Инструменты пользователя

Инструменты сайта


windows:server:2022:traffic_inspector:gold:installation

Проблемы при установке Traffic Inspector 3.0

В этой заметке собраны моменты, с которыми я столкнулся при установке и развёртывании Traffic Inspector версии 3.0.2.923 rev.5 x64 на Windows Server 2022 и 2019.

Установка компонентов

Установка Traffic Inspector 3.0

При чистой установке Traffic Inspector сейчас1) есть проблема – инсталлятор напрочь зависает на стадии «Установка необходимых компонентов»!

Вероятнее всего, это связано с тем, что на ресурсе https://files.smart-soft.ru/, откуда происходит загрузка дистрибутива и дополнительных компонентов, уже 15 дней2) как истек срок действия сертификата Let's Encrypt…

Понятно, что это, очень надеюсь, временная проблема, хоть и очень удручающая, однако, очевидное и простое решение – поставить необходимые компоненты вручную, тоже не работает, т.к. инсталлятор видит только «MSXML 4.0 SP2 Parser»3) и «Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86/x64)», а все остальное не видит хоть ты тресни!

Решение

  1. Скачиваем и устанавливаем вручную пакеты4):
    • Microsoft Visual C++ 2008 Redistributable Package (x645))
    • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x64)
    • Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86)
    • Microsoft Visual C++ 2015-2022 Redistributable (x64)
    • Microsoft Visual C++ 2015-2022 Redistributable (x86)
  2. через «Мастер добавления ролей и компонентов» устанавливаем компонент «Функции .NET Framework 3.5» → «.NET Framework 3.5 (включает .NET 2.0 и 3.0)»(x64);
  3. запускаем установку Traffic Inspector с ключом «/noprereqs», т.е. TrafInspFull_Russian_x64.exe /noprereqs.

FIXME Поддержка выслала мне версию rev.6 от 15 мая 2023 года с интегрированными библиотекам, но она все также не загружает Microsoft .NET Framework, поэтому, нужно снять соответствующие галочки и, при необходимости, вручную установить эти компоненты.

PHP не загружен

При установке Traffic Inspector на Windows Server 2019 не запускается встроенный веб-сервер и имеются следующие ошибки:

  • в консоли – «PHP не загружен»;
  • в браузере – «ERROR! PHP engine not initialized»;
  • при запуске php-win.exe – «Не удается продолжить выполнение кода, поскольку система не обнаружила MSVCR110.dll».

Traffic Inspector - PHP не загружен!

Решение

Не взирая на то, что установщик не просит, нужно дополнительно установить «Microsoft Visual C++ Redistributable for Visual Studio 2012 (x64/x86)»!

Не работают отчеты

В документах XML допускается только один элемент верхнего уровня

Точнее, при установке версии 3.0.2.923 rev.6 x64 на Windows Server 2022 не работает встроенный веб-сервер – консоль администрирования выдает ошибку «В документах XML допускается только один элемент верхнего уровня», а сам сервер отвечает «Fatal error: Class 'SmartSoft\Exception\Cache\Session' not found in C:\Program Files\TrafInsp\root\Portal\classes\SmartSoft\Controller.php on line 23».

Решение

Для решения этой проблемы служба поддержки выслала файлы для замены в каталогах «PHPEngine» и «root»6). Работает.

Виснет TrafInsp.exe

Управление пользователями - свойства

После установки и начальной настройки через какое-то время перестает работать служба, которая, или не останавливается, при попытке ее перезапуска, или делает это крайне долго, а так же подтормаживает интерфейс в консоли администрирования. После запуска какое-то время работает нормально и все заново.

Socket error code 10054 - Connection reset by peer

Помимо этого, если авторизоваться на двух клиентах одновременно под одним пользователем, в браузере, вместо запрошенной страницы, отображается ошибка «ERR_SSL_PROTOCOL_ERROR» и через какое-то время на одном из компьютеров отваливается агент с ошибкой «Ошибка подключения. Socket error code 10054 - Connection reset by peer».

