Приобрели для шлюза новую железку с Win 2K16 Standard. Заодно приобрели TI 3.0 на 200 пользователей (до этого пользовали 2.0 на 150 пользователей).
В новогодние каникулы произвели подключение нового шлюза. Установили и активировали на нем ТИ, перенесли на него настройки ТИ со старого шлюза.
Сегодня оказалось, что пользователи обычных компьютеров подключаются к Инету без проблем.
А вот пользователи терминального сервера зайти в Интернет не могут.
При этом в их агентах подключение к серверу происходит без проблем. Но при запуске браузера выскакивает диалоговое окно с сообщением, что прокси-сервер требует аутентификацию:
Прокси moz-proxy://192.168.0.103:8080 запрашивает имя пользователя и пароль. Сайт сообщает "GateServer02"
Crypto Pro Fox:
Authentication required
The proxy moz-proxy://192.168.0.103:8080 is requesting a username and passord. The site says "GateServer02"
IE:
Пишет примерно то же самое, но при вводе аутентификационных данных (логин с префиксом домена и пароль) подключение происходит. Но там есть галочка "Запомнить аутентификационные двнные". А в прочих браузерах ее нет. Вот аутентификация и не работает, как я понимаю.
Получается, что аутентификация по NTLM с сервера терминалов не работает, а требуется только BASIC?
Но ведь на старом ТИ каким-то чудным образом все работало с любыми браузерами и без танцев с бубнами.
Что делать? Как подружить браузеры с прокси?
P.S. Автоматическую настройку браузеров из агента ТИ делал, если что ...
Сейчас я уже не разберусь, что именно писало в журнал. Кажется, что-то вроде:
[HTTP proxy] запрос от 192.168.0.105, имя "БирюковаНБ" - Пользователь БирюковаНБ не найден
Но при задании имени с префиксом "ДОМЕН\" из IE все получалось.
Вышел из ситуации следующим образом:
Отключил в настройках ""Правила|Правила сетей|Сервера терминалов"" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...
1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.
2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?
Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.
В результате теперь терминальные пользователи не могут подключиться почтовыми клиентами к внешним почтовым серверам. А если учесть, что в качестве пользователей могут выступать программы автоматической отправки отчетов, то становится грустно
Помню, что на старом шлюзе я в ТИ прописывал разрешения этих портов в ""Биллинг|Общие фильтры|Разрешения для всех"". Иначе с терминальных серверов не хотело к ним коннектиться (с обычных машин проблем не было). Но я же перенес все эти разрешения со старого ТИ в новый!Правда, теперь они оказались в разделе ""Правила|Правила пользователей"". Может быть в этом всё дело?
Отключил в настройках "Правила|Правила сетей|Сервера терминалов" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...
Это правильно. Если вы не используете BASIC, его нужно отключить, иначе логин будет запрашиваться в BASIC аутентификации.
Цитата
1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.
Возможно браузер проходит аутентификацию, или ожидает запрос на неё. Также браузером могут анализироваться параметры скрипта автоконфигурирования прокси.
Цитата
2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?
Правилась логика работы методов аутентификации.
Цитата
Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.
Терминальные пользователи работают исключительно через прокси, поэтому и невозможно достучаться.
Цитата
Правда, теперь они оказались в разделе "Правила|Правила пользователей". Может быть в этом всё дело?
Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.
Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.
Вот в этом-то и дело. Я в конце концов разобрался, что и куда надо добавить, но в данном случае проблема была в юзабилити интерфейса и в особенностях перехода с v2.0.
1. Старые правила были перенесены из v2.0 и появились в списке "Правила пользователей".
Кто ж мог подумать, что этот список совсем не идентичен прежнему? И что мало было перенести настройки, нужно еще дополнительно прописать их в "Общие разрешения".
2. Этот пункт "Общие разрешения" не высвечивается в левом меню. При клике на "Правила пользователей" тоже его не видно - высвечивается общий список правил.
Нужно зайти в свойства "Правил пользователей" или кликнуть на "Настройки внутреннего сетевого экрана", чтобы хотя бы увидеть его.
В общем, перенос правил с v2.0 как-то не полностью был реализован. Если уж переносить разрешения для всех, так уж полностью. И сами эти "Общие разрешения" не прятать ...
После добавления соответствующих правил в "Общие разрешения" почта заработала у авторизованных пользователей. Вернее, заработала у терминальных пользователей, а у нетерминальных и так работала.
На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт!
На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт!
Это все таки немного другой баг, который не затрагивает обсуждаемую проблему.