Probleme mit Proxy im Standard Modus

Hallo Schwarm,

 

Wir betreiben eine UTM9 (9.509-3) und ich habe schon seit Monaten unsere Terminalserver im Standardmodus über den Proxy laufen. Als Authentifizierung hatte ich Keine Angegeben und den Servernist der Proxy und Port angegeben. Dis hat auch gut funktioniert. Wenn ein User sich am Server angemeldet hat und das erste mal in der Sitzung einen Webdienst nutzen wollte, kam das Anmeldefenster und dann war die Nutzersitzung am Proxy angemeldet und auch andere Programme mit Internetzugriff haben funktioniert. 

Seit Montag musste ich auf den Transparentmodus umschalten, da die Anmeldung am Proxy für die Server nicht mehr funktioniert. Bei Keiner Authentifizierung wird einfach das Default Profil genommen, was alles blockt außer die Ausnahmen. Stelle ich einfache Authentifizierung ein, rasten die Office Anwendungen aus, was die Anmeldung am Proxy angeht. (z.B. Outlook 1 mal pro Sekunde). Es wurde kein Update am Wochenende gemacht. Deshalb ist mir diese spontane Veränderung des Verhaltens ein Rätsel.

Könnt ihr mir hier vielleicht einen Denkanstoß geben, weil mir nichts mehr einfällt.

 

Gruß, David

  • Hallo David,

    scheinbar gibt es neben dem Default Profil ja ein weiteres welches z. B. den Terminalserver enthält. Worauf ist den dieses Profil gebunden?

    Hat der TS vielleicht nach eine andere IP, da dynamisch? Nur eine potentielle Möglichkeit.

    Zeig uns doch mal die Einstellung der Proxy Profile und dazu ggf. entsprechende Logeinträge der blockierten Verbindungen.

    Alex

  • In reply to Alexander Busch:

    Hallo Alex,

    Die Terminalserver haben eine Feste IP, sind als Hosts angelegt und in der Gruppe "Terminalserver" zusammengefasst. Ich habe das Profil jetzt natürlich erst mal deaktiviert. Die Proxy Daten werden per GPO verteilt.

    Die Einstellung hat bis Montag auch gemacht, was sie sollte. Wie finde ich das log bzw die entsprechenden Stellen?

     

  • I am confused by your original architecture.   Does this explain it correctly?

    Users on PCs in Zone 1 only have access to some Terminal Servers via RDP Gateway, but no access to websites on the Internet.   The RDP Gateway is in Zone 2.  Connections from Zone 1 to Zone 2 are controlled by UTM Standard Web proxy, but without any user-based authentication   

    Users on Terminal servers in Zone 2 can be used to access the internet, after authenticating to UTM using using Basic Mode  authentication.

    Did the problem affect connections from Zone 1 to Zone 2, or connections from Zone 2 to the Internet?

  • In reply to DouglasFoster:

    - Users log in from their workstations to the terminal servers.

    - The terminal servers are used for applications that use the internet and Web Browsing

    - The terminal servers connect to the Internet over the UTM Via Standard Mode

    - The users authenticate via prompt for the first internet connection, after that the rdp Session was authenticated for all applications (mode "no authentication" worked fine for this until monday)

     

    You could say this affects zone 2. After the problem occured (Users couldnt authenticate themselves anymore) I tried to switch to simple user authentication but after that our Office 2016 applications run crazy with those prompts.

     

    Edit: I now put them in transparent mode so that the internet connections work. But it means every user on the terminal server uses the policy for the first user that logged in.

  • In reply to David Do Van:

    Prüf mal die Authentifizierungsserver unter Definitionen & Benutzer. Unter dem Reiter Server kannst Du Tests bei den einzelnen DC durchführen.

     

    Wirf auch einen Blick auf DNS.

  • In reply to David Do Van:

    David Do Van

     

    ...

    Die Einstellung hat bis Montag auch gemacht, was sie sollte. Wie finde ich das log bzw die entsprechenden Stellen?

    Schau mal unter Protokolle & Berichte dort wäre es das Log Webfilter. Dann Protokolldatei durchsuchen wählen. Hier nach Datum und Quelle Filtern. In diesem Log sollte sich ein entsprechender Eintrag für die Verbindung finden und dort kann man auch das zugeordnete Profil ersehen.  

    Beste Grüße
    Alex

    P.S. Den Tipp von Thorsten bezüglich Test der Authentifizierung kann ich nur unterstützen.