8 ответов в этой теме

[BazilWPW]

Добрый день!  В нашей сети  предприятия для выхода во внешние сети используется программный шлюз Forefront TMG (он же ISA Server) от Microsoft.  Соответственно, на всех клиентских машинах под Windows установлен клиент Forefront TMG.  

До недавнего времени в сети частично использовался продукт DrWeb ES версии 6 и частично антивирус другого производителя, очередной срок подписки которого скоро истекает.  На днях мы решили полностью перейти только на DrWeb и заодно обновить ES до версии 10.  

 

Однако при первых же обновлениях клиента до версии 10 а так же при новых инсталляциях  обнаружилось, что Агент версии 10 при добавлении компонентов Spider Gate и/или Spider Mail  конфликтует с ПО Forefront Client.  

Проявляется это как блокировка значительного количества внешних подключений, как минимум протоколов HTTP, RDP, FTP, POP3, разных мессенджеров и т.д. 

Ресурсы же внутри сети при этом доступны, блокируются только все  попытки подключений к внешним ресурсам.   С Агентом версии 6 такого поведения не наблюдалось, независимо от состава подключенных компонентов.

 

Отключение компонентов локально через интерфейс Агента не помогает, только их удаление через консоль Центра  Управления ES.   НО помогает временное отключение клиента  Forefront TMG через меню его  значка в трее.  При отключенном или удаленном клиенте Forefront TMG  все работает нормально, а  при установленном и работающем  - нет.

 

Такое поведение наблюдается независимо от того,  под какой ОС и какой разрядности  работает клиентский компьютер, проверялось на Windows XP, Vista, 7,   как 32 так и 64-разрядных.  

Порядок и очередность установки Агента 10 и клиента Forefront TMG  тоже не влияет, проверяли на нескольких "чистых" машинах.  Во всех случаях  сочетание работающего клиента Forefront TMG и Агента DrWeb c добавленными компонентами Spider Gate и/или Spider Mail ведет к сетевым неполадкам.  

 

Мы предполагаем, что причина проблем в неполадках/конфликтах  на уровне winsock, т.е. модулей LSP  обоих продуктов .   Поиском по форуму обнаружилась ветка с очень похожей проблемой 

http://forum.drweb.com/index.php?showtopic=319245, однако предложенное в ней решение  - удалить Forefront TMG Client, сбросить стек через netsh winsock reset и заново установить Forefront TMG Client - не работает.  LspFix пока  использовать не пробовали.  

 

Стандартный отчет  с одной из машин с установленным компонентом Spider Mail прилагаю.  Запрос также направлен в службу поддержки.

 

Спасибо.  

 P-BAZIL_bazil_110216_175342.zip   6,17Мб   1 Скачано раз

Сообщение было изменено BazilWPW: 11 Февраль 2016 - 18:09

[Konstantin Yudin]

>Мы предполагаем, что причина проблем в неполадках/конфликтах на уровне winsock, т.е. модулей LSP обоих продуктов

предположение не верное. мы не используем LSP провайдеры. проблема нам известна, работаем над ее решением. проблема с авторизацией.

[BazilWPW]

​

 

 

Судя, скажем, вот по таким записям,  разнообразные  проблемы с TMG клиентом тянутся уже далеко не один год ))  
 

https://social.technet.microsoft.com/Forums/ru-RU/07d11013-8c69-4c3f-8341-d21323987d4d/-firewall-client-spider-mail-drweb?forum=isaru

 

http://forum.drweb.com/index.php?showtopic=296569

Причем именно у нас с агентом 6 проблем как раз не было. 

[quote name="Yury Vovk" post="796499"]Как вариант, вы можете добавить в исключения Spider Gate приложения, которые работают не корректно.

Хорошо, можно попробовать, но  как быть,  если установлен только Spider Mail?  Добавить еще и Spider Gate и внести в него исключения?   И есть шанс что заработает? 

Сообщение было изменено BazilWPW: 11 Февраль 2016 - 18:39

[Konstantin Yudin]

Советы вам дали не верные, они не помогут. Если выключите авторизацию то должно заработать, например временно чтобы убедится что это тот случай.

[BazilWPW]

Если выключите авторизацию

Не очень понял, где, как и  какую именно выключить авторизацию? 

[Alexander Chinyakov]

Если выключите авторизацию

Не очень понял, где, как и  какую именно выключить авторизацию? 

 

В TMG в Web Access Policy разрешить подключение всех пользователей, а не только авторизованных.

[ViolatorDM]

Соответственно, на всех клиентских машинах под Windows установлен клиент Forefront TMG.

А зачем на всех? Клиент же нужен только программам, не умеющим ходить через прокси.

[BazilWPW]

Советы вам дали не верные, они не помогут

Как выяснилось, совет добавить приложения в исключения на самом деле помогает, и эти приложения начинают работать.

Только этот совет бесполезный ))  

Смысла нет тогда ставить компоненты, если отключать для них проверку приложений, которые они же и должны проверять.

Если выключите авторизацию то должно заработать, например временно чтобы убедится что это тот случай.

В TMG в Web Access Policy разрешить подключение всех пользователей, а не только авторизованных.

Провели ряд экспериментов, дело не в авторизации.   Тем более, что у нас  принудительная авторизация всех пользователей и так была отключена.  Авторизация требовалась только для некторых правил файрвола и веб-доступа. 

Пробовали отключать  авторизацию полностью, ничего не меняется.  Более того,  сделали и поставили на первое место в списке правил доступа временное  правило, разрешающее абсолютно любой трафик, т.е. доступ всем компьютерам по всем протоколам  во все сети для всех пользователей.  Тоже не помогает.  

 

Все проверки делали в двух сетях,  на каналах  трех разных провайдеров, на двух  экземплярах ISA Server 2004 и одном Forefront TMG 2010. 

Везде поведение одинаковое - на уровне сервера рвутся или блокирутся соединения от клиента к самому серверу.  

 

В логах ISA/TMG  малоинформативные сообщения.  После начальной попытки подключения наружу оно устанавливается,  но потом соединение от клиента к серверу TMG сразу же либо рвется с сообщением: 

A connection was abortively closed after one of the peers sent a RST segment.

и далее:

A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake. 

 

либо блокируется:

 A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. 

 

А заканчивается всё вот так - внешнее соединение разрывается : A connection was terminated because it was idle for more than the timeout period, or the timeout on an uncompleted action expired.

[BazilWPW]

А зачем на всех? Клиент же нужен только программам, не умеющим ходить через прокси.

 

Оно как-то так исторически сложилось, что на все машины изначально  ставится определенный набор софта, включающий и клиента TMG. 

Ну и потом, есть случаи когда прокси надо обойти целенаправленно, ну или да, дать доступ программам, не умеющим работать с прокси.   Так что ставили всем, а дальше так и повелось )) 

Опять же, с авторизацией и отчетами при таком раскладе работать проще и нагляднее.  Все прозрачно и удобно получается.