Страницы: 1
RSS
Проблема с терминальными пользователями
 
День добрый!

Приобрели для шлюза новую железку с Win 2K16 Standard. Заодно приобрели TI 3.0 на 200 пользователей (до этого пользовали 2.0 на 150 пользователей).

В новогодние каникулы произвели подключение нового шлюза. Установили и активировали на нем ТИ, перенесли на него настройки ТИ со старого шлюза.

Сегодня оказалось, что пользователи обычных компьютеров подключаются к Инету без проблем.
А вот пользователи терминального сервера зайти в Интернет не могут.

При этом в их агентах подключение к серверу происходит без проблем. Но при запуске браузера выскакивает диалоговое окно с сообщением, что прокси-сервер требует аутентификацию:

Google Chrome:
Требуется аутентификация
Для доступа на прокси-сервер https://192.168.0.103:8080 требуется указать имя пользователя и пароль.

Mozilla FireFox:
Требуется аутентификация
Прокси moz-proxy://192.168.0.103:8080 запрашивает имя пользователя и пароль. Сайт сообщает "GateServer02"

Crypto Pro Fox:
Authentication required
The proxy moz-proxy://192.168.0.103:8080 is requesting a username and passord. The site says "GateServer02"

IE:
Пишет примерно то же самое, но при вводе аутентификационных данных (логин с префиксом домена и пароль) подключение происходит. Но там есть галочка "Запомнить аутентификационные двнные". А в прочих браузерах ее нет. Вот аутентификация и не работает, как я понимаю.

Получается, что аутентификация по NTLM с сервера терминалов не работает, а требуется только BASIC?

Но ведь на старом ТИ каким-то чудным образом все работало с любыми браузерами и без танцев с бубнами.

Что делать? Как подружить браузеры с прокси?

P.S. Автоматическую настройку браузеров из агента ТИ делал, если что ...
 
Получается, что аутентификация по NTLM с сервера терминалов не работает, а требуется только BASIC?

Должна работать. Уточните, сеть доменная? Сервер с ТИ в домене? Если ввести логин пароль на клиенте, что пишется в событиях ТИ?

 
Сеть доменная. Сервер в домене.

Сейчас я уже не разберусь, что именно писало в журнал. Кажется, что-то вроде:

[HTTP proxy] запрос от 192.168.0.105, имя "БирюковаНБ" - Пользователь БирюковаНБ не найден

Но при задании имени с префиксом "ДОМЕН\" из IE все получалось.

Вышел из ситуации следующим образом:

Отключил в настройках ""Правила|Правила сетей|Сервера терминалов"" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...

1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.

2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?

Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.

В результате теперь терминальные пользователи не могут подключиться почтовыми клиентами к внешним почтовым серверам. А если учесть, что в качестве пользователей могут выступать программы автоматической отправки отчетов, то становится грустно :(

Помню, что на старом шлюзе я в ТИ прописывал разрешения этих портов в ""Биллинг|Общие фильтры|Разрешения для всех"". Иначе с терминальных серверов не хотело к ним коннектиться (с обычных машин проблем не было). Но я же перенес все эти разрешения со старого ТИ в новый!Правда, теперь они оказались в разделе ""Правила|Правила пользователей"". Может быть в этом всё дело?
"
 
Цитата
Отключил в настройках "Правила|Правила сетей|Сервера терминалов" аутентификацию BASIC. Оставил только NTLM и все заработало. Но ...
Это правильно. Если вы не используете BASIC, его нужно отключить, иначе логин будет запрашиваться в BASIC аутентификации.

Цитата
1. В начале работы с браузером заметно притормаживает. Потом (если не делать перерывов) работает быстро. У нетерминальных пользователей такого не наблюдается.

Возможно браузер проходит аутентификацию, или ожидает запрос на неё. Также браузером могут анализироваться параметры скрипта автоконфигурирования прокси.

Цитата
2. На старом шлюзе все работало и без отключения BASIC-аутентификации. Что изменилось?
Правилась логика работы методов аутентификации.

Цитата
Но сейчас обнаружилась еще одна проблема. С некоторых компьютеров теперь закрыт доступ к 465 порту (SMTP over TLS). Причем, с терминальных серверов под Win2K12 достучаться к этим портам вовне не получается, а с не терминальных серверов Win2K3/Win2K12 - подключается мгновенно.
С обычных компьютеров под WinXP/Win8/Win10 тоже все получается.
Терминальные пользователи работают исключительно через прокси, поэтому и невозможно достучаться.

Цитата
Правда, теперь они оказались в разделе "Правила|Правила пользователей". Может быть в этом всё дело?


Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.
 
Цитата
Да. Именно в этом. Зайдите в свойства раздела Правила пользователей и перейдите на вкладку Общие разрешения. Вот сюда нужно добавлять правила.


Вот в этом-то и дело. Я в конце концов разобрался, что и куда надо добавить, но в данном случае проблема была в юзабилити интерфейса и в особенностях перехода с v2.0.

1. Старые правила были перенесены из v2.0 и появились в списке "Правила пользователей".
Кто ж мог подумать, что этот список совсем не идентичен прежнему? И что мало было перенести настройки, нужно еще дополнительно прописать их в "Общие разрешения".

2. Этот пункт "Общие разрешения" не высвечивается в левом меню. При клике на "Правила пользователей" тоже его не видно - высвечивается общий список правил.
Нужно зайти в свойства "Правил пользователей" или кликнуть на "Настройки внутреннего сетевого экрана", чтобы хотя бы увидеть его.

В общем, перенос правил с v2.0 как-то не полностью был реализован. Если уж переносить разрешения для всех, так уж полностью. И сами эти "Общие разрешения" не прятать ...
 
Вы еще неприятно удивитесь, что "Общие разрешения" срабатывают только для неавторизованных пользователей!
 
Как это?

После добавления соответствующих правил в "Общие разрешения" почта заработала у авторизованных пользователей. Вернее, заработала у терминальных пользователей, а у нетерминальных и так работала.
 
Цитата
Вы еще неприятно удивитесь, что "Общие разрешения" срабатывают только для неавторизованных пользователей!



Не только. Если объяснять простым языком, правила в этом пункте пропускают трафик без какой либо обработки, для любых пользователей!
 
На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт! 
 
Цитата
На всякий случай оговорюсь, что речь идет о версии 3.0.2.916 х64. Так вот, правила в "Общих разрешениях" срабатывают только для неавторизованных пользователей, а не для всех! Это баг в программе, он подтвержден. Видимо, между сотрудниками техподдержки нет должного рабочего общения. Печальный факт! 



Это все таки немного другой баг, который не затрагивает обсуждаемую проблему.
Страницы: 1
Читают тему (гостей: 2)