Аутентификация не пройдена ошибка подключения невозможно установить соединение с сервером приложений

ООО «Код Безопасности» vGate 4.3

Решение типовых проблем

Последнее обновление: ноябрь 22, 2019

Общие

Ошибки при установке сервера авторизации и агента аутентификации

Решение:

Для установки сервера авторизации необходимы права локального администратора или администратора домена с привилегиями на запуск служб, добавление устройств и управление доменными учетными записями. Предоставьте администратору недостающие права.

Решение:

Если при установке сервера авторизации vGate был выбран способ маршрутизации трафика с использованием сервера авторизации, и были перепутаны IP-адреса внешнего и внутреннего сетевых адаптеров, необходимо полностью удалить ПО сервера авторизации vGate без сохранения базы конфигурации, а затем установить снова с правильными значениями.

Решение:

В консоли управления vGate в разделе «Защищаемые серверы» нужно добавить контроллер домена как автономный сервер, а затем создать для него правила для протокола IP-level для анонимных и аутентифицированных пользователей.

Ошибки при запуске vGate

Решение:

Выполнить перезапуск службы vGate Client Authentication Service на сервере авторизации vGate.

Решение:

Если в консоли управления vGate разблокировать учетную запись нельзя, нужно из редактора командной строки запустить программу kadmin.local.exe и выполнить команду:

Решение:

Такая ошибка может появляться после перезапуска компьютера с установленным на нем агентом аутентификации с включенным автоматическим запуском. В этом случае требуется подождать некоторое время и выполнить аутентификацию в vGate повторно.

Решение:

На компьютере с установленным агентом аутентификации нужно открыть файл конфигурации krb5.ini в папке установки vGate и добавить в секцию [libdefaults] следующую строку:

default_tkt_enctypes = des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 des3-hmac-sha1 des3-cbc-sha1-kd des-hmac-sha1 arcfour-hmac rc4-hmac arcfour-hmac-md5 arcfour-hmac-exp rc4-hmac-exp arcfour-hmac-md5-exp

Решение:

Запустить агент аутентификации vGate от имени администратора и произвести аутентификацию, указав имя пользователя и пароль.

Решение:

Для успешной аутентификации в vGate необходимо указать имя в префиксной форме записи в сокращенном варианте (20 символов).

Например, вместо activedirectoryusername25@AD.TEST.LOC нужно указать A\activedirectoryusern.

Описание:

Появление ошибки возможно, если сервер авторизации vGate установлен в режиме, в котором маршрутизацию трафика в сети выполняет отдельный маршрутизатор, и на компьютере сервера авторизации настроено два или более сетевых адаптера.

На сервере авторизации запустить программу Netsh и для адаптера, который не используется в конфигурации vGate, указать IP-адрес с ключом skipassource=true.

Решение:

В Active Directory, в OU, в котором были созданы при установке учетные записи vGate, содержатся учетные записи с аналогичными именами. Необходимо удалить дубликаты учетных записей из контейнера Active Directory, дождаться прохождения репликации в Active Directory (либо выполнить репликацию принудительно), а затем повторите добавление доверенного домена.

Ошибки при функционировании

Решение:

Необходимо выполнить перезагрузку компьютеров пользователей.

Решение:

Настроить ПРД для учетной записи компьютера, на котором развернут сервер NTP или DNS:

  • установить vGate Client на серверы DNS и NTP;
  • добавить правила для 53 и 123 порта на основном сервере авторизации (IP-адрес интерфейса внутренней сети);
  • добавить в качестве автономного сервера интерфейс внешней сети;
  • создать правила для портов 53, 123 UDP на всех необходимых серверах внутри защищаемого периметра;
  • в графе «Пользователь» в правиле для NTP добавить имя компьютера, на котором развернут NTP-сервер, в формате «имя_машины$@vgate»;
  • в правиле для NTP необходимо, чтобы и входящий, и исходящий порт были обозначены как «123».
READ  While expected error in java

Решение:

При добавлении домена в список доверенных в консоли управления при нажатии кнопки «Обзор» выдается сообщение об ошибке: «Не удалось отобразить структуру Службы Каталогов». При попытке указать данные вручную выдается сообщение об ошибке: «Unknown domain . «

Для выполнения операций с объектами Active Directory администратор должен обладать правами группы Account Operators. Предоставьте администратору недостающие права на проведение операций в домене.

Решение:

В консоли управления vGate удалите домены, учетные записи из которых не могут получить доступ к серверу авторизации, из списка доверенных, а затем добавьте их снова.

Решение:

Необходимо перезагрузить компьютеры из этого домена, на которых установлены компоненты защиты vGate.

Решение:

На сервере авторизации vGate запустить службу «Вторичный вход в систему» («Secondary Logon»).

Решение:

Для регистрации таких событий требуется настроить на контроллере домена политику «Аудит событий входа в систему» (Audit account logon events). Просмотр событий осуществляется на контроллере домена в аудите.

