertsch

    Hallo! 

    Dann kann es doch nur noch mit dem letzten Firmwareupdate zusammenhängen? 

    V9.711-5 das ist die, die wir aktuell nutzen. Was mich hier wundert, wenn ich das Log richtig lese, wurde das Update von 9.710-1 auf 9.711-5 bei uns am 01.05. eingespielt, der Fehler trat aber ja erst Wochen später auf. Eigentlich passt das nicht. 

    Blöde Frage: Könnten Updates auf dem AD Server so etwas auslösen? 

    Gruß
    Carsten Lehmann

  • 0 in reply to Carsten Lehmann

    Wir haben erst am späten Abend ein FW-Update auf 9.711-5 auf der Sophos durchgeführt, also nachdem der Fehler aufgetreten ist.
    Das letzte FW-Update lag Wochen/Monate zurück.

    Windows-Updates auf den DCs wurden am 01.07 durchgeführt, also einige Tage bevor der Fehler aufgetreten ist.

    https://community.sophos.com/utm-firewall/f/management-networking-logging-and-reporting/134712/solved-ssl-vpn---authentication-failure-for-all-users

    Das trat bei einem dritten Benutzer auch schon auf, nur die Lösung funktioniert bei uns nicht.

  • 0 in reply to JBertsch

    Hmm, dann liegt es weder an der Firmware noch an den Windows Updates. 

    Kannst du mir erklären, warum ich manche User doppelt drin habe? Hatte ich weiter oben vor 7 Tagen gefragt. 

  • 0 in reply to Carsten Lehmann

    Ich würde auch mal prüfen, ob die User tatsächlich doppelt im AD enthalten sind.
    Ansonsten beide löschen und neu syncen (User Prefetch), dann sollte nur noch einer da sein.
    Prinzipiell werden auf der Sophos keine User gelöscht, auch wenn sie im AD gelöscht werden.

    Ich habe in einem anderen Thread noch einen Konsolenbefehl aufgeschnappt:
    net ads info

    <M> utm:/home/login # net ads info
    ads_connect: No logon servers
    ads_connect: No logon servers
    Didn't find the ldap server!

    Sollte der immer was Sinnvolles liefern, oder nur, wenn man Active Directory SSO aktiviert hat?

  • 0 in reply to JBertsch

    Nein, die User sind nicht doppelt im AD enthalten. 
    Wie lange dauert das mit dem User Prefetch, bis die in der Sophos sichtbar sind? 

    Zu dem Konsolenbefehl kann ich nichts sagen; gehe nur per Weboberfläche drauf bisher. 

  • 0 in reply to Carsten Lehmann

    Das kommt darauf an, ob du einen automatischen Prefetch konfiguriert hast.

    Definition & Users -> Authentication Services -> Advanced -> Prefetch Directory Users

    Ansonsten kannst du das auch händisch anstoßen, dann dauert es nur ein paar Sekunden.
    Vermutlich musst du aber dann die VPN-Konfig für den Client neu herunterladen, weil ein neues Zertifikat generiert wird.

Reply
  • 0 in reply to Carsten Lehmann

    Das kommt darauf an, ob du einen automatischen Prefetch konfiguriert hast.

    Definition & Users -> Authentication Services -> Advanced -> Prefetch Directory Users

    Ansonsten kannst du das auch händisch anstoßen, dann dauert es nur ein paar Sekunden.
    Vermutlich musst du aber dann die VPN-Konfig für den Client neu herunterladen, weil ein neues Zertifikat generiert wird.

Children
Unfiltered HTML