В этой заметке собраны моменты, с которыми я столкнулся при установке и развёртывании Traffic Inspector версии 3.0.2.923 rev.5 x64 на Windows Server 2022 и 2019.
При чистой установке Traffic Inspector сейчас1) есть проблема – инсталлятор напрочь зависает на стадии «Установка необходимых компонентов»!
Вероятнее всего, это связано с тем, что на ресурсе https://files.smart-soft.ru/, откуда происходит загрузка дистрибутива и дополнительных компонентов, уже 15 дней2) как истек срок действия сертификата Let's Encrypt…
Понятно, что это, очень надеюсь, временная проблема, хоть и очень удручающая, однако, очевидное и простое решение – поставить необходимые компоненты вручную, тоже не работает, т.к. инсталлятор видит только «MSXML 4.0 SP2 Parser»3) и «Microsoft Visual C++ Redistributable for Visual Studio 2012 Update 4 (x86/x64)», а все остальное не видит хоть ты тресни!
TrafInspFull_Russian_x64.exe /noprereqs
.Поддержка выслала мне версию rev.6 от 15 мая 2023 года с интегрированными библиотекам, но она все также не загружает Microsoft .NET Framework, поэтому, нужно снять соответствующие галочки и, при необходимости, вручную установить эти компоненты.
При установке Traffic Inspector на Windows Server 2019 не запускается встроенный веб-сервер и имеются следующие ошибки:
Не взирая на то, что установщик не просит, нужно дополнительно установить «Microsoft Visual C++ Redistributable for Visual Studio 2012 (x64/x86)»!
Точнее, при установке версии 3.0.2.923 rev.6 x64 на Windows Server 2022 не работает встроенный веб-сервер – консоль администрирования выдает ошибку «В документах XML допускается только один элемент верхнего уровня», а сам сервер отвечает «Fatal error: Class 'SmartSoft\Exception\Cache\Session' not found in C:\Program Files\TrafInsp\root\Portal\classes\SmartSoft\Controller.php on line 23».
Для решения этой проблемы служба поддержки выслала файлы для замены в каталогах «PHPEngine» и «root»6). Работает.
После установки и начальной настройки через какое-то время перестает работать служба, которая, или не останавливается, при попытке ее перезапуска, или делает это крайне долго, а так же подтормаживает интерфейс в консоли администрирования. После запуска какое-то время работает нормально и все заново.
Помимо этого, если авторизоваться на двух клиентах одновременно под одним пользователем, в браузере, вместо запрошенной страницы, отображается ошибка «ERR_SSL_PROTOCOL_ERROR» и через какое-то время на одном из компьютеров отваливается агент с ошибкой «Ошибка подключения. Socket error code 10054 - Connection reset by peer».
Вероятнее всего, это происходит из-за включенной опции «Разрешить множественную авторизацию» в [Traffic Inspector []\Пользователи и группы → Свойства → Авторизация].
По сообщению сотрудника техподдержки, эта опция, мало того, что в настоящее время не работает из-за обновлений Windows и убрать ее пока нет возможности, так еще и негативно влияет на работу самого Traffic Inspector, но в течение лета 2023 года должна выйти новая версия, где проблема будет устранена.
Я столкнулся со странным поведением сервера – при запущенном сервисе Traffic Inspector, со станции управления, т.е. откуда я к нему подключаюсь через RDP, до сервера теряются пакеты ICMP, причем не мало, и заторможенно работает RDP, что крайне затрудняет работу. Однако, со всех других направлений проблем с прохождением ICMP и прочего трафика в сторону этого сервер нет, хоть упингуйся! Также со станции управления на другие сервера и компьютеры никаких проблем с доступом и пингом нет!
Схема прохождения трафика длинная – «ноутбук → Wi-Fi 5G → антенна MikroTik → Eth 100 Мбит → маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN) → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».
Все другие соединения, где проблем нет, ограничиваются путем, или «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер» или, вообще, «хост → Eth 1 Гбит → коммутатор HPE → Eth 1 Гбит → сервер».
В общем, не понятно… но логично предположить, что проблема начинается где-то между «маршрутизатор MikroTik → PPTP 20 Мбит → маршрутизатор MikroTik (VLAN)» и состоит она в формировании пакетов. Хотя, легче от этого не становится.
А вот решение… тоже не понятное, но рабочее – использовать на компьютере управления подключенный агент7) или добавить в Traffic Inspector пользователя с «дальним» IP-адресом PPTP-туннеля. Другими словами, любым способом авторизовать станцию на сервере.
