ООО "Код Безопасности" vGate-S 4.2

Решение типовых проблем

Последнее обновление: апрель 3, 2019

Содержание

Возможные проблемы и пути их решения

Установка сервера авторизации завершается с ошибкой из-за недостатка прав администратора

Установка сервера авторизации завершается с ошибкой на этапе запуска служб. При попытке запустить службы вручную также фиксируется ошибка.

Решение:

Для установки сервера авторизации необходимы права локального администратора или администратора домена с привилегиями на запуск служб, добавление устройств и управление доменными учетными записями. Предоставьте администратору недостающие права.

Установка компонента защиты vCenter завершается с ошибкой из-за недостатка прав администратора

Решение:

Для установки компонента защиты vCenter необходимы права администратора инфраструктуры VMware vSphere. Предоставьте администратору недостающие права.

Установка модуля защиты ESXi-серверов завершается с ошибкой из-за превышения времени, отведенного на установку компонента

Решение:

В vGate при появлении ошибки по таймауту во время установки модуля защиты ESXi-серверов следует изменить ключ реестра Windows на сервере авторизации. Значение HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Security Code\vGate\EsxAgentDeployTimeout=300. В случае возникновения ошибки, можно увеличить этот параметр.

Отсутствует доступ к серверу авторизации с удаленного рабочего места АИБ

Не запускается консоль управления с удаленного АРМ АИБ. Агент аутентифиции успешно подключается к серверу авторизации, но в консоли управления возникает сообщение об ошибке: "В процессе работы произошла ошибка. Не удалось подключиться к ... Причина: 'Операция успешно завершена'".
Консоль успешно открывается на сервере авторизации.

Проблема может возникать при использовании Антивируса Касперского. Если при установке антивируса выбрана опция отключения встроенного Windows Firewall, то при работе с vGate компьютер АИБ может не принимать ответный трафик от серверов ESXi или vCenter даже при выключенном Антивирусе Касперского.

Аналогичная проблема возможна при использовании DLP-системы Infowatch.

Решение:

Выполните настройку Антивируса Касперского в соответствии с описанием в разделе "Настройка Антивируса Касперского" в документе [3].

При использовании системы Infowatch — внесите серверы vGate в список исключений в настройках Infowatch.

При добавлении доверенного домена не отображается структура Active Directory

При добавлении домена в список доверенных в консоли управления при нажатии кнопки "Обзор" выдается сообщение об ошибке: "Не удалось отобразить структуру Службы Каталогов". При попытке указать данные вручную выдается сообщение об ошибке: "Unknown domain ..."

Решение:

Для выполнения операций с объектами Active Directory администратор должен обладать правами группы Account Operators. Предоставьте администратору недостающие права на проведение операций в домене.

После смены ролей серверов авторизации vGate сервер отклоняет запросы на аутентификацию пользователей Active Directory из доверенных доменов

Решение:

В консоли управления vGate удалите домены, учетные записи из которых не могут получть доступ к серверу авторизации, из списка доверенных, а затем добавьте их снова.

После удаления доверенного домена из списка доверенных и повторном его добавлении, учетные записи компьютеров из этого домена не проходят аутентификацию

Решение:

Необходимо перезагрузить компьютеры из этого домена, на которых установлены компоненты защиты vGate.

В агенте аутентификации vGate не удается выполнить вход с помощью учетной записи Active Directory, имя которой в постфиксной форме записи содержит более 20 символов.

Решение:

Для успешной аутентификации в vGate необходимо указать имя в префиксной форме записи в сокращенном варианте (20 символов).

Например, вместо activedirectoryusername25@AD.TEST.LOC нужно указать A\activedirectoryusern.

Не удается настроить прием соединений от серверов NTP и DNS к защищаемым серверам

Решение:

Настройте ПРД для учетной записи компьютера, на котором развернут сервер NTP или DNS.

Отсутствует доступ Kaspersky Security for Virtualization к vCenter

Во внешней сети располагается компьютер с установленным Kaspersky Security for Virtualization 2.0, для которого создана учетная запись на vCenter, но на которую невозможно установить агент аутентификации (например, если машина не соответствует требованиям к аппартному или программному обеспечению). Трафик от Kaspersky Security for Virtualization не проходит к vCenter и vShield.

Решение:

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Отсутствует доступ Symantec Net Backup к vCenter

При настроенных правилах фильтрации сетевых соединений не установливается соединение Symantec Net Backup c vСenter.

Решение:

В vGate создайте правило для анонимного прохода трафика к защищаемому серверу. Если маршрутизацию трафика выполняет сервер авторизации — настройте правило в консоли управления vGate. При использовании маршрутизатора — настройте на нем соответствующее правило в обход сервера авторизации vGate.

Не запускаются виртуальные машины на ESXi-сервере, на котором установлена ВМ сервера авторизации

Сервер авторизации установлен на виртуальной машине на том же ESXi-сервере, что и другие ВМ. После перезагрузки ESXi-сервера соединение клиента vSphere с ESXi-сервером выполняется успешно, но при попытке запуска любой ВМ возникает сообщение об ошибке (Unknown Error). При удалении компонентов защиты ESXi-сервера виртуальные машины запускаются нормально. Администратор обладает всеми необходимыми правами.

