none
TMG 2010 - chyba v mapování skupin z AD

    Dotaz

  • Ahoj všem,

     

    mám problém při mapování skupin z AD. V Logu mám nějaké WinLogon chyby, Event ID 6000, Event ID 6006 -> jedná se o latence přihlašování, nebot samotné přihlášení po restartu serveru trvá řádově několik minut, čili jak píše event log 254s.

    Po restartu a následném přihlášení na které čekám několik minut vždy musím vyresetovat TMG služby, případně i Route and remote access, jinak se na server nedostanu skrze RDP

    Také po restartu mi vypadnou AD groupy ve VPNce, a místo nich mně tam naskáčou zanaky a čísla a celková editace má značnou prodlevu.

     

    Na AD jsem si nainstaloval klienta, nicméně ten má problém s automatickou conectivitou do TMG, musím jí zadat vždy ručně a tento krok stejně nezabral, protože se mi VPN skupiny nemapují správně

     

    Na server jsem pro vyřešení většinu problémů musel nainstalovat TMG SP1 a TMG SP2 updaty, jinak se server choval divně

     

    Všem moc děkuji za radu

     

    S pozdravem

    Tomas

     



    sobota 5. listopadu 2011 14:48

Odpovědi

  • Nastaveni portu muzete udelat take pres prikazovy radek tsconfig.msc a ve vlastnostech spojeni nastavit port, ktery posloucha. To je ale pro pripad, kdy se na TMG nebo ISA Server pripojujete protokolem RDP. Jinak se vnitrni servery "publikuji" pro pristup z externich pocitacu pravidlem jako "Non-web Server Publishing Rule" (nekdy nazyvana funkcionalita jako port forwarding).

    V registry jsou moznosti menit zavislosti sluzeb na jinych sluzbach (dependencies), ale byl bych opatrny pri takovych pokusech. Je take mozne nastavit sluzby na manualni start a pak je startovat skriptem. Ma to ale tu nevyhodu, ze kdyz skript "nezabere" mate server nechraneny.

    neděle 6. listopadu 2011 15:04
    Moderátor

Všechny reakce

  • 1. TMG je v domene? Pro jistotu se ptam.

    2. The user mapping feature is required only when you create a group-based firewall policy. To build a user-based policy, you can define user sets with RADIUS namespaces, instead.

    3. Jak je to s autentizaci uzivatelu?

    4. Vic najdete zde

    http://technet.microsoft.com/en-us/library/dd441031.aspx

    sobota 5. listopadu 2011 15:50
    Moderátor
  • Dobrý den pane Puchta,

    1. ano, server je v doméně. Doménu jsem přidával za pomocí wizardu, včetně DNS suffixu

    2. skupiny jsou vytvořené v Active Directory

    3. autentizace, pokud myslíte pro VPN Policy -> Tak využívám MS-CHAPv2 a EAP, ještě mám nastavený Pre Shared key pro L2TP/IPsec spojení

    - RADIUS vůbec nevyužívám, mám funkci vyplou, pouze jsem u VPN přidal do Specify Windows User -> Group -> Skupinu pro VPN uživatele -> ovšem po restartu serveru se mi to rozbilo a ve skupině se místo jména, objevily znaky a čísla. Také start serveru je zoufale pomalý a táhne se to právě při načítání uživatelského nastavení

     

    4. jj využil jsem nastavení doménové skupiny - viz. Configuring domain groups for remote access

    problém vypadá následovně, viz. snapshot

     

     




    sobota 5. listopadu 2011 16:07
  • sobota 5. listopadu 2011 18:25
  • fakt trapný a jdu se v pondělí do gopasu na tenhle router certifikovat :-))

    odpojil jsem TMG z domény a připojil a bylo vše v cajku. Co mi ovšem hlava nebere, proč vždycky po restartu vypadne vzdálená plocha na TMG? Asi 3x jsem restartoval sužbu a pak naskočila, takhle to vypadá, že služba sice fyzicky běží, ale má po restartu serveru zpoždění

     


    sobota 5. listopadu 2011 21:22
  • Tak vzdálená plocha je také vyřešena, pro všechny kdo s tím budou mít problémy, tak najdou  řešení zde:

    http://social.technet.microsoft.com/Forums/da-DK/Forefrontedgegeneral/thread/ef37e149-27ce-4da9-8739-cc58fdba46dc

    mně pomohlo toto Remote Desktop Session Host -> RDP-Tcp -> Network adapter -> určitě pouze Internal NIC pro připojení k relaci

     

    sobota 5. listopadu 2011 21:45
  • Nastaveni portu muzete udelat take pres prikazovy radek tsconfig.msc a ve vlastnostech spojeni nastavit port, ktery posloucha. To je ale pro pripad, kdy se na TMG nebo ISA Server pripojujete protokolem RDP. Jinak se vnitrni servery "publikuji" pro pristup z externich pocitacu pravidlem jako "Non-web Server Publishing Rule" (nekdy nazyvana funkcionalita jako port forwarding).

    V registry jsou moznosti menit zavislosti sluzeb na jinych sluzbach (dependencies), ale byl bych opatrny pri takovych pokusech. Je take mozne nastavit sluzby na manualni start a pak je startovat skriptem. Ma to ale tu nevyhodu, ze kdyz skript "nezabere" mate server nechraneny.

    neděle 6. listopadu 2011 15:04
    Moderátor
  • Teď asi moc nerozumím, Non-web Server Publishing Rule mám použito k vypublikování terminálového serveru do internetu. Čili z internetu se dostanu na terminálový serveru. Co se vnitřní sítě týče, tak jsem pro port forwarding použil Access Rule. Udělal jsem to špatně?

    Co se Non-web Server Publishing Rule publish rule týče, tak TMG by se mi do internetu moc dávat nechtělo, z toho by mohl být problém

    jj tsconfig.msc jsem právě použil a to klaplo

    neděle 6. listopadu 2011 18:21