ООО "Код Безопасности" vGate 4.4

Решение типовых проблем

Последнее обновление: август 17, 2020

Общие

Ошибки при установке сервера авторизации и агента аутентификации

• Установка сервера авторизации завершается с ошибкой на этапе запуска служб из-за недостатка прав администратора

Решение:

Для установки сервера авторизации необходимы права локального администратора или администратора домена с привилегиями на запуск служб, добавление устройств и управление доменными учетными записями. Предоставьте администратору недостающие права.

• При установке сервера авторизации vGate были перепутаны IP-адреса внешнего и внутреннего сетевых адаптеров

Решение:

Если при установке сервера авторизации vGate был выбран способ маршрутизации трафика с использованием сервера авторизации, и были перепутаны IP-адреса внешнего и внутреннего сетевых адаптеров, необходимо полностью удалить ПО сервера авторизации vGate без сохранения базы конфигурации, а затем установить снова с правильными значениями.

• Не поддерживается установка агента аутентификации vGate на компьютер, контроллер домена которого является защищаемым сервером или располагается в защищаемом периметре

Решение:

В консоли управления vGate в разделе "Защищаемые серверы" нужно добавить контроллер домена как автономный сервер, а затем создать для него правила для протокола IP-level для анонимных и аутентифицированных пользователей.

Ошибки при запуске vGate

• При подключении агента аутентификации возникает ошибка подключения к службе clauth

Решение:

Выполнить перезапуск службы vGate Client Authentication Service на сервере авторизации vGate.

• Учетная запись главного АИБ заблокирована после нескольких попыток ввода неправильного пароля

Решение:

Если в консоли управления vGate разблокировать учетную запись нельзя, нужно из редактора командной строки запустить программу kadmin.local.exe и выполнить команду:

  kadmin.local

  modprinc +allow_tix <имя главного АИБ>

  q

• После запуска агента аутентификации vGate появляется ошибка "Локальная служба аутентификации недоступна"

Решение:

Такая ошибка может появляться после перезапуска компьютера с установленным на нем агентом аутентификации с включенным автоматическим запуском. В этом случае требуется подождать некоторое время и выполнить аутентификацию в vGate повторно.

• При входе в vGate с использованием учетных данных пользователя Active Directory возникает ошибка "Неправильное имя пользователя или пароль"

Решение:

На компьютере с установленным агентом аутентификации нужно открыть файл конфигурации krb5.ini в папке установки vGate и добавить в секцию [libdefaults] следующую строку:

default_tkt_enctypes = des-cbc-crc des-cbc-md4 des-cbc-md5 des3-cbc-sha1 des3-hmac-sha1 des3-cbc-sha1-kd des-hmac-sha1 arcfour-hmac rc4-hmac arcfour-hmac-md5 arcfour-hmac-exp rc4-hmac-exp arcfour-hmac-md5-exp

• При подключении в агенте аутентификации vGate c опцией "Данные текущей сессии Windows" (с использованием учетной записи доменного пользователя) аутентификация завершается неудачно

Решение:

Запустить агент аутентификации vGate от имени администратора и произвести аутентификацию, указав имя пользователя и пароль.

• В агенте аутентификации не удается выполнить вход с помощью учетной записи Active Directory, имя которой содержит более 20 символов

Решение:

Для успешной аутентификации в vGate необходимо указать имя в префиксной форме записи в сокращенном варианте (20 символов).

Например, вместо activedirectoryusername25@AD.TEST.LOC нужно указать A\activedirectoryusern.

• При подключении в агенте аутентификации vGate c опцией "Данные текущей сессии Windows" появляется ошибка "Невозможно установить соединение с сервером аутентификации"

Описание:

Появление ошибки возможно, если сервер авторизации vGate установлен в режиме, в котором маршрутизацию трафика в сети выполняет отдельный маршрутизатор, и на компьютере сервера авторизации настроено два или более сетевых адаптера.

