Перейти к содержимому


Фото
- - - - -

Ошибка синхронизации с Active Directory


  • Please log in to reply
29 ответов в этой теме

#1 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 10:47

Включил машинку с сервером ES 13.00.1 (12-01-2024) в домен, пробую настроить синхронизацию с AD

В задании планировщика пробовал задавать имя контроллера домена в формате dc.mydomain.local с пустым логином-паролем, пробовал не задавать имя контроллера домена. Судя по документации - это не обязательно для сервера ES на Windows

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

 

Однако в журнале выполнения заданий - оба раза ошибка "произошла ошибка синхронизации с Active Directory"

 

Есть ли с этой задачей известные проблемы, и как получить более подробный лог неудачной синхронизации



#2 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 10:55

Если в любой непонятной ситуации смотреть в drwcsd.log, видно код ошибки:

 

20240515.125301.37 wrn [01492 0ed4] wwr:7  [Srv/ADS] Unable to open of LDAP://DC=domain,DC=ru because of произошла ошибка операции (code=2147950624)
20240515.125301.37 inf [01492 0600] log:1  [Logger] Last message repeated once
20240515.125301.37 ERR [01492 0ed4] wwr:7  [Srv/Scheduler] Job "Synchronize groups with Microsoft Active Directory" (00.015) failed because of Synchronization error 31 occured

 

Документирована ли ошибка 31?



#3 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 11:03

2147950624=0x80072020, соответствует LDAP_OPERATIONS_ERROR, т.е. ошибка операции, как и пишет сервер в логе



#4 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 399 Сообщений:

Отправлено 15 Май 2024 - 11:35

Добрый день.

domain.ru --- это реальный ваш домен, используемый в ADS, или замена для паблика?


(exit 0)

#5 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 940 Сообщений:

Отправлено 15 Май 2024 - 11:42

Думается, подробности если где-то и есть, то в журналах самой винды. Более вероятно даже на контроллере домена.

Можно ради интереса таки указать какого-либо существующего пользователя и пароль.


Семь раз отрежь – один раз проверь

#6 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 11:45

Добрый день.

domain.ru --- это реальный ваш домен, используемый в ADS, или замена для паблика?

domain - замена, ru реальный суффикс



#7 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 11:50

Можно ради интереса таки указать какого-либо существующего пользователя и пароль.

Спасибо за наводку - имя контроллера домена оставил пустым, и указал логин и пароль пользователя без админских прав в домене. После этого задача синхронизации отработала



#8 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 11:52

Остается понять, почему документация утверждает обратное:

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

 

 

Для Серверов Dr.Web под ОС Windows настройки не обязательны. В качестве регистрационных данных по умолчанию используются данные пользователя, от имени которого запущен процесс Сервера Dr.Web (как правило LocalSystem).

Для Серверов Dr.Web под ОС семейства UNIX настройки должны быть обязательно заданы.

 

 

И вот этот момент с шифрованием подключения к контроллеру домена - явно копи-паста про почтовик, а не про LDAP:

 

В выпадающем списке Защита соединения выберите тип шифрованного обмена данными:

STARTTLS — переключение на защищенное соединение осуществляется через команду STARTTLS. По умолчанию для соединения предусматривается использование 25 порта.

SSL/TLS — открыть отдельное защищенное шифрованное соединение. По умолчанию для соединения предусматривается использование 465 порта.

Нет — не использовать шифрование. Обмен данными будет происходить по незащищенному соединению.



#9 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 12:23

Синхронизацией с AD озадачился, чтобы в веб-фильтре задать особые правила для некоторых групп

 

Список доменных групп в настройках веб-фильтра теперь появился. Сделал правило - для всех запрет категории Социальные сети, а для группы Администраторы домена - без ограничений. После этого зашел на машину администратором домена - но соцсети для него по-прежнему блокируются.

 

Работает ли описанный мною сценарий?



#10 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 12:35

Опытным путем вижу, что есть учетной записи пользователя создать особые настройки - это работает.

А если такие же настройки применить к группе - конкретно Администраторы домена - то нет.



#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 940 Сообщений:

Отправлено 15 Май 2024 - 12:55

Остается понять, почему документация утверждает обратное:

https://cdn-download.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/index.html?server_schedule.htm

Возможно, есть какие-то условия, когда с тем контекстом, в котором работает служба сервера, либо можно, либо нельзя проходить авторизацию на контроллере домена.

 

И вот этот момент с шифрованием подключения к контроллеру домена - явно копи-паста про почтовик, а не про LDAP:

Нет, не копипаста, LDAP это всё тоже умеет, только по моим наблюдениям, этим мало кто пользуется.


