Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Нет, kb2661001 не помог.

Ситуация прежняя, за сутки регулярный ступор "Добро пожаловать..."

Пытаемся исключить "клиентский" фактора, централизовано планируем обновить Remote Desktop Connection до 7.0 (KB969084), т.к. есть % клиентов версии 6.

Дмитрий Бирин пишет:

Используется ли каким-либо образом в Вашей конфигурации Citrix?

Не используется, применяем стандартный сервер терминалов от MS с аутентификацией по смарт-карте.

Ответ от Дмитрий Бирин

  • Дмитрий Бирин
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Пользователи, которые соединяются с терминальным сервером используют MS RemoteApp?

Сообщите, пожалуйста, о результатах обновления клиентов, когда оно будет завершено.

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Пользователи, которые соединяются с терминальным сервером используют MS RemoteApp?

Да, используют. Это приложение не использует какую-либо криптографию, или зависимость в другом?

Дмитрий Бирин пишет:

Сообщите, пожалуйста, о результатах обновления клиентов, когда оно будет завершено.

Обязательно.

Ответ от Дмитрий Бирин

  • Дмитрий Бирин
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Да, используют. Это приложение не использует какую-либо криптографию, или зависимость в другом?

Есть вероятность, что использование RemoteApp может каким-либо образом влиять на вашу проблему с подключениями. Мы проведем дополнительные проверки на нашем стенде и также сообщим Вам о результатах.

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Есть вероятность, что использование RemoteApp может каким-либо образом влиять на вашу проблему с подключениями. Мы проведем дополнительные проверки на нашем стенде и также сообщим Вам о результатах.

Хм... но мы наблюдаем следующую странность:
если во время, где имеется попытка установить RDP появляется ступор "Добро пожаловать..." при использовании смарт-карты, то если на том же клиенте (этот же ПК, и даже если его перезагрузить) и применить пару логин/пароль, то удаленный рабочий стол устанавливается (удаленное приложение запускается).

Вообще у нас сложилась такая версия:

Когда клиент (ПК) пытается установить терминальную сессию по смарт-карте в момент аутентификации происходит "проблема" и она застопоривает процесс терм.сессии.

Когда количество зависших терм.сессии накапливается приличное количество, то сам терм.сервер уходить в "легкий ступор" (т.е. либо превышается количество исп-х лицензий - это возможно, но факта не обнаружено, к тому же лицензии куплено с большим запасом) и при этом активные текущие (ранее установленные сессии по смарт-карте другими пользователями) терм.сессии продолжают работать.

Но приходит момент, когда этот "легкий ступор" переходит в "полный ступор", что даже пара логин/пароль не воспринимается и у клиента отображается сообщение "Клиент группой политики...."

Ответ от Дмитрий Бирин

  • Дмитрий Бирин
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Когда клиент (ПК) пытается установить терминальную сессию по смарт-карте в момент аутентификации происходит "проблема" и она застопоривает процесс терм.сессии.

Под "застопориванием", конкретно в этом моменте, понимается зависание сессии на сервере даже после отключения пользователя или невозможность пользователя залогиниться по смарт-карте?

Уточняю касательно RemoteApp: удаленное подключение к приложениям с клиентов происходит также по смарт-картам?

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Когда клиент (ПК) пытается установить терминальную сессию по смарт-карте в момент аутентификации происходит "проблема" и она застопоривает процесс терм.сессии.

Под "застопориванием", конкретно в этом моменте, понимается зависание сессии на сервере даже после отключения пользователя или невозможность пользователя залогиниться по смарт-карте?

Сессия зависает (в ней видны процессы юзера, но они не сбрасываются через интерфейс). Этому же пользователю при попытке войти по смарт-карте
выдается сообщение "Добро пожаловать...", кот. висит, а если он использует пару логин\пароль, то какое-то время (интервал, около, до 1 часа) еще может установить терм.сессию, а после зависает на сообщении "Клиент группой политики....". Здесь уже зависает окончательно терминальный сервер.

Дмитрий Бирин пишет:

Уточняю касательно RemoteApp: удаленное подключение к приложениям с клиентов происходит также по смарт-картам?

Нет, удаленное приложение не использует какую-либо смарт-карту или программное СКЗИ. Единственное СКЗИ у клиента - это Рутокен используемый только для жесткой аутентификации на терминальном сервере, а на Терм.сервере - это Рутокен и драйвер КриптоПро (самый последний)

Ответ от Дмитрий Бирин

  • Дмитрий Бирин
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Уточняю касательно RemoteApp: удаленное подключение к приложениям с клиентов происходит также по смарт-картам?

Нет, удаленное приложение не использует какую-либо смарт-карту или программное СКЗИ. Единственное СКЗИ у клиента - это Рутокен используемый только для жесткой аутентификации на терминальном сервере, а на Терм.сервере - это Рутокен и драйвер КриптоПро (самый последний)

Здесь, видимо, возникло небольшое недопонимание. При использовании RemoteApp можно залогиниться с клиента как по паролю, так и по смарт-карте, вне зависимости от того, использует удаленное приложение смарт-карту или нет.

