Proger
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alex_key_71
ingvar1972
Цитата: Есть проблемка с добавлением пользователей, имеющих доступ к хосту или шлюзу Netop.
Есть три сервера: контроллер домена 2003R2, и два 2003R2 просто члены домена. Пытаюсь установить шлюз/хост Нетопа (Version 9.00 - Build 2006348 English) на простой (не КД) сервер, в конце установки выбираю метод виндусовой авторизации (Grant Each Guest Individual Access Privileges Using Windows Security Management) и пытаюсь добавить группы - облом! При нажатии на "Add Group" появляется окно "Select Group", но при вводе вручную или при поиске через Advanced>Find Now выскакивает ошибка: "The following error prevented the display of any items: An operations error occurred". |
На самом деле все просто:
Net Op запускается от имени LOCAL SERVICE.
Соответственно, если он на DC, то у него ессно есть доступ в AD. А вот если он на машине, не являющейся контроллером домена, то прочитать базу AD ему не разрешают!
Лечится тоже довольно просто.
Вообще, есть у него приблуда, называется RunAs, но через нее почему-то не работает (причин пока не выяснял, не хочет запускаться от имени доменного пользователя), поэтому сделал так:
в службах, сделал запуск NetOp Helper Service от имени доменного юзера (специально созданного), имеющего право доступа к AD. Полет нормальный  ))
Видимо, это связано с политикой безопасности, наверно можно и в этом направлении покопать...
Теперь моя проблема.
у меня есть несколько локалок по схеме - 1 комп смотрит в инет, на нем стоит гейтвэй. На машинах в локалке стоят хосты. В кач-ве фаера используется керио винроут, 6 версии.
Косяк:
из инета при подключении по профилю Internet (TCP) и выборе "Browse for hosts" в некоторых сетках хосты видит, а в некоторых - не хочет!!! Видит только сам гейтвей.
Причем - в одной сетке трабл начался после перехода с ISA2004 на керио 6.2.2, хотя есть сетка с той же версией керио, и там все работает, т.е. хосты он показывает.
корреляции с чем-то еще, кроме фаера, не заметил - все настраиваю по одному принципу.
ПРИЧЕМ! если даже он хостов не кажет, можно просто зная имя хоста, забить его в "Connet to specific fost" или после подключения к гейтвею - в имя хоста и ОН ПОДКЛЮЧАЕТСЯ!
кто подскажет в чем косяк? а то в крупных сетках все компы не запомнишь... а юзерам долго объяснять где у них имя компутера записно, да и не всегда оно простое типа comp01, у некоторых по фамилиям, а фамилии бывают разные....
а иногда надо самому подключиться, и не знаешь - включен хост, или нет, или со связью чего... (((
ХЕЛП!
уже полгода решения не найду...
PS версии керио винрута - 6.х.х, на данный момент 6.2.1, 6.2.2, 6.2.3, скоро смогу потестить на 6.3.0. Версии нетопа - 8.0. и. 9.0
PSS вчера попробовал подключиться к хосту через гейт изнутри сети (т.е. винрут должен быть вообще не при чем, там по локалке все разрешено) - та же песня - видим только гейтвэй. ((( Тогда не совсем понятно, почему функция отвалилась при переходе ISA->Kerio, может, просто совпадение, и фаер ни при чем?Хотя больше ничего я тогда не менял... ( |
Всего записей: 152 | Зарегистр. 16-03-2003 | Отправлено: 12:04 22-04-2007 | Исправлено: Proger, 18:59 22-04-2007 |
|
на дрова к детонаторам народ ругается довольно давно 
