Страница печати | Закрыть окно

Проблема с терминальными пользователями

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24119
Дата печати: 19-Сен-18 в 15:42
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Проблема с терминальными пользователями
Автор: МУП "Тепло Коломны"
Тема: Проблема с терминальными пользователями
Дата отправки: 09-Янв-18 в 11:34
День добрый!

Приобрели для шлюза новую железку с Win 2K16 Standard. Заодно приобрели TI 3.0 на 200 пользователей (до этого пользовали 2.0 на 150 пользователей).

В новогодние каникулы произвели подключение нового шлюза. Установили и активировали на нем ТИ, перенесли на него настройки ТИ со старого шлюза.

Сегодня оказалось, что пользователи обычных компьютеров подключаются к Инету без проблем.
А вот пользователи терминального сервера зайти в Интернет не могут.

При этом в их агентах подключение к серверу происходит без проблем. Но при запуске браузера выскакивает диалоговое окно с сообщением, что прокси-сервер требует аутентификацию:

Google Chrome:
Требуется аутентификация
Для доступа на прокси-сервер http://192.168.0.103:8080 требуется указать имя пользователя и пароль.

Mozilla FireFox:
Требуется аутентификация
Прокси moz-proxy://192.168.0.103:8080 запрашивает имя пользователя и пароль. Сайт сообщает "GateServer02"

Crypto Pro Fox:
Authentication required
The proxy moz-proxy://192.168.0.103:8080 is requesting a username and passord. The site says "GateServer02"

IE:
Пишет примерно то же самое, но при вводе аутентификационных данных (логин с префиксом домена и пароль) подключение происходит. Но там есть галочка "Запомнить аутентификационные двнные". А в прочих браузерах ее нет. Вот аутентификация и не работает, как я понимаю.

Получается, что аутентификация по NTLM с сервера терминалов не работает, а требуется только BASIC?

Но ведь на старом ТИ каким-то чудным образом все работало с любыми браузерами и без танцев с бубнами.

Что делать? Как подружить браузеры с прокси?

P.S. Автоматическую настройку браузеров из агента ТИ делал, если что ...



Ответов:
Автор: VladimirK
Дата отправки: 09-Янв-18 в 15:42
Получается, что аутентификация по NTLM с сервера терминалов не работает, а требуется только BASIC?

Должна работать. Уточните, сеть доменная? Сервер с ТИ в домене? Если ввести логин пароль на клиенте, что пишется в событиях ТИ?



-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: МУП "Тепло Коломны"
Дата отправки: 09-Янв-18 в 16:34
Сеть доменная. Сервер в домене.

Сейчас я уже не разберусь, что именно писало в журнал. Кажется, что-то вроде:

[HTTP proxy] запрос от 192.168.0.105, имя "БирюковаНБ" - Пользователь БирюковаНБ не найден

Но при задании имени с префиксом "ДОМЕН\" из IE все получалось.

Вышел из ситуации следующим образом:

Отключил в настройках "Правила|Правила сетей|Сервера терминалов" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...

1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.

2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?

Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.

В результате теперь терминальные пользователи не могут подключиться почтовыми клиентами к внешним почтовым серверам. А если учесть, что в качестве пользователей могут выступать программы автоматической отправки отчетов, то становится грустно :(

Помню, что на старом шлюзе я в ТИ прописывал разрешения этих портов в "Биллинг|Общие фильтры|Разрешения для всех". Иначе с терминальных серверов не хотело к ним коннектиться (с обычных машин проблем не было). Но я же перенес все эти разрешения со старого ТИ в новый!Правда, теперь они оказались в разделе "Правила|Правила пользователей". Может быть в этом всё дело?


Автор: VladimirK
Дата отправки: 11-Янв-18 в 08:14
Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

Отключил в настройках "Правила|Правила сетей|Сервера терминалов" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...
Это правильно. Если вы не используете BASIC, его нужно отключить, иначе логин будет запрашиваться в BASIC аутентификации.

Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.

Возможно браузер проходит аутентификацию, или ожидает запрос на неё. Также браузером могут анализироваться параметры скрипта автоконфигурирования прокси.

Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?
Правилась логика работы методов аутентификации.

Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.
Терминальные пользователи работают исключительно через прокси, поэтому и невозможно достучаться.

Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

Правда, теперь они оказались в разделе "Правила|Правила пользователей". Может быть в этом всё дело?
Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: МУП "Тепло Коломны"
Дата отправки: 11-Янв-18 в 17:05
Исходное сообщение VladimirK VladimirK :

Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.
Вот в этом-то и дело. Я в конце концов разобрался, что и куда надо добавить, но в данном случае проблема была в юзабилити интерфейса и в особенностях перехода с v2.0.

1. Старые правила были перенесены из v2.0 и появились в списке "Правила пользователей".
Кто ж мог подумать, что этот список совсем не идентичен прежнему? И что мало было перенести настройки, нужно еще дополнительно прописать их в "Общие разрешения".

2. Этот пункт "Общие разрешения" не высвечивается в левом меню. При клике на "Правила пользователей" тоже его не видно - высвечивается общий список правил.
Нужно зайти в свойства "Правил пользователей" или кликнуть на "Настройки внутреннего сетевого экрана", чтобы хотя бы увидеть его.

В общем, перенос правил с v2.0 как-то не полностью был реализован. Если уж переносить разрешения для всех, так уж полностью. И сами эти "Общие разрешения" не прятать ...


Автор: ZAN
Дата отправки: 11-Янв-18 в 17:59
Вы еще неприятно удивитесь, что "Общие разрешения" срабатывают только для неавторизованных пользователей!


Автор: МУП "Тепло Коломны"
Дата отправки: 12-Янв-18 в 08:06
Как это?

После добавления соответствующих правил в "Общие разрешения" почта заработала у авторизованных пользователей. Вернее, заработала у терминальных пользователей, а у нетерминальных и так работала.


Автор: VladimirK
Дата отправки: 12-Янв-18 в 08:45
Исходное сообщение ZAN ZAN :

Вы еще неприятно удивитесь, что "Общие разрешения" срабатывают только для неавторизованных пользователей!

Не только. Если объяснять простым языком, правила в этом пункте пропускают трафик без какой либо обработки, для любых пользователей!


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru


Автор: ZAN
Дата отправки: 12-Янв-18 в 19:42
На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт! 


Автор: VladimirK
Дата отправки: 15-Янв-18 в 08:16
Исходное сообщение ZAN ZAN :

На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт! 

Это все таки немного другой баг, который не затрагивает обсуждаемую проблему.


-------------
Техническая поддержка
Телефон: +7(495)77-55-991 (доб. 1142)
E-mail: support(coбака)smart-soft.ru



Страница печати | Закрыть окно