Vipnet Terminal - Не Получается Подлючиться К Серверу Терминалов

[adminLGB]

Добрый день.

Для организации защищенной сети между учреждениями к нам в компанию были поставлены тонкие клиенты VipNet Terminal на базе Kraftway Credo VV18 (http://www.infotecs....ELEMENT_ID=5521), (от вышестоящей организации), сервер на котором установлен VipNet Coordinator и сервер терминалов на котором установлен VipNet Cleint.

У вышестоящей организации главная роль цепи и, соответственно, все настройки и dst файлы мы получаем от них.

Что сделано:

Наш координатор настроен и связан с координатором вышестоящей организации. При проверке он всегда доступен.

На терминальный сервер и тонкий клиент (пока только на одном в целях проверки) установлены соответствующие им ключи dst.

Предпосылки к проблеме:

1) Из нашего координатора не виден терминальный сервер и терминальный клиент с ошибкой "1 - не найден ключ для сетевого узла".

2) Из терминального сервера виден терминальный клиент, но координатор не доступен (журнал регистрации IP пакетов ошибок не показывает).

3) Из терминального клиента виден терминальный сервер, но координатор также не доступен. Смотрел через iplir ping.

Собственно проблема:

Не получается подлючиться к серверу терминалов. При нажатии подключения к выбранному серверу окно моргает и все. И так каждый раз.

Интересно то, что один раз подключение было осуществленно - в первый раз, сразу после установки dst файла и настройки времени.

После этого ни разу, даже при дефолтных настройка терминального сервера (я имею ввиду настройки Windows).

Оснавная мысль, что из-за невидимости координатора и возникает проблема с подключением. Но почему один раз было подлкючение в таком случае, а после нет.

Подскажите, пожалуйста, в чем может быть проблема и в какую сторону копать? В сторону ошибки в получившейся инфраструктуре VipNet или в сторону настроек терминального сервера (настройки ГПО, права доступа и т.п.).

И еще - возможен ли сброс устройства VipNet Terminal без "ViPNet Удостоверяющий и ключевой центр" ?

PS

"ОС на терминальном сервере и координаторе - MS Windows Server 2008 R2."

[slavanchuk]

Во-первых, стоит посмотреть журнал пакетов на координаторе от данного сетевого узла. По поводу сброса не подскажу. Если есть образ, то, скорее всего, можно. Под администратором заходить на терминале можете чтобы посмотреть настройки подключения к серверу?

[adminLGB]

slavanchuk

да, все пароли на enable режим есть: на координатор, на терминальный сервер и на терминальный клиент.

образа у меня нету - я так понимаю ссылка на его скачивание дается после обращения в службу тех. поддержки.

[slavanchuk]

Вообще-то сертифицированные СКЗИ так не поставляются. Так что, если техническая поддержка будет соблюдать закон, то - нет (если я не ошибаюсь).

Что говорит журнал пакетов на координаторе? Связь-то вообще идёт?

[adminLGB]

ребята поправили ошибку "1 - не найден ключ для сетевого узла". теперь все видят друг друга в сети, но связи по RDP до сих пор нету. странно это.

журнал пакетов ошибок не выдает - vipnet ни чего не режет.

попробовал сделать сброс - поковырявшись в режиме enable, нашел как сбросить терминал:

admin remove keys

после сброса получилось точно также - в первый раз клиент вошел, а потом снова не хочет входить. странно...

[slavanchuk]

возможно, он что-то получает при синхронизации (обновления или синхронизацию по адресам) и что-то сбивается. Попробуйте перезагрузить координатор. Иногда на нём провисают настройки. Но вряд ли в этом проблема. Не встречался. Интересно что скажет по данной проблеме Anton©.

[Oktavius]

1) Из нашего координатора не виден терминальный сервер и терминальный клиент с ошибкой "1 - не найден ключ для сетевого узла".

Обновите ключевые наборы вашего координатора. (у него нет ключей на клиента и на терминального сервера.)

Если Терминальный сервер и Тонкий клиент не выдают ошибку "1 - не найден ключ для сетевого узла". значит ключи у них есть.

Верно Slavanchuk?

[slavanchuk]

Да, верно. Но adminLGB сказал, что данная проблема уже была решена... С актуальными ключами они уже разобрались. Тут при первом удачном входе у них идёт какой-то сбой.

[adminLGB]

да, я тоже так подумал - что при первой сессии он что то синхронизирует, после чего не хочет осуществлять подключение. координатор и сервер терминалов перезагружал. эффекта ноль.

у меня есть мысль, что проблема может крыться в версиях:

сервер терминалов - 3.2 (9.11025), координатор - 3.2 (9.13607), а терминальный клиент - 3.1 (333) (если смотреть через version).

на счет сервера терминалов я уверен - скачивал дистрибутив на днях. на счет координатора и уж тем более терминального клиента не уверен.

попробую узнать на счет последней версии прошивки на терминальный клиент у вышестоящей организации. координатор скачал на сайте, но там версия пониже будет - 3.2 (9.11025). хм...

[slavanchuk]

Дело в том, что 3.1 и 3.2 версии в части VPN совместимы. Не уверен, что в этом кроется проблема, хотя и не исключаю кривую версию. У Вас координатор программный? На сервере терминалов клиент стоит?

[adminLGB]

да.

на сервере с координатором стоит программный VipNet Coordinator, а на сервере терминалов стоит клиент VipNet Client.

версии сделал сейчас одинаковыми на них. на терминальный клиент пока-месть еще не получил прошивку - должны по идее после обеда прислать.

может dst файл с ошибкой на клиенте? после первого подключения синхронизирует какой то параметр и после вырубает.

в iplir config как правильно должно быть?

у меня параметры server и active в блоке [servers] указывает на координатор.

[slavanchuk]

Дело в том, что после подключения к координатору он берёт настройки и актуальные адреса с него. Может, дело в виртуальных адресах (автоматически переключился и связь пропала). Не знаю как себя ведёт терминал в данном случае - не работал с линуксовыми клиентами и с терминалами, в частности. У нас линукс только координаторы, а там этот вопрос не критичен.

[AnTonN(c)]

Под каким адресом терминал видит терминальный сервер? на этот адрес настроили терминал? Это параметр accessip в iplir.conf.

iplir ping проходит с терминала до терминального сервера?

какой режим работы установлен на терминале и терминальном сервере?

стучитесь по RDP? стандартный порт не меняли (3389)?

Какие настройки делали, чтобы поднять терминальный сервер?

[adminLGB]

Друзья, вообщем победил проблему. Дело оказалось не в VipNet. Расскажу по порядку:

Я попробовал установить новую прошивку 3.1 (367) на тонкий клиент, но это эффекта ни какого не дало. Далее я попробовал снести нафиг роль службы терминалов с терминального сервера и вуаля - клиент стал подключаться (на старой прошивке, кстати, тоже), что навело меня на мысль, что VipNet тут собственно не причем, а проблема кроется в настройках терминальных служб. День танцев с бубном вокруг сервера лицензий и сервера терминалов дал свой эффект. Вообщем проблема заключалась в режиме лицензирования. На нашу организацию были присланы лицензии на устройство, и естественно мною было установлено и настроены именно данный тип лицензий. Но оказывается для работы устройства VipNet Terminal необходима лицензия на пользователя, а это в корне меняет дело. Но это уже другая история.

Спасибо всем, кто откликнулся.

Я думаю, что тему можно закрывать. Как я понимаю что-либо изменить нельзя.

PS "Жаль что в инструкции к устройству VipNet Terminal ни где не описан данный момент. Как мне кажется данный нюанс вообще должен быть указан в описании к устройству (для платформ Windows) на сайте Infotecs. Потому как цифры в запланированном бюджете на внедрение всей данной системы могут очень и очень возрасти."

[slavanchuk]

Странно почему лицензия на устройство не подошла. Может, просто лицензий на устройство не хватило?

[intellegent]

PS "Жаль что в инструкции к устройству VipNet Terminal ни где не описан данный момент. Как мне кажется данный нюанс вообще должен быть указан в описании к устройству (для платформ Windows) на сайте Infotecs. Потому как цифры в запланированном бюджете на внедрение всей данной системы могут очень и очень возрасти."

C системами лицензирования все всегде непросто. Особенно когда мы ведем речь о "чужой" системе лицензирования. Видимо суть проблемы в том, что система лицензирования терминальных серверов Windows расчитана на использование Windows машин в качестве клиентских точек. Т.е. не достаточно реализовать протокол RDP, нужно еще что-то. Поскольку это от всех скрыто, то и реализовать в Terminal невозможно. Что касается предложения указать на сайте или в документации - да кто же их читает перед покупкой, документы всегда читают после того как все сломалось .

Пожелание Ваше понятно. Учтем.

Вот, кстати, на тему лицензирования есть полезная информация. Если будете покупать Citrix, то не забудьте купить терминальных лицензий у Microsoft. Потому что Citrix работает только при наличии двух лицензий - Citrix и Microsoft. Так было пару лет назад, врядли что-то изменилось с тех пор. Писать об этом в нашей документации смысла нет, т.к. перед покупкой Citrix читать надо документацию на Citrix. А кто же ее читает...

[adminLGB]

Лицензии "на устройство" есть и их полно.

вот что пишет Microsoft (http://technet.micro...8(v=ws.10).aspx):

"Выбор типа клиентской лицензии зависит от планирования использования сервера терминалов. В режиме клиентских лицензий служб терминалов «на устройство» при первом подключении клиентского компьютера или устройства к серверу терминалов клиентскому компьютеру или устройству по умолчанию выдается временная лицензия. Если при повторном подключении клиентского компьютера или устройства к серверу терминалов сервер лицензирования активирован и в наличии имеется достаточное количество клиентских лицензий служб терминалов «на устройство», сервер лицензирования выдает клиентскому компьютеру или устройству постоянную клиентскую лицензию служб терминалов «на устройство»."

Теперь расклад далее: если на сервере терминалов выставлен режим "на клиента", то на сервере лицензирования выдается временная лицензия "на устройство". Что весьма забавно.

Я так понимаю теперь написанное можно трактовать так - после истечения срока временной лицензии он подхватит основную лицензию потому как они есть, просто работает как то криво - непрозрачно что ли. И, если честно, я очень на это надеюсь.

И все же факт остается фактом - режим на терминальном сервере должен быть выставлен "на клиента", ибо не фурычит по другому.

[adminLGB]

Так к сведению: все последующие новые тонкие клиенты, которые я уже успел поставить - не получили временной лицензии "на устройство". Стало быть работает только режим "на пользователя".

[slavanchuk]

Пожелание Ваше понятно. Учтем.

Неужто тут засланный работник Инфотекс? Признавайтесь.

[intellegent]

Неужто тут засланный работник Инфотекс? Признавайтесь.

"Не корысти ради, а токмо волею пославшей мя жены" (с) "Двенадцать стульев" .

[adminLGB]

Заключительный штрих:

Прошивка 3.2-532 на тонкий клиент, нормально отрабатывает для лицензий "на устройство". При это rdp-протокол должен быть выбран rdesktop.

Теперь тема полностью закрыта.