Решение

Вероятнее всего, это происходит из-за включенной опции «Разрешить множественную авторизацию» в [Traffic Inspector []\Пользователи и группы → Свойства → Авторизация].

По сообщению сотрудника техподдержки, эта опция, мало того, что в настоящее время не работает из-за обновлений Windows и убрать ее пока нет возможности, так еще и негативно влияет на работу самого Traffic Inspector, но в течение лета 2023 года должна выйти новая версия, где проблема будет устранена.

Нестабильный пинг

Я столкнулся со странным поведением сервера – при запущенном сервисе Traffic Inspector, со станции управления, т.е. откуда я к нему подключаюсь через RDP, до сервера теряются пакеты ICMP, причем не мало, и заторможенно работает RDP, что крайне затрудняет работу. Однако, со всех других направлений проблем с прохождением ICMP и прочего трафика в сторону этого сервер нет, хоть упингуйся! Также со станции управления на другие сервера и компьютеры никаких проблем с доступом и пингом нет!

Нестабильный пинг Traffic Inspector

Схема прохождения трафика длинная – «ноутбук → Wi-Fi 5G → антенна MikroTik → Eth 100 Мбит → маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN) → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

Все другие соединения, где проблем нет, ограничиваются путем, или «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер» или, вообще, «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».

В общем, не понятно… но логично предположить, что проблема начинается где-то между «маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN)» и состоит она в формировании пакетов. Хотя, легче от этого не становится.

Решение

А вот решение… тоже не понятное, но рабочее – использовать на компьютере управления подключенный агент7) или добавить в Traffic Inspector пользователя с «дальним» IP-адресом PPTP-туннеля. Другими словами, любым способом авторизовать станцию на сервере.

BSOD при удалении

Traffic Inspector DRIVER IRQL NOT LESS OR EQUAL ticap.sys

При попытке удаления Traffic Inspector сервер выпадает в синий экран с кодом остановки «IRQL NOT LESS OR EQUAL» или, при попытке удалить драйвер «Traffic Inspector Filter (NDIS 6.3 rev.228)» из свойств подключения, «DRIVER IRQL NOT LESS OR EQUAL» с проблемой в «ticap.sys».

Решение

Ответ службы поддержки был следующим8):

  1. остановить службу Traffic Inspector;
  2. отключить драйвер, сняв соответствующие галочки, в свойствах всех подключений;
  3. удалить драйвер;
  4. и только потом удалить Traffic Inspector стандартным методом.

Автодобавление устройств

Устройства не добавляются при выполнении инструкции «Регистрация пользователя по сетевой активности»:

  1. включить «Вести учет обращений во внешнюю сеть от неавторизованных пользователей» в [Traffic Inspector [] → Свойства → Сетевой драйвер];
  2. добавить правило в [Traffic Inspector []\Правила\Правила сетей], где:
    1. «Наименование» – указать необходимое название,
    2. «IP адреса и сети» – выбрать и заполнить «Список IP сетей» или «IP адрес или диапазон адресов»,
    3. «Аутентификация» – снять галочки «BASIC» и «NTLM»,
    4. «Тип сети» – выбрать «Смешанный режим»,
    5. «Настройка пользователя»:
      • отметить «Добавлять пользователя автоматически»,
      • снять «Авторизация по учетной записи»,
      • отметить «Авторизация по IP адресу» и «…MAC адресу»,
      • выбрать «Группа» при необходимости.

Решение

И в финале сделать то, что не указано в инструкции – перейти [Traffic Inspector []\Учет трафика\Неавторизованные IP], выбрать все или необходимые строки и удалить их!

Traffic Inspector Неавторизованные IP

После этого устройства из указанных диапазонов начинают автоматически добавляться!

Настройка WPAD

По умолчанию Traffic Inspector конфигурирует клиентские компьютеры агентом, добавляя в свойствах системы сценарий настройки с параметром «http://192.168.XXX.XXX:XXXX/config.script», что не всегда удобно. Однако, т.к. сервер публикует помимо «config.script» еще и «wpad.dat», можно настроить систему более гибко, используя протокол «Web Proxy Auto Discovery».

