發佈日期:
分類:
如何解決利用OKTA Verify作為VPN MFA登入時遇到的問題
01. 公司為了加強VPN登入時的安全性,加入了OKTA Verify作為多重驗證(Multi-Factor Authentication, MFA)。
02. 出發原意是好的,但以前5個步驟(登入名稱錯誤、登入密碼錯誤、用戶端問題、VPN伺服器問題、連線網絡問題)只要1個出錯,就連不到VPN情況。現在變成至少11步驟(除上述5個外,還有手提電話本身問題、用戶端至OKTA伺服器連線、OKTA伺服器至手提電話連線、手提電話至OKTA伺服器連線、OKTA伺服器至用戶端連線問題、OKTA帳戶被鎖、)只要1個出錯,就會連不到VPN。
03. 經過大半年用戶出現問題,解決過百個案/問題後,現在分享一下解決方法。
01. 這個其實與OKTA無關,問題是出在Windows本身問題上,有時可以重新啟動解決問題,但更多時是出現問題時只能乾等。
02. 所以一般會叫同事,改用『c:\windows\system32\rasphone.exe』檔案連接VPN。
03. 在網上看到的另一個方法,而這也是公司給予用戶的解決方法。就是在Windows中,選擇『Open Network and Internet Settings』,左邊選『VPN』,右邊選擇正確VPN連線,再按『Connect』。根據經驗,這個方法的成功率比上面第一個方法高一點,如仍然不成功,建議仍是用『c:\windows\system32\rasphone.exe』檔案連接VPN。
04. 另外,使用『c:\windows\system32\rasphone.exe』檔案連接VPN的好處,就是它能儲存用戶的登入名稱及密碼。至少用戶入錯登入名稱及密碼時也會知道。
01. 上面提到,為何要用『c:\windows\system32\rasphone.exe』檔案連接VPN,因為當出現不能連線時,如用傳統Windows提供的連線方法,根本看不到錯誤碼。但用時『c:\windows\system32\rasphone.exe』檔案連接VPN,至少有機會看到錯誤碼,如錯誤(error code)是789。
02. 這個錯誤碼,很多時是出現在家用路由器(router)上,只要將路由器電源關上,再等約30秒重新啟動,用戶反映這方法,能成功再次連接到VPN。
03. 有用戶反映重啟路由器後,仍然在連線VPN時出現同樣錯誤,那就建議用戶利用手提電話(mobile)個人熱點(hotspot)測試一下,以證明問題是出在家用網絡,定是電腦上。
01. 這也是用戶經常報告的問題。基本上,要求用戶使用『c:\windows\system32\rasphone.exe』檔案連接VPN,如果在輸入登入名稱及密碼後,連線後看到電腦上出現『Verifying user name and password』對話匣,但手提電話中的OKTA Verify沒有回應,那問題一定是出在手提電話或OKTA Verify上。
02. 第一步,檢查用戶電話是否正在以WIFI連線。如果是,建議可以先關閉WIFI連線,以流動數據再試一次VPN連線。
03. 用戶已經關閉WIFI連線,並以流動數據連接網絡,但仍然在OKTA Verify沒有收到通知。那可以先將手提電話設定為飛行模式,令其斷開現時的流動數據網絡,之後關閉飛行模式,再測試OKTA Verify是否能收到通知。
04. 如仍然沒有在OKTA Verify收到通知,那最後是將電話重啟一次,再測試OKTA Verify是否能收到通知。
05. 另外,可以重設手提電話(特別是iPhone)的網絡設定(reset network settings)。
06. 最後,如以上方法也未能解決問題,那就先在OKTA Verify程式刪除有關帳戶,再刪除手提電話中的OKTA Verify程式,再重新安裝一次及建立OKTA帳戶。
01. 此問題其中一個原因,是用戶不斷對連接VPN,但OKTA Verify未能在指定時間彈出通知。用戶卻再次連接VPN,久而久之,根本分不清那個OKTA Verify通知是對應那個VPN連線。用戶只要停止VPN連線5-10分鐘,以便OKTA Verify完成之前所有通知,再重新連線VPN,便能確認OKTA Verify通知是屬於當下VPN連線。
01. 這情況之前遇過2次,一次發生在Android電話上,一次發生在iPhone上。用戶已經用『c:\windows\system32\rasphone.exe』檔案連接VPN,亦已在電腦上出現『Verifying user name and password』對話匣,手提電話OKTA Verify亦彈出通知。但當用戶按接受後,便出現『Unable to authenticate. Please try again.』錯誤。電腦的VPN因為良久也收不到OKTA Verify回應,最終亦出現錯誤718: The connection was terminated because the remote computer did not respond in a timely manner.。
02. 在Android電話,已試過在電腦重新建立VPN Profile、重啟電話、重新建立OKTA帳戶、重新安裝OKTA Verify程式,但所有方法都是同一結果,都是出現同樣的錯誤『Unable to authenticate. Please try again.』。但用戶報告,第二天在完全沒有再做任何事情的情況下,OKTA Verify沒有再出現錯誤,而VPN也能連線成功。
03. 至於iPhone電話,經過多次測試,問題證實是出在手提電話上。反覆測試下,只要重設電話的網絡設定(reset network settings),便能解決問題。
發佈留言