Защита VMware vSphere

Ошибки при установке компонентов защиты

Решение:

Чтобы установить компонент защиты vGate на сервер vCenter или сервер vSphere Web Client в консоли управления из-под встроенной учетной записи локального администратора Windows, необходимо предварительно отключить на компьютере режим подтверждения администратором («Admin Approval Mode») в настройках UAC. В случае если установка производится из-под учетной записи доменного администратора (входящего в группу «Administrators»), то нужно либо отключить режим UAC «Admin Approval Mode», либо добавить администратора в группу «Domain Admins».

Решение:

Для установки компонента защиты vCenter необходимы права администратора инфраструктуры VMware vSphere. Предоставьте администратору недостающие права.

Решение:

В vGate при появлении ошибки по таймауту во время установки модуля защиты ESXi-серверов следует изменить ключ реестра Windows на сервере авторизации. Значение HKEY_LOCAL_MACHINE\SOFTWARE\Security Code\vGate\EsxAgentDeployTimeout=300. В случае возникновения ошибки, можно увеличить этот параметр.

Решение:

Для установки компонента защиты vCenter необходимы права администратора инфраструктуры VMware vSphere. Предоставьте администратору недостающие права.

Ошибки при работе с антивирусами

Решение:

Во внешней сети располагается компьютер с установленным Kaspersky Security for Virtualization 2.0, для которого создана учетная запись на vCenter, но на который невозможно установить агент аутентификации (например, если компьютер не соответствует требованиям к аппаратному или программному обеспечению). Трафик от Kaspersky Security for Virtualization не проходит к vCenter и vShield.

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Ошибки при работе со средствами резервного копирования

Решение:

При настроенных правилах фильтрации сетевых соединений не устанавливается соединение Symantec Net Backup c vСenter.

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Ошибки при функционировании

Решение:

Не запускается консоль управления с удаленного АРМ АИБ. Агент аутентификации успешно подключается к серверу авторизации, но в консоли управления возникает сообщение об ошибке: «В процессе работы произошла ошибка. Не удалось подключиться к . Причина: ‘Операция успешно завершена'».Консоль успешно открывается на сервере авторизации.

READ  Time error epic seven

Проблема может возникать при использовании Антивируса Касперского. Если при установке антивируса выбрана опция отключения встроенного Windows Firewall, то при работе с vGate компьютер АИБ может не принимать ответный трафик от серверов ESXi или vCenter даже при выключенном Антивирусе Касперского.

Аналогичная проблема возможна при использовании DLP-системы Infowatch.

Решение:

Сервер авторизации установлен на виртуальной машине на том же ESXi-сервере, что и другие ВМ. После перезагрузки ESXi-сервера соединение клиента vSphere с ESXi-сервером выполняется успешно, но при попытке запуска любой ВМ возникает сообщение об ошибке (Unknown Error). При удалении компонентов защиты ESXi-сервера виртуальные машины запускаются нормально. Администратор обладает всеми необходимыми правами.

Проблема связана с тем, что ВМ с сервером авторизации vGate может запускаться позже остальных ВМ. В этом случае агенты защиты ESXi не могут прочитать статусы политик в базе конфигурации vGate, и доступ блокируется. Установка сервера авторизации на ВМ на одном ESXi с другими ВМ не рекомендуется. Подробнее см. в разделе «Установка сервера авторизации на ВМ» в документе [2].

Решение:

Аутентификация в агенте аутентификации vGate и запуск vSphere Client выполняются успешно, но невозможно выполнить операции с ВМ, например монтирование устройств, или открыть консоль виртуальной машины.

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

  1. Развернуть в сети собственный центр сертификации, с помощью которого будут издаваться сертификаты
  2. Перенести сертификаты, как описано ниже.

Если используется vCenter:

  1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Стандартный путь к сертификату — %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или “ :\DocumentsandSettings\AllUsers\ApplicationData\VMware\VirtualCenter\SSL”.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
  3. Перезапустить службу vGate VI API ProxyService.

Если vCenter не используется:

  1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.cr и скопировать их.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
  3. Перезапустить службу vGate VI API ProxyService.

Решение:

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

Если используется vCenter:

  1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Они обычно находятся тут: %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или «» :\Documents and Settings\All Users\Application Data\VMware\VirtualCenter\SSL»».
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку «»%ProgramFiles%\vGate»».
  3. Перезапустить службу vGate VI API Proxy Service.

Если vCenter не используется:

  1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.cr и скопировать их.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку «»%ProgramFiles%\vGate»».
  3. Перезапустить службу vGate VI API Proxy Service».

Решение:

Необходимо добавить подсети в список защищаемых (см. раздел «Добавление защищаемых подсетей» в документе «Руководство администратора. Установка, настройка и эксплуатация.»).