Проблема связана с тем, что ВМ с сервером авторизации vGate может запускаться позже остальных ВМ. В этом случае агенты защиты ESXi не могут прочитать статусы политик в базе конфигурации vGate, и доступ блокируется. Установка сервера авторизации на ВМ на одном ESXi с другими ВМ не рекомендуется. Подробнее см. в разделе "Установка сервера авторизации на ВМ" в документе [2].

При выполнении операций с ВМ возникает ошибка SSL thumbs mismatch

Аутентификация в агенте аутентификации vGate и запуск vSphere Client выполняются успешно, но невозможно выполнить операции с ВМ, например монтирование устройств, или открыть консоль виртуальной машины.

Решение:

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

  1. Развернуть в сети собственный центр сертификации, с помощью которого будут издаваться сертификаты
  2. Перенести сертификаты, как описано ниже.

Если используется vCenter:

  1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Стандартный путь к сертификату — %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или “:\DocumentsandSettings\AllUsers\ApplicationData\VMware\VirtualCenter\SSL”.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
  3. Перезапустить службу vGate VI API ProxyService.

Если vCenter не используется:

  1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.crt и скопировать их.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку “%ProgramFiles%\vGate”.
  3. Перезапустить службу vGate VI API ProxyService.

При попытке открыть консоль ВМ возникает ошибка лицензии

Решение:

По умолчанию VMware ESXi использует самоподписанные сертификаты. Для обхода ошибки SSL, можно выполнить следующее:

Если используется vCenter:

  1. Зайти локально на vCenter и скопировать файлы сертификатов rui.crt и rui.key. Они обычно находятся тут: %ProgramData%\VMware\vCenter\cfg\vmware-rhttpproxy\SSL или "":\Documents and Settings\All Users\Application Data\VMware\VirtualCenter\SSL"".
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку ""%ProgramFiles%\vGate"".
  3. Перезапустить службу vGate VI API Proxy Service.

Если vCenter не используется:

  1. Зайти на ESXi-сервер (например, по SSH утилитой WinSCP) в /etc/vmware/ssl/rui.key и /etc/vmware/ssl/rui.crt и скопировать их.
  2. Зайти локально на сервер авторизации vGate и вставить файлы сертификатов в папку ""%ProgramFiles%\vGate"".
  3. Перезапустить службу vGate VI API Proxy Service".

В агенте аутентификации при авторизации доменным пользователем выдается сообщение об ошибке

В агенте аутентификации при авторизации доменным пользователем выдается сообщение об ошибке. В Active Directory, в OU, в котором были созданы при установке учетные записи vGate, содержатся учетные записи с аналогичными именами.

Решение:

Удалите дубликаты учетных записей из контейнера Active Directory, дождитесь прохождения репликации в Active Directory (либо выполните репликацию принудительно), а затем повторите добавление доверенного домена.

При подключении агента аутентификации возникает ошибка подключения к службе clauth

При подключении агента авторизации выдается ошибка подключения к службе clauth. Перезапуск агента аутентификации на клиентском компьютере не дает результата.

Решение:

Выполните перезапуск службы vGate Client Authentication Service на сервере авторизации vGate.

Учетная запись главного АИБ заблокирована после нескольких попыток ввода неправильного пароля

При этом в консоли управления разблокировать учетную запись нельзя.

Решение:

Чтобы разблокировать учетную запись, нужно из редактора командной строки запустить программу kadmin.local.exe и выполнить команду:

  kadmin.local

  modprinc +allow_tix <имя главного АИБ>

  q

При установке агента vGate на сервер vCenter или сервер vSphere Web Client в консоли управления из-под встроенной учетной записи локального или доменного администратора появляется сообщение об ошибке "Access denied"

Решение:

При установке из-под учетной записи встроенного локального администратора Windows необходимо предварительно отключить на компьютере режим подтверждения администратором ("Admin Approval Mode") в настройках UAC.

При установке из-под учетной записи доменного администратора (входящего в группу "Administrators"), нужно либо отключить режим UAC "Admin Approval Mode", либо добавить администратора в группу "Domain Admins".

В агенте аутентификации на компьютере с ОС Windows Server 2012 R2 не удается выполнить вход при помощи данных текущей сессии Windows (используя учетную запись доменного пользователя)

Если при подключении к vGate на компьютере с ОС Windows Server 2012 R2 в агенте аутентификации выбрать "Данные текущей сессии Windows" (используя учетную запись доменного пользователя), то аутентификация завершается неудачно.

Решение:

Произведите аутентификацию в vGate, указав имя пользователя и пароль текущего доменного пользователя Windows.

Наверх

Документация

  1. Средство защиты информации vGate R2. Руководство администратора. Принципы функционирования.
  2. Средство защиты информации vGate R2. Руководство администратора. Установка, настройка и эксплуатация.
  3. Средство защиты информации vGate R2. Руководство администратора. Быстрый старт.
  4. Средство защиты информации vGate R2. Руководство пользователя. Работа в защищенной среде.

Наверх

Ссылки

Страница продукта в Интернете: http://www.securitycode.ru/products/vgate/

Документация: http://www.securitycode.ru/products/vgate/documentation/

Наверх

Соглашение об авторских правах

© Компания "Код Безопасности", 2019. Все права защищены.


Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании "Код Безопасности" этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании "Код Безопасности".

Наверх