none
Acesso a RDP ou VPN exibe o erro The action cannot be performed because the session is not authenticated. RRS feed

  • Discussão Geral

  • Amigos,

    estou tirando o acesso anonimo aqui na empresa e tenho me deparado com um grande problema.

    Ao remover o "All users", eu não consigo de forma alguma me conectar na VPN ou no RDP. Ele sempre me retorna o erro: The action cannot be performed because the session is not authenticated, mesmo tendo escolhido a opção de autenticação "Integrated".

    Depois de muita busca vi que a única (?) forma de autenticação onde realmente aparece nos logs o server\user é instalando o client do TMG.

    Pois bem, instalei-o, criei o wpad, configureio-o tanto no DHCP quanto no DNS e configurei-o na minha máquina.

    Acesso praticamente tudo e até que enfim no log, meu acesso aparece no formato server\user. Mas existe muita coisa, inclusive RDP e VPN que ainda exibe o erro The action cannot be performed because the session is not authenticated.

    Alguém pode por favor me ajudar???

    Att

    Akira


    RDP
    quarta-feira, 21 de março de 2012 05:53

Todas as Respostas

  • Gostaria de entender um pouco mais seu cenário. No meu entendimento você possui clientes que estão na rede Interna fazendo acessos externos através do TMG 2010.
    Você instalou o cliente do TMG e seu log passou a reportar o usuario corretamente no log.

    Não entendi direito se mesmo após você instalar o cliente TMG se os errors de acesso a VPN e RDP continuam ou se apenas o log apresenta o erro ou ambos:
    The action cannot be performed because the session is not authenticated

    Outros questionamentos:

    • Você poderia colocar mais detalhes a regra (access rule) em questão?
    • Qual o a topologia do seu TMG 2010 (Edge - Duas Placas de rede, Single NIC - Apenas um placa de rede)?
    • Onde você configurou esta opção de Integrated?

    Att.

    Daniel Mauser.

    quarta-feira, 21 de março de 2012 15:19
  • Caro Daniel,

    isso mesmo. Eu gostaria mesmo é de continuar a usar o TMG sem ter que instalar o client, mas não sei o porque os usuários só batem como anonymous access.

    Decidimos então colocar o client, porem continuamos a ter problemas de autenticação.

    Acessoamos vários servidores via VPN e RDP, porém muitas vezes (na maioria) ele dá o erro, o que prova que não estamos conseguindo autenticar correto???

    Obrigado pela ajuda


    quarta-feira, 21 de março de 2012 18:30
  • Daniel, desculpe, deixa eu detalhar melhor meu cenário:

    Configuramos o TMG como EDGE dessa forma:

    Modem c/ virtua > Roteador com IP Fixo 192.168.0.1

    Interface de rede externa com IP fixo 192.168.100.100

    Interface de rede interna com IP Fixo 192.168.100.100

    Escolhi o modo de autenticação Integrated no webproxyCrie um grupo chamado VPN users e apontei para ele no Wizard de configuração do VPN access.

    Criei uma regra chamada VPN out que: Usa o protocolo PPTP, PPTP Server, IKE e IKE Server, de rede interna para externa e anywhere para todos usuários autenticados.

    Dessa forma não consigo conectar de forma alguma, apenas quando adiciono All users,

    Mudei as redes diversas vezes, todas as combinações possíveis de entrada para saída... cheguei a escolher de todas redes para anywhere e todas redes... internamente vai bem, mas pra fora (no caso do RDP que é uma regra parecida)

    Foi então que vi nos logs The action cannot be performed because the session is not authenticated e percebi que não estávamos conseguindo nos autenticar.

    quarta-feira, 21 de março de 2012 18:43
  • Obrigado pelo detalhamento.

    Acho que temos um pequena correção acima. No caso da interface de rede externa esta deveria está com 192.168.0.100 (em vez de 192.168.100.100 que é o mesmo da rede interna, correto?).

    Vamos tratar RDP e VPN de maneira distintas, pois apesar dos dois estarem apresentando, teoricamente, o mesmo problema a relação dele são totalmente distintos na forma de trabalhar.

    Primeiramente, mesmo com o Firewall Client as conexões VPN de dentro para fora não vão funcionar de forma autenticada, uma vez que o Firewall Client apenas intercepta tráfego UDP e TCP mas não intercepta trafego IP como GRE (IP 47) usando no PPTP e IPSec (IP 50 e IP 51) usando no IKE e L2TP. Neste cenário não podemos usar o Firewall client mas um outro conceito chamado SecureNAT onde servidor TMG funciona como o Gateway padrão das maquinas internas.
    A única forma da VPN funcionar é ter certeza que o cliente utiliza VPN na rede interna utiliza o TMG como default gateway. Vamos supor que seu cliente VPN na rede interna tenha o seguinte IP (192.168.100.150) teriamos o seguinte :

              
    Cliente | IP  192.168.100.150 --------------------------> IP Interno: 192.168.100.100| TMG | IP Externo: 192.168.0.100 --------> Roteador  -----------> Internet
                 Mask: 255.255.255.0                                              Mask: 255.255.255.0                        Mask: 255.255.255.0  
                 Gateway: 192.168.100.100 (IP TMG)                   Gateway: Em Branco                        Gateway: 192.168.0.1 (IP Roteador)

    Na regra de VPN você realmente vai ter que deixar all Users (Sem autenticação) para a VPN funcionar corretamente. Neste caso a restrição que pode ser feita na regra (Access Rule) é o IP ou IPs internos que pode utilizar esta regra. Assim, por exemplo, você pode na Tab From: em vez de ter Interna, você colocaria um objeto de Computador com o IP de origem que pode utilizar a regra. Acima, por exemplo você pode colocar na regra de VPN que apenas a maquina com IP interno 192.169.100.150 (From da Access Rule) pode iniciar VPN para rede externa.

    Quanto a regra do RDP não seria o mesmo cenário acima, uma vez que o protocolo utilizado é RDP (TCP 3389 outbound). Neste caso eu recomendaria que você colocasse a regra de RDP acima da regra de VPN (move up) e verificar se isso faz alguma diferença. Neste caso apenas com o Firewall Client você poderia com sucesso fazer a conexão autenticada sem problemas.

    Att.

    Daniel Mauser.


    sexta-feira, 23 de março de 2012 16:03
  • Caro Daniel,

    desculpe-me a demora...

    Bem, eu digitei errado. O IP da interface externa é 192.168.0.100 mesmo... também estou usando o TMG como Default Gateway...

    Essa semana faço os testes internos e lhe dou uma resposta.

    Obrigado

    Akira

    segunda-feira, 2 de abril de 2012 18:18
  • Olá Akira,

    Estive algumas semanas indisponivel mas estou de volta. :-)
    Alguma novidade sobre os testes?

    Att.

    Daniel Mauser.

    quinta-feira, 19 de abril de 2012 17:36