Решение:

На сервере авторизации запустить программу Netsh и для адаптера, который не используется в конфигурации vGate, указать IP-адрес с ключом skipassource=true.

• В агенте аутентификации при авторизации доменным пользователем выдается сообщение об ошибке

Решение:

В Active Directory, в OU, в котором были созданы при установке учетные записи vGate, содержатся учетные записи с аналогичными именами. Необходимо удалить дубликаты учетных записей из контейнера Active Directory, дождаться прохождения репликации в Active Directory (либо выполнить репликацию принудительно), а затем повторите добавление доверенного домена.

Ошибки при функционировании

• После перезапуска сервера авторизации возникают ошибки при аутентификации учетных записей пользователей

Решение:

Необходимо выполнить перезагрузку компьютеров пользователей.

• Не удается настроить прием соединений от серверов NTP и DNS к защищаемым серверам

Решение:

Настроить ПРД для учетной записи компьютера, на котором развернут сервер NTP или DNS:

• установить vGate Client на серверы DNS и NTP;
• добавить правила для 53 и 123 порта на основном сервере авторизации (IP-адрес интерфейса внутренней сети);
• добавить в качестве автономного сервера интерфейс внешней сети;
• создать правила для портов 53, 123 UDP на всех необходимых серверах внутри защищаемого периметра;
• в графе "Пользователь" в правиле для NTP добавить имя компьютера, на котором развернут NTP-сервер, в формате "имя_машины$@vgate";
• в правиле для NTP необходимо, чтобы и входящий, и исходящий порт были обозначены как "123".
• При добавлении доверенного домена не отображается структура Active Directory

Решение:

При добавлении домена в список доверенных в консоли управления при нажатии кнопки "Обзор" выдается сообщение об ошибке: "Не удалось отобразить структуру Службы Каталогов". При попытке указать данные вручную выдается сообщение об ошибке: "Unknown domain ..."

Для выполнения операций с объектами Active Directory администратор должен обладать правами группы Account Operators. Предоставьте администратору недостающие права на проведение операций в домене.

• После смены ролей серверов авторизации vGate сервер отклоняет запросы на аутентификацию пользователей Active Directory из доверенных доменов

Решение:

В консоли управления vGate удалите домены, учетные записи из которых не могут получить доступ к серверу авторизации, из списка доверенных, а затем добавьте их снова.

• После удаления доверенного домена из списка доверенных и повторном его добавлении, учетные записи компьютеров из этого домена не проходят аутентификацию

Решение:

Необходимо перезагрузить компьютеры из этого домена, на которых установлены компоненты защиты vGate.

• При добавлении доверенных доменов с помощью утилиты clacl.exe на сервере авторизации vGate возникает ошибка

Решение:

На сервере авторизации vGate запустить службу "Вторичный вход в систему" ("Secondary Logon").

• В журнале сервера авторизации vGate не регистрируются сообщения о неудачных попытках аутентификации пользователей Active Directory

Решение:

Для регистрации таких событий требуется настроить на контроллере домена политику "Аудит событий входа в систему" (Audit account logon events). Просмотр событий осуществляется на контроллере домена в аудите.

Защита VMware vSphere

Ошибки при установке компонентов защиты

• При установке компонента защиты vGate на сервер vCenter или vSphere Web Client появляется сообщение об ошибке "Access denied"

Решение:

Чтобы установить компонент защиты vGate на сервер vCenter или сервер vSphere Web Client в консоли управления из-под встроенной учетной записи локального администратора Windows, необходимо предварительно отключить на компьютере режим подтверждения администратором ("Admin Approval Mode") в настройках UAC. В случае если установка производится из-под учетной записи доменного администратора (входящего в группу "Administrators"), то нужно либо отключить режим UAC "Admin Approval Mode", либо добавить администратора в группу "Domain Admins".

• Установка компонента защиты vCenter завершается с ошибкой из-за недостатка прав администратора

Решение:

Для установки компонента защиты vCenter необходимы права администратора инфраструктуры VMware vSphere. Предоставьте администратору недостающие права.