Решение:

Необходимо с помощью утилиты drvmgr.exe настроить правило доступа для компонента защиты vCenter следующего вида:

drvmgr.exe A TCP YYY.YYY.YYY.YYY PPPP 4

Где YYY.YYY.YYY.YYY — IP-адрес резервного сервера авторизации в защищаемом периметре, PPPP — порт vCenter (по умолчанию 443).

Решение:

Для отображения статуса в консоли управления основного сервера необходимо добавить правило фильтрации сетевых подключений для IP-адреса резервного сервера.

READ  Supra swd 701 прошивка

Описание:

При включенном контроле целостности файлов гостевых ОС виртуальных машин в журнале событий сервера авторизации генерируются множественные ошибки типа «При проверке целостности виртуальной машины произошла ошибка: FATAL: sorry, too many clients already».

Необходимо увеличить значение параметра «max_connections» в файле конфигурации C:\Program Files\PostgreSQL\9.4\data\postgresql.conf.

Описание:

После изменения сетевой конфигурации ESXi-сервера (добавление/удаление сетевых адаптеров) могут не регистрироваться события, связанные с производимыми в разделе конфигурации Networking действиями.

Рекомендуется перезагрузить сервер авторизации.

Защита Microsoft Hyper-V

Ошибки при установке компонентов защиты

Решение:

Для восстановления работоспособности нужно выполнить перезагрузку сервера Hyper-V.

Решение:

Необходимо повторно добавить удаленные домены в список доверенных.

Ошибки при функционировании

Описание:

Если на сервере Hyper-V включено управление доступом на уровне пользователей (User Access Control), то в консоли управления vGate невозможно добавить данный сервер Hyper-V в список защищаемых серверов при использовании данных учетной записи локального администратора.

Для соединения с сервером Hyper-V с использованием учетной записи локального администратора этого сервера необходимо настроить на сервере Hyper-V ключ реестра Windows «EnableLinkedConnections»:

  1. В редакторе реестра Windows выбрать ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
  2. Создать новый параметр DWORD. Для этого открыть контекстное меню выбранной ветки и нажать «Создать -> Параметр DWORD (32 бита)».
  3. Задать для нового параметра имя «EnableLinkedConnections».
  4. Открыть диалог изменения созданного параметра. Для этого открыть контекстное меню параметра и нажать «Изменить».
  5. В диалоге изменения параметра, в поле «Значение», указать значение «1» и нажать «ОК».
  6. Закрыть редактор реестра и выполнить перезагрузку системы.

Описание:

При выполнении миграции и репликации виртуальных машин Hyper-V на рабочем месте АИБ может появляться сообщение «Недостаточно прав для завершения операции. «. При этом на сервере авторизации может появляться сообщение аудита «Не удалось найти целевой Hyper-V сервер в списке защищаемых серверов», а в лог-файле службы HvRhuid могут появляться ошибки следующего вида:

target by addresses (‘172.28.81.6’, ‘HSERVER3’) — not found.

Failed find hv server in database by ‘172.28.81.6, hserver3’ (error: ‘can’t resolve’).

В настройках контроллера домена для всех защищаемых подсетей необходимо настроить зоны обратного просмотра DNS (DNS Reverse Lookup Zone), чтобы обеспечить возможность преобразования IP-адресов защищаемых серверов Hyper-V в доменные имена. Для этого необходимо выполнить следующие действия:

  1. Открыть «Диспетчер DNS» (DNS Manager): «Панель управления | Администрирование | DNS» (Control Panel | Administrative Tools | DNS).
  2. На панели навигации выбрать пункт «Зоны обратного просмотра» (Reverse Lookup Zones), вызвать его контекстное меню и выбрать пункт меню «Создать новую зону. » (New Zone. ).
  3. Выполнить шаги «Мастера создания новой зоны» (New Zone Wizard). При наличии нескольких защищаемых подсетей повторить данное действие для каждой подсети.
  4. Выполнить перезагрузку серверов Hyper-V либо завершить настройку вручную:
    1. На панели навигации «Диспетчера DNS» выбрать пункт «Зоны прямого просмотра» (Forward Lookup Zones).
    2. В списке узлов зоны прямого просмотра выбрать зону домена, в котором находятся защищаемые серверы Hyper-V.
    3. Открыть диалог свойств записи Host(A) нужного сервера Hyper-V, установить флажок «Обновить соответствующую PTR-запись» (Update associated pointer (PTR) record) и нажать «ОК».
  5. Проверить, что в настройках зоны обратного просмотра присутствуют записи Pointer (PTR) для всех серверов Hyper-V.

Решение:

Необходимо убедиться, что данный сервер виртуализации зарегистрирован в DNS, или открыть на нем порт для преобразования NetBIOS-имен (UDP-порт 137).

Решение:

После установки vGate отключить драйвер vGate NDIS 6.0 в сетевых настройках адаптеров, у которых отмечен протокол «Hyper-V Extensible Virtual Switch».

Источник

Smartadm.ru