Windows 10 настройка прокси-сервера

Решение

Краткое изложение этой статьи о настройке WPAD в контексте использования с Traffic Inspector:

  1. запускаем «Диспетчер служб IIS», переходим в «сайты\Default Web Site» и в панели «Действия» → «Управление веб-сайтом» нажимаем «Остановить»;
  2. переходим в консоли администрирования [Traffic Inspector []\Сервисы\Web-сервер → Свойства → Настройка службы Web сервера → Далее → Сервер] и устанавливаем в разделе «HTTP сервер» → «TCP порт» в положение «Статический» и значение 80;
  3. далее [Traffic Inspector []\Сервисы\Прокси-сервер → Свойства → Пользователи] и снимаем «Принудительно конфигурировать браузер через клиентского агента»;
  4. на DHCP-сервере через «Установить предопределенные параметры…» добавляем параметр с именем WPAD Link, типом данных «Строка» и кодом 252;
  5. там же в «Параметры сервера» или «Параметры области» добавляем этот параметр со значением «http://our-proxy.domain.lan/wpad.dat»;
  6. в DNS-сервере добавляем в зоне «domain.lan» запись wpad типа «CNAME», указывающую на «our-proxy.domain.lan»;
  7. на каждом контроллере домена выполняем dnscmd contoller1 /info /globalqueryblocklist и в выводе промеряем наличие строки «wpad»;
  8. на каждом контроллере, где она есть, выполняем dnscmd contoller1 /config /globalqueryblocklist isatap;
  9. в настройках Windows9) переходим «Сеть и Интернет» → «Прокси-сервер» проверяем, чтобы настройки были установлены по умолчанию:
    • «Определять параметры автоматически» – «Вкл»;
    • «Использовать сценарий настройки» – «Откл»;
    • «Использовать прокси-сервер» – «Откл».

Для проверки, в браузере на основе Chromium, переходим по служебному адресу chrome://net-export/, нажимаем «Start Logging to Disk», сохраняем файл, нажимаем «Stop Logging», открываем файл и ищем в нем строку proxySettings в которой, если все хорошо, должен быть указан адрес из пункта 5.

Web Proxy Auto Discovery protocol

Автонастройка TI Agent

Агент Traffic Inspector имеет неприятную особенность – при первом запуске он всегда открывает окошко с настройками! И это нужно делать для каждого пользователя! Даже, если там не надо ничего менять! Короче, очень странное поведение, ИМХО.

Решение

Для решения этой «болезни» проще всего применить настройки через публикацию необходимых записей реестра в групповой политике домена.

Опытным путем было выяснено, что при наличии параметра «UserName», даже пустого10), это окошко не открывается!

Заодно можно сразу же установить и другие настройки, которые у вас отличаются от заданных по умолчанию – у меня это, как минимум, «StartHided», т.е. запускать свернутым11).

  1. Изменяем нужным образом и импортируем на контроллере домена этот шаблон

    ti-agent.reg
    Windows Registry Editor Version 5.00
     
    [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent]
    "WinAuth"="1"
    "UserName"=""
    "StorePass"="1"
    "StartHided"="1"
    "SessAutoDisconn"="1"
    "Server"="ti-gate.local"
    "ReconnectTimeout"="1"
    "ProtoAuto"="1"
    "EnabledWarning"="0"
    "EnabledSound"="0"
    "EnabledHotKey"="0"
    "AutoLogon"="1"
  2. в оснастке «Управление групповой политикой» переходим по пути [Лес: {Лес}\Домены\{Домен}\Объекты групповой политики → Создать]12);
  3. в оснастке «Редактор управления групповыми политиками» переходим [Конфигурация пользователя\Настройка\Конфигурация Windows\Реестр → Создать → Мастер реестра]
  4. в мастере переходим в раздел [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent] и отмечаем галочками все параметры;
  5. в оснастке переходим по созданному дереву до параметров и меняем для параметров «ProtoAuto», «UserName» и «WinAuth» действие на «Создать»13).