• Установка модуля защиты ESXi-серверов завершается с ошибкой из-за превышения времени, отведенного на установку компонента

Решение:

В vGate при появлении ошибки по таймауту во время установки модуля защиты ESXi-серверов следует изменить ключ реестра Windows на сервере авторизации. Значение HKEY_LOCAL_MACHINE\SOFTWARE\Security Code\vGate\EsxAgentDeployTimeout=300. В случае возникновения ошибки, можно увеличить этот параметр.

• При установке агента vGate на сервер vCenter или сервер vSphere Web Client в консоли управления из-под встроенной учетной записи локального или доменного администратора появляется сообщение об ошибке "Access denied"

Решение:

Для установки компонента защиты vCenter необходимы права администратора инфраструктуры VMware vSphere. Предоставьте администратору недостающие права.

Ошибки при работе с антивирусами

• Отсутствует доступ Kaspersky Security for Virtualization к vCenter

Решение:

Во внешней сети располагается компьютер с установленным Kaspersky Security for Virtualization 2.0, для которого создана учетная запись на vCenter, но на который невозможно установить агент аутентификации (например, если компьютер не соответствует требованиям к аппаратному или программному обеспечению). Трафик от Kaspersky Security for Virtualization не проходит к vCenter и vShield.

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Ошибки при работе со средствами резервного копирования

• Отсутствует доступ Symantec Net Backup к vCenter

Решение:

При настроенных правилах фильтрации сетевых соединений не устанавливается соединение Symantec Net Backup c vСenter.

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Ошибки при функционировании

• Отсутствует доступ к серверу авторизации с удаленного рабочего места АИБ

Решение:

Не запускается консоль управления с удаленного АРМ АИБ. Агент аутентификации успешно подключается к серверу авторизации, но в консоли управления возникает сообщение об ошибке: "В процессе работы произошла ошибка. Не удалось подключиться к ... Причина: 'Операция успешно завершена'".Консоль успешно открывается на сервере авторизации.

Проблема может возникать при использовании Антивируса Касперского. Если при установке антивируса выбрана опция отключения встроенного Windows Firewall, то при работе с vGate компьютер АИБ может не принимать ответный трафик от серверов ESXi или vCenter даже при выключенном Антивирусе Касперского.

Аналогичная проблема возможна при использовании DLP-системы Infowatch.

• Не запускаются виртуальные машины на ESXi-сервере, на котором установлена ВМ сервера авторизации

Решение:

Сервер авторизации установлен на виртуальной машине на том же ESXi-сервере, что и другие ВМ. После перезагрузки ESXi-сервера соединение клиента vSphere с ESXi-сервером выполняется успешно, но при попытке запуска любой ВМ возникает сообщение об ошибке (Unknown Error). При удалении компонентов защиты ESXi-сервера виртуальные машины запускаются нормально. Администратор обладает всеми необходимыми правами.

Проблема связана с тем, что ВМ с сервером авторизации vGate может запускаться позже остальных ВМ. В этом случае агенты защиты ESXi не могут прочитать статусы политик в базе конфигурации vGate, и доступ блокируется. Установка сервера авторизации на ВМ на одном ESXi с другими ВМ не рекомендуется. Подробнее см. в разделе "Установка сервера авторизации на ВМ" в документе [2].

• При выполнении операций с ВМ возникает ошибка SSL thumbs mismatch

Решение:

Аутентификация в агенте аутентификации vGate и запуск vSphere Client выполняются успешно, но невозможно выполнить операции с ВМ, например монтирование устройств, или открыть консоль виртуальной машины.

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

1. Развернуть в сети собственный центр сертификации, с помощью которого будут издаваться сертификаты
2. Перенести сертификаты, как описано ниже.

Если используется vCenter:

1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Стандартный путь к сертификату — %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или “:\DocumentsandSettings\AllUsers\ApplicationData\VMware\VirtualCenter\SSL”.
2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
3. Перезапустить службу vGate VI API ProxyService.

Если vCenter не используется:

1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.cr и скопировать их.
2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
3. Перезапустить службу vGate VI API ProxyService.
• При попытке открыть консоль ВМ возникает ошибка лицензии

Решение:

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

Если используется vCenter:

1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Они обычно находятся тут: %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или "":\Documents and Settings\All Users\Application Data\VMware\VirtualCenter\SSL"".
2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку ""%ProgramFiles%\vGate"".
3. Перезапустить службу vGate VI API Proxy Service.

Если vCenter не используется:

1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.cr и скопировать их.
2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку ""%ProgramFiles%\vGate"".
3. Перезапустить службу vGate VI API Proxy Service".
• Подсети ESXi-серверов отсутствуют в списке защищаемых подсетей, в случае если маршрутизацию трафика в сети выполняет сервер авторизации vGate

Решение:

Необходимо добавить подсети в список защищаемых (см. раздел "Добавление защищаемых подсетей" в документе "Руководство администратора. Установка, настройка и эксплуатация.").

• Если на vCenter установлен компонент защиты, то при попытке запуска консоли управления на резервном сервере авторизации появляются ошибки о невозможности соединения с сервером и получения информации об установленных компонентах

Решение:

Необходимо с помощью утилиты drvmgr.exe настроить правило доступа для компонента защиты vCenter следующего вида:

drvmgr.exe A TCP YYY.YYY.YYY.YYY PPPP 4

Где YYY.YYY.YYY.YYY - IP-адрес резервного сервера авторизации в защищаемом периметре, PPPP - порт vCenter (по умолчанию 443).

• При использовании резервирования после установки компонента защиты vCenter с опцией контроля сетевых подключений его статус не отображается в консоли управления на резервном сервере авторизации

Решение:

Для отображения статуса в консоли управления основного сервера необходимо добавить правило фильтрации сетевых подключений для IP-адреса резервного сервера.

• При включенном контроле целостности файлов гостевых ОС виртуальных машин генерируются множественные ошибки "FATAL: sorry, too many clients already"

Описание:

При включенном контроле целостности файлов гостевых ОС виртуальных машин в журнале событий сервера авторизации генерируются множественные ошибки типа "При проверке целостности виртуальной машины произошла ошибка: FATAL: sorry, too many clients already".

Решение:

Необходимо увеличить значение параметра "max_connections" в файле конфигурации C:\Program Files\PostgreSQL\9.4\data\postgresql.conf.

• После изменения сетевой конфигурации ESXi-сервера не регистрируются события, связанные с производимыми в разделе конфигурации Networking действиями

Описание:

После изменения сетевой конфигурации ESXi-сервера (добавление/удаление сетевых адаптеров) могут не регистрироваться события, связанные с производимыми в разделе конфигурации Networking действиями.

Решение:

Рекомендуется перезагрузить сервер авторизации.

Защита Microsoft Hyper-V

Ошибки при установке компонентов защиты

• После установки или удаления компонента защиты соединений сервера Hyper-V передача данных по протоколу SMB работает некорректно

Решение:

Для восстановления работоспособности нужно выполнить перезагрузку сервера Hyper-V.

• При установке компонента защиты Hyper-V в режиме изменения компонентов происходит удаление доверенных доменов на данном сервере авторизации

Решение:

Необходимо повторно добавить удаленные домены в список доверенных.

Ошибки при функционировании

• Невозможно добавить сервер Hyper-V в список защищаемых серверов

Описание:

Если на сервере Hyper-V включено управление доступом на уровне пользователей (User Access Control), то в консоли управления vGate невозможно добавить данный сервер Hyper-V в список защищаемых серверов при использовании данных учетной записи локального администратора.