На данный момент, к сожалению, проверки на нашем тестовом стенде не привели к похожим на Ваши результатам. Как сессии с использованием RemoteApp, так и простые терминальные сессии успешно устанавливаются при помощи смарт-карт и также успешно закрываются (по логауту, по дисконнекту и таймауту, по ручному сбрасыванию).
Мы продолжим попытки повторить Вашу ситуацию.

и драйвер КриптоПро (самый последний)

Как именно используется Крипто-Про на Вашем терминальном сервере?

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Здесь, видимо, возникло небольшое недопонимание. При использовании RemoteApp можно залогиниться с клиента как по паролю, так и по смарт-карте, вне зависимости от того, использует удаленное приложение смарт-карту или нет.

Да, мы это понимаем, можно и так и этак.
Наше приложение запускаемое через RemoteApp не использует смарт-карту.
Смарт-карта используется только для аутентификации на терм.сервере.


Дмитрий Бирин пишет:

На данный момент, к сожалению, проверки на нашем тестовом стенде не привели к похожим на Ваши результатам. Как сессии с использованием RemoteApp, так и простые терминальные сессии успешно устанавливаются при помощи смарт-карт и также успешно закрываются (по логауту, по дисконнекту и таймауту, по ручному сбрасыванию).
Мы продолжим попытки повторить Вашу ситуацию.

Дмитрий Бирин пишет:

Как именно используется Крипто-Про на Вашем терминальном сервере?

Извиняюсь, перепутал с другим  сервером.
На "проблемном" терм.сервере СКЗИ не установлено, кроме драйверов рутокен.

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Нас очень смущает факт, что при экспериментальном отказе на несколько дней, использования смарт-карты для аутентификации на терм. сервере, проблема не возникала.

Ответ от Дмитрий Бирин

  • Дмитрий Бирин
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Прошу прощения за очень долгий ответ: сезон отпусков и авитаминоза.
Проблема действительно может быть связана непосредственно с использованием логина по смарт-картам. Но процесс логина по смарт-картам отличается от процесса логина по паролю.
К примеру, схожие с Вашей ситуации происходят даже при использовании смарт-карт, нативно поддерживающихся ОС Windows.
http://forums.citrix.com/thread.jspa?th … p;tstart=0.
Там есть пользователи и без Citrix на борту, судя по сообщениям.

Если на клиенте, после начала "легкого ступора" (сессия не устанавливается по смарт-карте и устанавливается по логину/паролю), снова установить сессию по смарт-карте, то она не устанавливается в Вашей ситуации наверняка или с какой-то вероятностью? Эта информация нужна для анализа возможности отладки с нашей стороны на данном клиенте.
Еще вопрос: PIN-код вводится до создания RDP-сессии или после, уже в окне выбора пользователя на терминальном сервере?

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

Дмитрий Бирин пишет:

Если на клиенте, после начала "легкого ступора" (сессия не устанавливается по смарт-карте и устанавливается по логину/паролю), снова установить сессию по смарт-карте, то она не устанавливается в Вашей ситуации наверняка или с какой-то вероятностью? Эта информация нужна для анализа возможности отладки с нашей стороны на данном клиенте.

Сессия не устанавливается по смарт-карте (зависает с окном "Добро пожаловать"), но по логину/паролю входит.

Дмитрий Бирин пишет:

Еще вопрос: PIN-код вводится до создания RDP-сессии или после, уже в окне выбора пользователя на терминальном сервере?

ПИН вводиться до создания сессии, появляется окно с выбором метода аутентификации: через логин/пароль, через смарт-карту. Используется стандартное RDP от MS.

Последний месяц плотно общались с поддержкой от MS, их вывод:

В результатах диагностики никаких ошибок и предупреждений, связанных с работой RDS, не обнаружено. Роль отрабатывает абсолютно корректно, и все проблемы, 
которые были обнаружены в результате предыдущей диагностики, были успешно устранены.

Мы с коллегами склоняемся в сторону возможных проблем с работой самой смарт-карты (обслуживающего ее драйвера). Об этом можно судить как по результатам утилиты 
msdt,  так и по тому факту, что при авторизации по логину\паролю пользователи не испытывают никаких проблем в работе с терминальным сервером. Более того, как Вы 
сообщали мне раннее, в период отказа от смарт-карт проблема себя не проявляла.

К сожалению, продолжить дальнейший анализ ситуации мы не можем, поскольку, как я уже писал Вам ранее, Ru-Token не является разработкой компании Майкрософт, 
и у нас нет необходимых средств и возможностей для детального изучения проблемы со стороны работы смарт-карты.

В связи с этим и учитывая соседнею ветку https://forum.rutoken.ru/topic/1793/page/2/, возможно для нас драйвер? С отладочной информацией с нашего сервера и клиентов будет более продуктивно действовать.

Ответ от Алексей Несененко

  • Алексей Несененко
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

в профиле показывается тот же самый адрес
послал на этот адрес письмо без в ложения - в ответе укажите, пожалуйста, альтернативный адрес

Ответ от boooool

  • boooool
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

в профиле: jabber акаунт - действующая почта

Ответ от Алексей Несененко

  • Алексей Несененко
  • Посетитель
  • Неактивен

Re: Отказ в доступе на терминальный сервер с использованием Rutoken

ушло