настройки Агента Traffic Inspector

Собственно, и все! Кстати, дополнительно в этом же объекте можно настроить автозапуск Агента, если надо…

SEC_E_INVALID_TOKEN

В консоли Traffic Inspector появляются ошибки «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_INVALID_TOKEN" [80090308] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с ошибкой «Доступ запрещен. Ошибка авторизации.», но web-агент авторизует нормально. Такая ошибка происходит со всеми пользователями на конкретном компьютере. На других компьютерах эти пользователи авторизуются без проблем.

Решение

SSPI error SEC_E_INVALID_TOKEN 80090308

Причина пока не понятна, но обходное решение есть – необходимо изменить протокол обмена, для этого:

  1. или для каждого пользователя в настройках Агента на закладке «Соединение» явно включить «Протокол обмена» в значение «HTTP» или «SSL», если он настроен;
  2. или в консоли администрирования перейти [Traffic Inspector []\Пользователи и группы → Свойства → Настройки агентов] и изменить «Предпочитаемый протокол» на «HTTP» или «SSL»14).

В таком случае авторизация проходит без проблем.

SEC_E_LOGON_DENIED

В консоли регистрируется ошибка «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_LOGON_DENIED" [8009030C] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с аналогичной ошибкой, как выше.

Очень похожая по последствиям ошибка, с одним отличием – она затрагивает одного конкретного пользователя на конкретном компьютере. Т.е. другие пользователи на этом компьютере авторизуются нормально, этот пользователь на других компьютерах так же авторизуется без проблем, web-агент работает нормально.

Решение

Причина также пока не понятна, но обходное решение – снять галочку «Использовать текущий логин» на закладке «Логин» в настройках Агента и ввести логин и пароль вручную – сразу же начинает работать!

Counter1/2 и Counter3/4

Traffic Inspector Counter 1/2 и 3/4

В [Traffic Inspector []\Настройка\Настройка сети\Драйвер\Название сетевой карты] есть пункты «Counter1/2» и «Counter3/4», с, зачастую, странными значениями, которые, по сообщению техподдержки, в современных ОС ничего не значат и их можно игнорировать. Ранее это были это счетчики некорректных пакетов из сети.


Дисклеймер

  • Использование материалов данной базы знаний разрешено на условиях лицензии, указанной внизу каждой страницы! При использовании материалов активная гиперссылка на соответствующую страницу данной базы знаний обязательна!
  • Автор не несет и не может нести какую либо ответственность за последствия использования материалов, размещенных в данной базе знаний. Все материалы предоставляются по принципу «как есть». Используйте их исключительно на свой страх и риск.
  • Все высказывания, мысли или идеи автора, размещенные в материалах данной базе знаний, являются исключительно его личным субъективным мнением и могут не совпадать с мнением читателей!
  • При размещении ссылок в данной базе знаний на интернет-страницы третьих лиц автор не несет ответственности за их техническую функциональность (особенно отсутствие вирусов) и содержание! При обнаружении таких ссылок, можно и желательно сообщить о них в комментариях к соответствующей статье.
1)
По состоянию на Май 2023 года.
2)
По состоянию на 28.05.2023.
3)
Который, к слову, и так установлен по умолчанию в Server 2022!
4)
Для разных версий Windows Server список свой!
5)
Тут и ниже – локальное зеркало с актуальными версиями по состоянию на 25.05.2023.
6)
Службу Traffic Inspector предварительно нужно остановить!
7)
Сам по себе трафик может идти куда угодно, роли не играет!
8)
С моими дополнениями. LOL
9)
Речь о Windows 10 и 11, в других может несколько иначе!
10)
А в общем случае, оно пустое и есть!
11)
Не могу понять логику, где эта опция по умолчанию выключена!
12)
Ну, или используем существующий, ага.
13)
Иначе при каждом обновлении групповой политики они будут перезаписываться, а это, как показывают записи на этой странице, не всегда желательно!
14)
Естественно, это повлияет на всех клиентов!

Обсуждение

Ваш комментарий:
W T G X᠎ Y Z G D R L A R D I G F
 
Последнее изменение: 2023/08/03 18:03 — Николай Солошин