Решение:

Для соединения с сервером Hyper-V с использованием учетной записи локального администратора этого сервера необходимо настроить на сервере Hyper-V ключ реестра Windows "EnableLinkedConnections":

1. В редакторе реестра Windows выбрать ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
2. Создать новый параметр DWORD. Для этого открыть контекстное меню выбранной ветки и нажать "Создать -> Параметр DWORD (32 бита)".
3. Задать для нового параметра имя "EnableLinkedConnections".
4. Открыть диалог изменения созданного параметра. Для этого открыть контекстное меню параметра и нажать "Изменить".
5. В диалоге изменения параметра, в поле "Значение", указать значение "1" и нажать "ОК".
6. Закрыть редактор реестра и выполнить перезагрузку системы.
• Ошибки при выполнении миграции и репликации виртуальных машин Hyper-V

Описание:

При выполнении миграции и репликации виртуальных машин Hyper-V на рабочем месте АИБ может появляться сообщение "Недостаточно прав для завершения операции...". При этом на сервере авторизации может появляться сообщение аудита "Не удалось найти целевой Hyper-V сервер в списке защищаемых серверов", а в лог-файле службы HvRhuid могут появляться ошибки следующего вида:

target by addresses ('172.28.81.6', 'HSERVER3') - not found.

Failed find hv server in database by '172.28.81.6, hserver3' (error: 'can't resolve').

Решение:

В настройках контроллера домена для всех защищаемых подсетей необходимо настроить зоны обратного просмотра DNS (DNS Reverse Lookup Zone), чтобы обеспечить возможность преобразования IP-адресов защищаемых серверов Hyper-V в доменные имена. Для этого необходимо выполнить следующие действия:

1. Открыть "Диспетчер DNS" (DNS Manager): "Панель управления | Администрирование | DNS" (Control Panel | Administrative Tools | DNS).
2. На панели навигации выбрать пункт "Зоны обратного просмотра" (Reverse Lookup Zones), вызвать его контекстное меню и выбрать пункт меню "Создать новую зону..." (New Zone...).
3. Выполнить шаги "Мастера создания новой зоны" (New Zone Wizard). При наличии нескольких защищаемых подсетей повторить данное действие для каждой подсети.
4. Выполнить перезагрузку серверов Hyper-V либо завершить настройку вручную:
1. На панели навигации "Диспетчера DNS" выбрать пункт "Зоны прямого просмотра" (Forward Lookup Zones).
2. В списке узлов зоны прямого просмотра выбрать зону домена, в котором находятся защищаемые серверы Hyper-V.
3. Открыть диалог свойств записи Host(A) нужного сервера Hyper-V, установить флажок "Обновить соответствующую PTR-запись" (Update associated pointer (PTR) record) и нажать "ОК".
5. Проверить, что в настройках зоны обратного просмотра присутствуют записи Pointer (PTR) для всех серверов Hyper-V.
• Информация о защищаемом сервере Hyper-V в консоли управления vGate отображается некорректно

Решение:

Необходимо убедиться, что данный сервер виртуализации зарегистрирован в DNS, или открыть на нем порт для преобразования NetBIOS-имен (UDP-порт 137).

• На сетевых адаптерах, в свойствах которых отмечен протокол "Hyper-V Extensible Virtual Switch", не работает NDIS-драйвер

Решение:

После установки vGate отключить драйвер vGate NDIS 6.0 в сетевых настройках адаптеров, у которых отмечен протокол "Hyper-V Extensible Virtual Switch".

Наверх

Документация

1. Средство защиты информации vGate R2. Руководство администратора. Принципы функционирования.
2. Средство защиты информации vGate R2. Руководство администратора. Установка, настройка и эксплуатация.
3. Средство защиты информации vGate R2. Руководство администратора. Быстрый старт.
4. Средство защиты информации vGate R2. Руководство пользователя. Работа в защищенной среде.

Наверх

Ссылки

Страница продукта в Интернете: http://www.securitycode.ru/products/vgate/

Документация: http://www.securitycode.ru/products/vgate/documentation/

Наверх

Соглашение об авторских правах

© Компания "Код Безопасности", 2020. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании "Код Безопасности" этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании "Код Безопасности".

Наверх