Не проходит авторизацию по доменному пользователю в TMG 2010
 

Настраиваю сервер TMG 2010. Входит в домен. Две сетевые карты, одна в инет, другая в ЛВС. Третью в расчет не беру-виртуальная-взаимодействие с ОС отключено. В TMG создаю правило: из ЛВС в внешнюю сеть разрешено определенным юзерам. Не срабатывает. Если по ip адресу все работает. В логах выдает:"Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса". КД находиться в другом городе, сеть территориально разбросана. Может ли из-за дальности (пинг до КД 70-80мс) такое происходить? На самом сервере все нормально, ошибок криминальных нет, ГПО применяются. DNS настроен только на внутреннем интерфейсе и обращается к внутренним DNS серверам.
Что можете посоветовать? Если мало инфы уточните, что еще нужно.
В самом TMG нашел пункт "Настроить параметры сервера проверки подлинности", может там жестко сервера LDAP указать.
В общем пока в тупике из-за чего такое.

как организована связь?
что по IP-адресу?

покажите ipconfig /all с клиента, TMG, КД.

подробнее?

да и какой порядок интерфейсов на этом сервере?

1. Связь по ipVPN
2. В смысле, если в правиле указано, что разрешать выходить в интернет с определенного ip то все работает, а если указывать что разрешено определенному доменному пользователю, то нет. Примечание: когда создавал правило и указывал каким пользователям разрешено, то он прекрасно находил этих пользователей в AD (с небольшой задержкой)
3. TMG:
C:\Users\xxxxx>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : xxxxx
Основной DNS-суффикс . . . . . . : xxxxl.xxxx.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxxxx.xxxxxx.com
xxxxx.com

Ethernet adapter LAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server
Adapter #2
Физический адрес. . . . . . . . . : D8-D3-85-B1-32-8E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.60.64.240(Основной)
Маска подсети . . . . . . . . . . : 255.255.252.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 10.4.10.3
10.4.10.4
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter WAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server
Adapter #3
Физический адрес. . . . . . . . . : D8-D3-85-B1-32-90
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.60.30.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.60.30.254
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети 4:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server
Adapter #4
Физический адрес. . . . . . . . . : D8-D3-85-B1-32-8C
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


Клиент:
ip 10.60.64.166/22
get: 10.60.64.240
dns1 10.4.10.3
dns2 провайдера (на всякий случай прописал)

КД не могу показать им не я рулю.

Может будет важным: Для доступа TMG к КД прописан маршрут на железку которая осуществляет маршрутизацию в нужную сеть, маршрут с 10 метрикой.

4. На этом же сервере еще гипервизор поднят, но в родительской системе сетевая карта гостевой не видна и не определяется (отключил взаимодействие с родительской ОС)

5. По порядку идет сперва LAN

Diesel315,

Рекомендация:

NetBios на WAN интерфейсе выключите.

клиентский браузер IE?
клиент с FWC? webproxy?
эта ошибках на каких-то определённых протоколах?

да и хотелось бы поглядеть логи на предмет нет ли ошибок что КД не найден.
echo %logonserver% что выдаст с клиента и TMG?

1. netbios отключил - не помогло
2. До браузера дело не доходит, (но естественно проверял - IE) проверяю пингом, не пингуется ни один внешний адрес, даже ДНС провайдера.
3. Клиент выходит через указание шлюза и все.
4. Ошибка на любом протоколе, который пытается выйти во внешку.
5. echo %logonserver% выдает разные сервера КД. Оба сервера что с клиента, что с сервера пингуются.
6. По поводу логов проскальзывает на TMG ошибка 1055 и 5719-подразумеваю что не успевает подгрузиться сетевая карта, потому что потом все нормально и rsop без ошибок. Еще такая интересная ошибка: "IP-адрес, указанный для взаимодействия между данным компьютером Forefront TMG (10.60.64.240) и другими членами массива, не привязан к сетевому адаптеру, установленному на данном компьютере. IP-адрес, указанный для взаимодействия внутри массива, должен быть привязан к сетевому адаптеру, установленному на данном компьютере." Вообще странная, а к чему он тогда привязан?
Тем не менее. Считаю что всерьез над этими ошибками надо было бы задуматься если бы они постоянно валились, а так когда происходит загрузка компа, такое часто происходит. Тем более когда клиент пытается выйти в инет, он же сперва пытается пройти аутентификацию на тмг, а тот уже проверяет наличие этого пользователя в АД, то есть все происходит сию минутно, и в это время никаких ошибок о недоступности КД нет.
Но все равно для подстраховки попытаюсь исправить ошибки.

попробуйте не ICMP.
что в настройках браузера? да, в таком случае в лое есть явно упоминание пользвоателя Anonymous, так?
установите на клиента TMG Client - ошибка сохранится?
ок

Клиент для сетей микрософт на внутреннем интерфейсе включен?

Diesel315, и еще одна рекомендация - при выкладывании конфигов, раз уж затираешь FQDN-адреса домена и прочего, затирай также и MAC адреса внешних сетевых, иначе смысла маскировки - ноль.
Покажи nslookup www.google.ru с клиента

Пробывал (https-443;http-80;isq-5190) -дело не в клиенте или в каком-то опредленном протоколе. Сам фаер отклоняет авторизацию, вернее не проходит клиент на нем.
Дело также не в браузере клиентов. Ни пинг, ни телнет, дальше фаера не уходят. При проверке связи в сеансе просто отображается клиент SecureNAT без всяких Anonymous, если вы имеете ввиду в что-то другое уточните.
Чуть попозже сделаю, отпишусь.
да
мас внешней сетевой ничего не даст (там видно что адресация частная, что скорее всего подразумевает, что впереди стоит еще что-то, в моем случае CISCO)
C:\Users\xxxxxxx>nslookup google.ru
╤хЁтхЁ: xxxxxxx.com
Address: 10.4.10.3

Не заслуживающий доверия ответ:
╚ь*: google.ru
Addresses: 209.85.149.104
209.85.149.105
209.85.149.106
209.85.149.147
209.85.149.99
209.85.149.103

Забыл уточнить. Стоят все обновления как на сервере так и на тмг. В имитаторе трафика пишет что все срабатывает.
Такое ощущение что просто какой-то глюк продукта, который устранится переустановкой.