В этой заметке собраны моменты, с которыми я столкнулся при установке и развёртывании Traffic Inspector версии 3.0.2.923 rev.5 x64 на Windows Server 2022 и 2019.

При чистой установке Traffic Inspector сейчас¹⁾ есть проблема – инсталлятор напрочь зависает на стадии «Установка необходимых компонентов»!

Вероятнее всего, это связано с тем, что на ресурсе https://files.smart-soft.ru/, откуда происходит загрузка дистрибутива и дополнительных компонентов, уже 15 дней²⁾ как истек срок действия сертификата Let's Encrypt…

Понятно, что это, очень надеюсь, временная проблема, хоть и очень удручающая, однако, очевидное и простое решение – поставить необходимые компоненты вручную, тоже не работает, т.к. инсталлятор видит только «MSXML 4.0 SP2 Parser»³⁾ и «Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86/x64)», а все остальное не видит хоть ты тресни!

1. Скачиваем и устанавливаем вручную пакеты⁴⁾:
   • Microsoft Visual C++ 2008 Redistributable Package (x64⁵⁾)
   • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x64)
   • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86)
   • Microsoft Visual C++ 2015-2022 Redistributable (x64)
   • Microsoft Visual C++ 2015-2022 Redistributable (x86)
2. через «Мастер добавления ролей и компонентов» устанавливаем компонент «Функции .NET Framework 3.5» → «.NET Framework 3.5 (включает .NET 2.0 и 3.0)»(x64);
3. запускаем установку Traffic Inspector с ключом «/noprereqs», т.е. TrafInspFull_Russian_x64.exe /noprereqs.

Поддержка выслала мне версию rev.6 от 15 мая 2023 года с интегрированными библиотекам, но она все также не загружает Microsoft .NET Framework, поэтому, нужно снять соответствующие галочки и, при необходимости, вручную установить эти компоненты.

При установке Traffic Inspector на Windows Server 2019 не запускается встроенный веб-сервер и имеются следующие ошибки:

• в консоли – «PHP не загружен»;
• в браузере – «ERROR! PHP engine not initialized»;
• при запуске php-win.exe – «Не удается продолжить выполнение кода, поскольку система не обнаружила MSVCR110.dll».

Не взирая на то, что установщик не просит, нужно дополнительно установить «Microsoft Visual C++ Redistributable for Visual Studio 2012 (x64/x86)»!

Точнее, при установке версии 3.0.2.923 rev.6 x64 на Windows Server 2022 не работает встроенный веб-сервер – консоль администрирования выдает ошибку «В документах XML допускается только один элемент верхнего уровня», а сам сервер отвечает «Fatal error: Class 'SmartSoft\Exception\Cache\Session' not found in C:\Program Files\TrafInsp\root\Portal\classes\SmartSoft\Controller.php on line 23».

Для решения этой проблемы служба поддержки выслала файлы для замены в каталогах «PHPEngine» и «root»⁶⁾. Работает.

После установки и начальной настройки через какое-то время перестает работать служба, которая, или не останавливается, при попытке ее перезапуска, или делает это крайне долго, а так же подтормаживает интерфейс в консоли администрирования. После запуска какое-то время работает нормально и все заново.

Помимо этого, если авторизоваться на двух клиентах одновременно под одним пользователем, в браузере, вместо запрошенной страницы, отображается ошибка «ERR_SSL_PROTOCOL_ERROR» и через какое-то время на одном из компьютеров отваливается агент с ошибкой «Ошибка подключения. Socket error code 10054 - Connection reset by peer».

Вероятнее всего, это происходит из-за включенной опции «Разрешить множественную авторизацию» в [Traffic Inspector []\Пользователи и группы → Свойства → Авторизация].

По сообщению сотрудника техподдержки, эта опция, мало того, что в настоящее время не работает из-за обновлений Windows и убрать ее пока нет возможности, так еще и негативно влияет на работу самого Traffic Inspector, но в течение лета 2023 года должна выйти новая версия, где проблема будет устранена.

Я столкнулся со странным поведением сервера – при запущенном сервисе Traffic Inspector, со станции управления, т.е. откуда я к нему подключаюсь через RDP, до сервера теряются пакеты ICMP, причем не мало, и заторможенно работает RDP, что крайне затрудняет работу. Однако, со всех других направлений проблем с прохождением ICMP и прочего трафика в сторону этого сервер нет, хоть упингуйся! Также со станции управления на другие сервера и компьютеры никаких проблем с доступом и пингом нет!

