Тема от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Добрый вечер.
После обновления крипто про до версии 5.0.12997 контейнер с Рутокен ЭЦП 3.0 не определяется в КриптоПро CSP на терминальном сервере через перенаправление RDP (при локальном подключении Рутокен ЭЦП 3.0 к терминальну серверу токен определяется и работает). На терминальном сервере установлен драйвер Рутокен 4.18.0.
Служба локальных смарт-карт запущена на терминальном сервере, в новой версии КриптоПро 5.0.12997 для этого добавили функционал "Безопасность-Доступ к локальным смарт-картам через RDP" включить службу локальных смарт-карт.
Подскажите что можно сделать?

Ответ от NickM

  • NickM
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Если пользователь не является администратором, то включить его в группу "Пользователи локальных смарт-карт КриптоПро CSP".

Так же на форуме "КриптоПро" оставляли некоторый комментарий:

Проблема оказалось в сбойном приложении "Единый Клиент JaCarta" из-за него сбоила служба "смарт-карта".
После удаления приложения и перезагрузки ОС, проблема была решена.

Т.е. если с группой сразу не заработает, то следует убедиться, что служба локальных смарт-карт работает и не падает с ошибкой.

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

NickM пишет:

Если пользователь не является администратором, то включить его в группу "Пользователи локальных смарт-карт КриптоПро CSP".

Так же на форуме "КриптоПро" оставляли некоторый комментарий:

Проблема оказалось в сбойном приложении "Единый Клиент JaCarta" из-за него сбоила служба "смарт-карта".
После удаления приложения и перезагрузки ОС, проблема была решена.

Т.е. если с группой сразу не заработает, то следует убедиться, что служба локальных смарт-карт работает и не падает с ошибкой.

Данный комментарий на форуме оставлял я. Пользователь включен в группу "Пользователи локальных смарт-карт КриптоПро CSP", сертификаты которые установлены на терминальном сервере пользователь видит и они работают при подключении по RDP, проблема именно с пробросом Рутокен на терминальный сервер.

Ответ от NickM

  • NickM
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

kriptaserj пишет:

Данный комментарий на форуме оставлял я.

Упс, точно, проглядел;

kriptaserj пишет:

проблема именно с пробросом Рутокен на терминальный сервер.

А какая версия драйвера на клиенте?

В любом случае, Я бы обновился до крайней "4.18", т.к. замечено, что на предыдущих версиях имеются проблемы у драйвера "Рутокен", когда он нещадно насилует токены и поедает процессорное время.

Эту статью читали?

Там имеется пунктик:

Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:

"Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт" переведите в состояние "Отключить"

После изменения политики нужно перезагрузить сервер для того, чтобы изменения вступили в силу.

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

NickM пишет:
kriptaserj пишет:

Данный комментарий на форуме оставлял я.

Упс, точно, проглядел;

kriptaserj пишет:

проблема именно с пробросом Рутокен на терминальный сервер.

А какая версия драйвера на клиенте?

В любом случае, Я бы обновился до крайней "4.18", т.к. замечено, что на предыдущих версиях имеются проблемы у драйвера "Рутокен", когда он нещадно насилует токены и поедает процессорное время.

Эту статью читали?

Там имеется пунктик:

Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:

"Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт" переведите в состояние "Отключить"

После изменения политики нужно перезагрузить сервер для того, чтобы изменения вступили в силу.

Пробовал с нескольких ПК подключение, на одном стоят драйвера точно не 4.18 на втором версию не смотрел.(сейчас кстати вышла версия 4.18.0.1, поставил ее терминальный сервер, результатов не дало.)
Хоть сервер и не в домене, но в групповой политике применял это:"Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт" переведите в состояние "Отключить" , результатов никаких.
На форумах вроде уже всю информацию просмотрел связанную с проблемой проброса RDP, решения к сожалению не нашел.
Кстати еще такой вопрос, ранее если токен был подключен локально к терминальному серверу, то при подключении на терминальный сервер по RDP Рутокен блокировался и не отображался в утилите "Рутокен" и "КриптоПро", вчера тестировал это и проблемы не возникло, токен при таком подключении не блокируется и прекрасно работает.

Ответ от Фатеева Светлана (2023-12-21 18:06:31 отредактировано Фатеева Светлана)

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Здравствуйте, kriptaserj,
Криптопро CSP предоставляет расширенные возможности доступа по RDP к токенам, которые подключены напрямую в сервер и это не должно влиять на проброс самого токена в RDP-соединение.
Уточните, сейчас токен подключен локально или удаленно к серверу? В Событиях Windows есть ли ошибки при пробросе устройства в RDP-соединение?

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Фатеева Светлана пишет:

Здравствуйте, kriptaserj,
Криптопро CSP предоставляет расширенные возможности доступа по RDP к токенам, которые подключены напрямую в сервер и это не должно влиять на проброс самого токена в RDP-соединение.
Уточните, сейчас токен подключен локально или удаленно к серверу? В Событиях Windows есть ли ошибки при пробросе устройства в RDP-соединение?

Фатеева Светлана, добрый день.
Токен подключен к удаленному серверу.
В Событиях Windows  при пробросе устройства в RDP-соединение ошибки не наблюдаются

Ответ от Фатеева Светлана

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

kriptaserj,
пришлите, пожалуйста, скриншот "Панели управления Рутокен" на вкладке Сертификаты и скриншот ошибки.

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Фатеева Светлана пишет:

kriptaserj,
пришлите, пожалуйста, скриншот "Панели управления Рутокен" на вкладке Сертификаты и скриншот ошибки.

Добрый день, том и проблема, что ошибки нет.
https://forum.rutoken.ru/uploads/images/2023/12/cc625e73477a6ef34dd54d7c02dc8845.jpg

Ответ от Фатеева Светлана

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

kriptaserj,
если отключить проброс смарт-карт при RDP-соединении, то ошибка меняется или нет?

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Фатеева Светлана пишет:

kriptaserj,
если отключить проброс смарт-карт при RDP-соединении, то ошибка меняется или нет?

О какой вообще ошибке идет речь? Я же писал выше, ошибки нет никакой, просто не пробрасывает рутокен в терминальную сессию.

Ответ от kriptaserj

  • kriptaserj
  • Посетитель
  • Неактивен

Re: Проблема с перенаправление Рутокен ЭЦП 3.0 по RDP

Нашел, в чем проблема, если пользователь на терминальном сервере добавлен в группу "Пользователи локальных смарт-карт КриптоПро CSP" при подключении под таким пользователем рутокен не пробрасывается на терминальный сервер, при удалении его из этой группы проброс начинает работать.
Пользователей добавлял в группу "Пользователи локальных смарт-карт КриптоПро CSP" т.к. без добавления  в эту группу не отображаются сертификаты установленные на терминальном сервере.