При попытке удаления Traffic Inspector сервер выпадает в синий экран с кодом остановки «IRQL NOT LESS OR EQUAL» или, при попытке удалить драйвер «Traffic Inspector Filter (NDIS 6.3 rev.228)» из свойств подключения, «DRIVER IRQL NOT LESS OR EQUAL» с проблемой в «ticap.sys».
Ответ службы поддержки был следующим8):
Устройства не добавляются при выполнении инструкции «Регистрация пользователя по сетевой активности»:
И в финале сделать то, что не указано в инструкции – перейти [Traffic Inspector []\Учет трафика\Неавторизованные IP], выбрать все или необходимые строки и удалить их!
После этого устройства из указанных диапазонов начинают автоматически добавляться!
По умолчанию Traffic Inspector конфигурирует клиентские компьютеры агентом, добавляя в свойствах системы сценарий настройки с параметром «http://192.168.XXX.XXX:XXXX/config.script», что не всегда удобно. Однако, т.к. сервер публикует помимо «config.script» еще и «wpad.dat», можно настроить систему более гибко, используя протокол «Web Proxy Auto Discovery».
Краткое изложение этой статьи о настройке WPAD в контексте использования с Traffic Inspector:
80
;WPAD Link
, типом данных «Строка» и кодом 252
;wpad
типа «CNAME», указывающую на «our-proxy.domain.lan»;dnscmd contoller1 /info /globalqueryblocklist
и в выводе промеряем наличие строки «wpad»;dnscmd contoller1 /config /globalqueryblocklist isatap
;
Для проверки, в браузере на основе Chromium, переходим по служебному адресу chrome://net-export/
, нажимаем «Start Logging to Disk», сохраняем файл, нажимаем «Stop Logging», открываем файл и ищем в нем строку proxySettings
в которой, если все хорошо, должен быть указан адрес из пункта 5.
Агент Traffic Inspector имеет неприятную особенность – при первом запуске он всегда открывает окошко с настройками! И это нужно делать для каждого пользователя! Даже, если там не надо ничего менять! Короче, очень странное поведение, ИМХО.
Для решения этой «болезни» проще всего применить настройки через публикацию необходимых записей реестра в групповой политике домена.
Опытным путем было выяснено, что при наличии параметра «UserName», даже пустого10), это окошко не открывается!
Заодно можно сразу же установить и другие настройки, которые у вас отличаются от заданных по умолчанию – у меня это, как минимум, «StartHided», т.е. запускать свернутым11).
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent] "WinAuth"="1" "UserName"="" "StorePass"="1" "StartHided"="1" "SessAutoDisconn"="1" "Server"="ti-gate.local" "ReconnectTimeout"="1" "ProtoAuto"="1" "EnabledWarning"="0" "EnabledSound"="0" "EnabledHotKey"="0" "AutoLogon"="1"
Собственно, и все! Кстати, дополнительно в этом же объекте можно настроить автозапуск Агента, если надо…
В консоли Traffic Inspector появляются ошибки «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_INVALID_TOKEN" [80090308] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с ошибкой «Доступ запрещен. Ошибка авторизации.», но web-агент авторизует нормально. Такая ошибка происходит со всеми пользователями на конкретном компьютере. На других компьютерах эти пользователи авторизуются без проблем.
Причина пока не понятна, но обходное решение есть – необходимо изменить протокол обмена, для этого:
В таком случае авторизация проходит без проблем.
В консоли регистрируется ошибка «[Authorization server] Запрос от 192.168.XXX.XXX - SSPI error "SEC_E_LOGON_DENIED" [8009030C] in AcceptSecurityContext (GenContext point 2) in UserAuthThread.Execute», а Агент не подключается с аналогичной ошибкой, как выше.
Очень похожая по последствиям ошибка, с одним отличием – она затрагивает одного конкретного пользователя на конкретном компьютере. Т.е. другие пользователи на этом компьютере авторизуются нормально, этот пользователь на других компьютерах так же авторизуется без проблем, web-агент работает нормально.
Причина также пока не понятна, но обходное решение – снять галочку «Использовать текущий логин» на закладке «Логин» в настройках Агента и ввести логин и пароль вручную – сразу же начинает работать!
В [Traffic Inspector []\Настройка\Настройка сети\Драйвер\Название сетевой карты] есть пункты «Counter1/2» и «Counter3/4», с, зачастую, странными значениями, которые, по сообщению техподдержки, в современных ОС ничего не значат и их можно игнорировать. Ранее это были это счетчики некорректных пакетов из сети.
Обсуждение