Схема прохождения трафика длинная – «ноутбук → Wi-Fi 5G → антенна MikroTik → Eth 100 Мбит → маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN) → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

Все другие соединения, где проблем нет, ограничиваются путем, или «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер» или, вообще, «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

В общем, не понятно… но логично предположить, что проблема начинается где-то между «маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN)» и состоит она в формировании пакетов. Хотя, легче от этого не становится.

А вот решение… тоже не понятное, но рабочее – использовать на компьютере управления подключенный агент⁷⁾ или добавить в Traffic Inspector пользователя с «дальним» IP-адресом PPTP-туннеля. Другими словами, любым способом авторизовать станцию на сервере.

При попытке удаления Traffic Inspector сервер выпадает в синий экран с кодом остановки «IRQL NOT LESS OR EQUAL» или, при попытке удалить драйвер «Traffic Inspector Filter (NDIS 6.3 rev.228)» из свойств подключения, «DRIVER IRQL NOT LESS OR EQUAL» с проблемой в «ticap.sys».

Ответ службы поддержки был следующим⁸⁾:

1. остановить службу Traffic Inspector;
2. отключить драйвер, сняв соответствующие галочки, в свойствах всех подключений;
3. удалить драйвер;
4. и только потом удалить Traffic Inspector стандартным методом.

Устройства не добавляются при выполнении инструкции «Регистрация пользователя по сетевой активности»:

1. включить «Вести учет обращений во внешнюю сеть от неавторизованных пользователей» в [Traffic Inspector [] → Свойства → Сетевой драйвер];
2. добавить правило в [Traffic Inspector []\Правила\Правила сетей], где:
   1. «Наименование» – указать необходимое название,
   2. «IP адреса и сети» – выбрать и заполнить «Список IP сетей» или «IP адрес или диапазон адресов»,
   3. «Аутентификация» – снять галочки «BASIC» и «NTLM»,
   4. «Тип сети» – выбрать «Смешанный режим»,
   5. «Настройка пользователя»:
      • отметить «Добавлять пользователя автоматически»,
      • снять «Авторизация по учетной записи»,
      • отметить «Авторизация по IP адресу» и «…MAC адресу»,
      • выбрать «Группа» при необходимости.

И в финале сделать то, что не указано в инструкции – перейти [Traffic Inspector []\Учет трафика\Неавторизованные IP], выбрать все или необходимые строки и удалить их!

После этого устройства из указанных диапазонов начинают автоматически добавляться!

По умолчанию Traffic Inspector конфигурирует клиентские компьютеры агентом, добавляя в свойствах системы сценарий настройки с параметром «http://192.168.XXX.XXX:XXXX/config.script», что не всегда удобно. Однако, т.к. сервер публикует помимо «config.script» еще и «wpad.dat», можно настроить систему более гибко, используя протокол «Web Proxy Auto Discovery».

Краткое изложение этой статьи о настройке WPAD в контексте использования с Traffic Inspector:

1. запускаем «Диспетчер служб IIS», переходим в «сайты\Default Web Site» и в панели «Действия» → «Управление веб-сайтом» нажимаем «Остановить»;
2. переходим в консоли администрирования [Traffic Inspector []\Сервисы\Web-сервер → Свойства → Настройка службы Web сервера → Далее → Сервер] и устанавливаем в разделе «HTTP сервер» → «TCP порт» в положение «Статический» и значение 80;
3. далее [Traffic Inspector []\Сервисы\Прокси-сервер → Свойства → Пользователи] и снимаем «Принудительно конфигурировать браузер через клиентского агента»;
4. на DHCP-сервере через «Установить предопределенные параметры…» добавляем параметр с именем WPAD Link, типом данных «Строка» и кодом 252;
5. там же в «Параметры сервера» или «Параметры области» добавляем этот параметр со значением «http://our-proxy.domain.lan/wpad.dat»;
6. в DNS-сервере добавляем в зоне «domain.lan» запись wpad типа «CNAME», указывающую на «our-proxy.domain.lan»;
7. на каждом контроллере домена выполняем dnscmd contoller1 /info /globalqueryblocklist и в выводе промеряем наличие строки «wpad»;
8. на каждом контроллере, где она есть, выполняем dnscmd contoller1 /config /globalqueryblocklist isatap;
9. в настройках Windows⁹⁾ переходим «Сеть и Интернет» → «Прокси-сервер» проверяем, чтобы настройки были установлены по умолчанию:
   • «Определять параметры автоматически» – «Вкл»;
   • «Использовать сценарий настройки» – «Откл»;
   • «Использовать прокси-сервер» – «Откл».

Для проверки, в браузере на основе Chromium, переходим по служебному адресу chrome://net-export/, нажимаем «Start Logging to Disk», сохраняем файл, нажимаем «Stop Logging», открываем файл и ищем в нем строку proxySettings в которой, если все хорошо, должен быть указан адрес из пункта 5.

Агент Traffic Inspector имеет неприятную особенность – при первом запуске он всегда открывает окошко с настройками! И это нужно делать для каждого пользователя! Даже, если там не надо ничего менять! Короче, очень странное поведение, ИМХО.

Для решения этой «болезни» проще всего применить настройки через публикацию необходимых записей реестра в групповой политике домена.

Опытным путем было выяснено, что при наличии параметра «UserName», даже пустого¹⁰⁾, это окошко не открывается!

Заодно можно сразу же установить и другие настройки, которые у вас отличаются от заданных по умолчанию – у меня это, как минимум, «StartHided», т.е. запускать свернутым¹¹⁾.

1. Изменяем нужным образом и импортируем на контроллере домена этот шаблон
   
   

   ti-agent.reg

   Windows Registry Editor Version 5.00
    
   [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent]
   "WinAuth"="1"
   "UserName"=""
   "StorePass"="1"
   "StartHided"="1"
   "SessAutoDisconn"="1"
   "Server"="ti-gate.local"
   "ReconnectTimeout"="1"
   "ProtoAuto"="1"
   "EnabledWarning"="0"
   "EnabledSound"="0"
   "EnabledHotKey"="0"
   "AutoLogon"="1"

2. в оснастке «Управление групповой политикой» переходим по пути [Лес: {Лес}\Домены\{Домен}\Объекты групповой политики → Создать]¹²⁾;
3. в оснастке «Редактор управления групповыми политиками» переходим [Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр → Создать → Мастер реестра]
4. в мастере переходим в раздел [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent] и отмечаем галочками все параметры;
5. в оснастке переходим по созданному дереву до параметров и меняем для параметров «ProtoAuto», «UserName» и «WinAuth» действие на «Создать»¹³⁾.

Собственно, и все! Кстати, дополнительно в этом же объекте можно настроить автозапуск Агента, если надо…

В консоли Traffic Inspector появляются ошибки «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_INVALID_TOKEN" [80090308] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с ошибкой «Доступ запрещен. Ошибка авторизации.», но web-агент авторизует нормально. Такая ошибка происходит со всеми пользователями на конкретном компьютере. На других компьютерах эти пользователи авторизуются без проблем.

Причина пока не понятна, но обходное решение есть – необходимо изменить протокол обмена, для этого:

1. или для каждого пользователя в настройках Агента на закладке «Соединение» явно включить «Протокол обмена» в значение «HTTP» или «SSL», если он настроен;
2. или в консоли администрирования перейти [Traffic Inspector []\Пользователи и группы → Свойства → Настройки агентов] и изменить «Предпочитаемый протокол» на «HTTP» или «SSL»¹⁴⁾.

В таком случае авторизация проходит без проблем.

В консоли регистрируется ошибка «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_LOGON_DENIED" [8009030C] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с аналогичной ошибкой, как выше.

Очень похожая по последствиям ошибка, с одним отличием – она затрагивает одного конкретного пользователя на конкретном компьютере. Т.е. другие пользователи на этом компьютере авторизуются нормально, этот пользователь на других компьютерах так же авторизуется без проблем, web-агент работает нормально.

Причина также пока не понятна, но обходное решение – снять галочку «Использовать текущий логин» на закладке «Логин» в настройках Агента и ввести логин и пароль вручную – сразу же начинает работать!

В [Traffic Inspector []\Настройка\Настройка сети\Драйвер\Название сетевой карты] есть пункты «Counter1/2» и «Counter3/4», с, зачастую, странными значениями, которые, по сообщению техподдержки, в современных ОС ничего не значат и их можно игнорировать. Ранее это были это счетчики некорректных пакетов из сети.

• Использование материалов данной базы знаний разрешено на условиях лицензии, указанной внизу каждой страницы! При использовании материалов активная гиперссылка на соответствующую страницу данной базы знаний обязательна!
• Автор не несет и не может нести какую либо ответственность за последствия использования материалов, размещенных в данной базе знаний. Все материалы предоставляются по принципу «как есть». Используйте их исключительно на свой страх и риск.
• Все высказывания, мысли или идеи автора, размещенные в материалах данной базе знаний, являются исключительно его личным субъективным мнением и могут не совпадать с мнением читателей!
• При размещении ссылок в данной базе знаний на интернет-страницы третьих лиц автор не несет ответственности за их техническую функциональность (особенно отсутствие вирусов) и содержание! При обнаружении таких ссылок, можно и желательно сообщить о них в комментариях к соответствующей статье.