Семь раз отрежь – один раз проверь

#12 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 940 Сообщений:

Отправлено 15 Май 2024 - 13:00

Опытным путем вижу, что есть учетной записи пользователя создать особые настройки - это работает.

А если такие же настройки применить к группе - конкретно Администраторы домена - то нет.

В "Офисном контроле" поюзерные настройки сделаны, скажем так, топорно. В отличие от "Контроля приложений", где оно сделано уже поинтереснее.

Внутри настроек для станций и групп станций можно указать какие-то отдельные ограничения для пользователей и групп пользователей.

Но вот если что-то выбирать внутри иерархии AD, то настроить удастся либо сами станции, либо контейнеры/OU, в которые эти станции входят. И то при условии, что эти контейнеры/OU назначаются первичными группами для станций.


Семь раз отрежь – один раз проверь

#13 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 13:11

Удобства - да, маловато. Плоский список всех доменных групп и пользователей без возможности фильтрации.

Если для кого-то заданы настройки - меняется иконка, но в большом списке ее глазками искать не удобно.

 

И непонятно, почему для учетных записей пользователя срабатывают особые настройки, а для групп - нет



#14 Irina Nikolaevna

Irina Nikolaevna

    Member

  • Dr.Web Staff
  • 100 Сообщений:

Отправлено 15 Май 2024 - 14:30

> Для пользователей, не имеющих персональных настроек и состоящих в одной или нескольких группах, объединяются все настройки для групп и общие настройки с приоритетом запрета.

Вот такое у нас есть в доке.

 

На Ваших примерах: считаем, что у станции для Офисного контроля нет персональных настроек. Теперь для Всех блокируем Социальные сети, для группы пользователей Администраторы - без ограничений. Суммируем настройки в сторону ужесточения и получается, что у Администратора заблокируются соц. сети. Если зайти в групповые настройки и для Администратора заблокировать Вакансии, то Администратор не сможет попасть на сайты вакансий, но сможет попасть в соц. сети.



#15 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 14:54

Настройки для нескольких групп AD я пока не применял, индивидуальных настроек для станции тоже нет

 

Было 2 набора настроек:

1 Для everyone запрещены соцсети, для доменной группы  Администраторы домена веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора домена доступа к соцсетям нет.

2 Для everyone запрещены соцсети, для доменной учетки админа веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора доступа к соцсетям есть. Так что не похоже, что тут дело в ужесточении



#16 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 15 Май 2024 - 20:24

Смог увидеть эффект суммирования на другом примере:

- для everyone запрещаю соц. сети

- для группы AD Администраторы домена - запрещаю анонимайзеры

В результате администратор домена получает запрет по обоим категориям.

Итоговые запреты можно увидеть в локальном интерфейсе в настройках офисного контроля для нужной учетки пользователя



#17 Irina Nikolaevna

Irina Nikolaevna

    Member

  • Dr.Web Staff
  • 100 Сообщений:

Отправлено 16 Май 2024 - 10:44

> Было 2 набора настроек:
> 1 Для everyone запрещены соцсети, для доменной группы  Администраторы домена веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора домена доступа к соцсетям нет.
Настройки Everyone соц.сети (блок) + настройки доменной группы Администраторы домена (без ограничений) = у Администратора домена соц. сети блокируются, поскольку групповые настройки суммируются в сторону ужесточения.

> 2 Для everyone запрещены соцсети, для доменной учетки админа веб-фильтр= без ограничений. т.е. ничего не блокирует. В итоге у администратора доступа к соцсетям есть. Так что не похоже, что тут дело в ужесточении
В этом случае у Администратора появляются персональные настройки, групповые настройки на него не работают.

Сообщите, пожалста, какую задачу решаете, составим условие, с учетом текущей реализации.



#18 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 16 Май 2024 - 13:44

Задача простая - запрет по умолчанию соцсетей для everyone, и разрешение для конкретной группы.

Сейчас, как понимаю, можно только наоборот сделать - разрешено для всех, и запрет для конкретной группы



#19 Irina Nikolaevna

Irina Nikolaevna

    Member

  • Dr.Web Staff
  • 100 Сообщений:

Отправлено 20 Май 2024 - 15:55

Да, текущая реализация такова, что красиво и удобно сделать нельзя, пока могу предложить такой вариант: создать группу, в которую поместить станции (группа должна быть первичной для станций), в которых хочется что-то разрешить. Далее уже для Everyone заблокировать соц. сети.



#20 katbert

katbert

    Member

  • Posters
  • 211 Сообщений:

Отправлено 21 Май 2024 - 09:38

Тогда мы вовсе откатимся назад, когда была избирательность только на уровне компьютеров. Пока буду иметь в виду особенности использования доменных групп в веб-контроле




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых