Vipnet Client Monitor И Установка Программ Методом Назначения

[gosadmins]

Добрый день.

В распоряжении доменная сеть, состоящая из 800 клиентских машин (Win7, WinXP). Четыре контроллера домена Windows Server 2008R2.

Режим функционирования домена и леса 2003.

Сеть имеет маску 255.255.0.0. Она разделена на 15 географических сегментов(районов). В каждом сегменте своя подсеть с маской 24. Каждый район представляет собой сайт. Контроллеры домена находятся в 3 разных сайтах. На каждом контроллере работает DNS-сервер. IP-адресация в сети статическая.

Защита трафика осуществляется VPN решениями компании Infotecs - VipNet Coordinator, Vipnet Client Monitor.

В каждом районе на входе в сеть установлен VipNet Coordinator(координатор). Доступ машин к контролеррам домена организован двумя способами: посредством добавления машины на координаторе VipNet в туннель, или посредством установки на клиенте ПО VipNet Client Monitor.

Произвожу установку ПО методом назначения через групповую политику. В районах на машинах без VipNet Client Monitor, т.е. добавленных в туннель установка проходит нормально. На машинах с VipNet Client Monitor ПО не устанавливается в логах сообщения:

Тип события: Ошибка

Источник события: NETLOGON

Категория события: Отсутствует

Код события: 5719

Дата: 02.06.2015

Время: 8:00:06

Пользователь: Н/Д

Компьютер: COMP******xx

Описание:

Для домена DOMAIN нет доступного контроллера домена. Ошибка:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .

Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

Тип события: Ошибка

Источник события: W32Time

Категория события: Отсутствует

Код события: 29

Дата: 02.06.2015

Время: 8:00:06

Пользователь: Н/Д

Компьютер: COMP******xx

Описание:

The NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение 14 мин. NTP-клиент не имеет источника правильного времени.

Тип события: Предупреждение

Источник события: W32Time

Категория события: Отсутствует

Код события: 14

Дата: 02.06.2015

Время: 8:00:06

Пользователь: Н/Д

Компьютер: COMP******xx

Описание:

NTP-клиент поставщика времени не смог найти контроллер домена для использования как поставщика времени. NTP-клиент повторит попытку через 15 мин.

Тип события: Ошибка

Источник события: NETLOGON

Категория события: Отсутствует

Код события: 5719

Дата: 02.06.2015

Время: 7:56:44

Пользователь: Н/Д

Компьютер: COMP******xx

Описание:

Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Проблема в том, что в терминологии VipNet существуют т.н. "открытые узлы" и "защищенные узлы". Узел с установленным VipNet Client Monitor - защищенный узел. Координатор, через который обеспечивается связь с контроллером домена, ожидает от защищенного узла только шифрованный трафик. Во время загрузки, до инициализации VipNet Client Monitor, машина начинает искать контроллер домена, далее - координатор получает незащищенный трафик от машины и блокирует его. Машина говорит, что для домена нет доступного контроллера домена, политики компьютера не применяются.

Прошу помощи в решении вопроса.

[Vanish1990]

У вас в клиенте стоит галка "Не активировать защиту трафика при загрузке операционной системы"?

[gosadmins]

Галка не стоит.

[Vanish1990]

А на координаторе после установки клиента туннель убрали?

[gosadmins]

Да, туннель убрали. В момент загрузки клиетской машины есть промежуток времени, когда от нее идёт нешифрованный трафик(в частности по 53-му UDP порту (DNS)). Координатор получая нешифрованные пакеты от защищенного узла их блокирует, тем самым прерывая процесс авторизации компьютера в домене.