gosadmins Опубликовано 11 Июня 2015 Жалоба Поделиться Опубликовано 11 Июня 2015 Добрый день.В распоряжении доменная сеть, состоящая из 800 клиентских машин (Win7, WinXP). Четыре контроллера домена Windows Server 2008R2.Режим функционирования домена и леса 2003.Сеть имеет маску 255.255.0.0. Она разделена на 15 географических сегментов(районов). В каждом сегменте своя подсеть с маской 24. Каждый район представляет собой сайт. Контроллеры домена находятся в 3 разных сайтах. На каждом контроллере работает DNS-сервер. IP-адресация в сети статическая.Защита трафика осуществляется VPN решениями компании Infotecs - VipNet Coordinator, Vipnet Client Monitor.В каждом районе на входе в сеть установлен VipNet Coordinator(координатор). Доступ машин к контролеррам домена организован двумя способами: посредством добавления машины на координаторе VipNet в туннель, или посредством установки на клиенте ПО VipNet Client Monitor.Произвожу установку ПО методом назначения через групповую политику. В районах на машинах без VipNet Client Monitor, т.е. добавленных в туннель установка проходит нормально. На машинах с VipNet Client Monitor ПО не устанавливается в логах сообщения:Тип события: ОшибкаИсточник события: NETLOGONКатегория события: ОтсутствуетКод события: 5719Дата: 02.06.2015Время: 8:00:06Пользователь: Н/ДКомпьютер: COMP******xxОписание:Для домена DOMAIN нет доступного контроллера домена. Ошибка:Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.Тип события: ОшибкаИсточник события: W32TimeКатегория события: ОтсутствуетКод события: 29Дата: 02.06.2015Время: 8:00:06Пользователь: Н/ДКомпьютер: COMP******xxОписание:The NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение 14 мин. NTP-клиент не имеет источника правильного времени.Тип события: ПредупреждениеИсточник события: W32TimeКатегория события: ОтсутствуетКод события: 14Дата: 02.06.2015Время: 8:00:06Пользователь: Н/ДКомпьютер: COMP******xxОписание:NTP-клиент поставщика времени не смог найти контроллер домена для использования как поставщика времени. NTP-клиент повторит попытку через 15 мин.Тип события: ОшибкаИсточник события: NETLOGONКатегория события: ОтсутствуетКод события: 5719Дата: 02.06.2015Время: 7:56:44Пользователь: Н/ДКомпьютер: COMP******xxОписание:Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.Проблема в том, что в терминологии VipNet существуют т.н. "открытые узлы" и "защищенные узлы". Узел с установленным VipNet Client Monitor - защищенный узел. Координатор, через который обеспечивается связь с контроллером домена, ожидает от защищенного узла только шифрованный трафик. Во время загрузки, до инициализации VipNet Client Monitor, машина начинает искать контроллер домена, далее - координатор получает незащищенный трафик от машины и блокирует его. Машина говорит, что для домена нет доступного контроллера домена, политики компьютера не применяются.Прошу помощи в решении вопроса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vanish1990 Опубликовано 11 Июня 2015 Жалоба Поделиться Опубликовано 11 Июня 2015 У вас в клиенте стоит галка "Не активировать защиту трафика при загрузке операционной системы"? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
gosadmins Опубликовано 11 Июня 2015 Автор Жалоба Поделиться Опубликовано 11 Июня 2015 Галка не стоит. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vanish1990 Опубликовано 11 Июня 2015 Жалоба Поделиться Опубликовано 11 Июня 2015 А на координаторе после установки клиента туннель убрали? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
gosadmins Опубликовано 11 Июня 2015 Автор Жалоба Поделиться Опубликовано 11 Июня 2015 Да, туннель убрали. В момент загрузки клиетской машины есть промежуток времени, когда от нее идёт нешифрованный трафик(в частности по 53-му UDP порту (DNS)). Координатор получая нешифрованные пакеты от защищенного узла их блокирует, тем самым прерывая процесс авторизации компьютера в домене. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.