Hallo zusammen,
im App/Kernel-Log taucht alle paar Sekunden folgende "Warnung" auf:
WARNING: Unsupported or unconfigured/inactive proxy-auth scheme, 'NTLM TlRMTVNTUAABAAAAAgIAAAAAAAAAAAAAAAAAAAAAAAA='
Als nächstes stehen mehrerer Einträge mit "Interne IP -> Webadresse:443" dahinter in blau "Username=-".
Irgendwann kommen dann Einträgen bei denen der Username dann auch richtig angezeigt wird.
Wir haben Probleme bei Webkonferenzen (Audio-/Video-Verbindungen) und vermuten dass die Authentifizierung nicht richtig funktioniert.
UTM v11.8 - 11.8.8.8
Bei HTTP-Proxy ist als Auth-Methode "NTLM/Kerberos" eingestellt.
Benutzer kommen aus dem AD.
Kennt jemand vielleicht dieses Problem? Habe im Forum dazu nichts gefunden.
Vielen Dank im Voraus!
Christian
Problem mit NTLM Proxy Authentifizierung!?
Moderator: Securepoint
Es kann durchaus passieren, das Anwendungen keine Authentifizierung ueber den Proxy unterstuetzten. Selbst wenn dort eine Authentifizierung aktiviert werden kann oder gar kein Proxy hinterlegt/ unterstuetzt wird, kann es passieren das die Anwendung ueber den Proxy kommuniziert und dann, auf Grund nicht erfolgter Authentifizierung ins Aus rennt.
Im Log der Firewall kann man dies gut erkennen, wenn man unter Kernel- und Applikationsmeldungen das Ausblenden von nicht haeuffig benoetigten Informationen deaktiviert und auf die Meldungen des Proxy achtet, die dann Fehlercode 401 zurueck geben.
Ein anderes Problem koennte eine nicht sauber konfigurierte AD-Anbindung sein. Da sich mit der 11.8.x hier große Aenderungen im Hintergrund abspielen, koennte es erforderlich sein, einmal bei uns anzurufen. Es muesste einmal geprueft werden, ob die DNS-Aufloesung sauber eingerichtet ist, ein korrekter A und PTR-Record fuer den Computernamen der Firewall hinterlegt ist etc.
Im Log der Firewall kann man dies gut erkennen, wenn man unter Kernel- und Applikationsmeldungen das Ausblenden von nicht haeuffig benoetigten Informationen deaktiviert und auf die Meldungen des Proxy achtet, die dann Fehlercode 401 zurueck geben.
Ein anderes Problem koennte eine nicht sauber konfigurierte AD-Anbindung sein. Da sich mit der 11.8.x hier große Aenderungen im Hintergrund abspielen, koennte es erforderlich sein, einmal bei uns anzurufen. Es muesste einmal geprueft werden, ob die DNS-Aufloesung sauber eingerichtet ist, ein korrekter A und PTR-Record fuer den Computernamen der Firewall hinterlegt ist etc.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Hallo Mario,
vielen Dank für die Antwort.
Das Ausblenden der häufigen Informationen im App-/Kernel-Log ist jetzt deaktiviert.
Ein Eintrag mit Fehlercode 401 lässt sich nicht finden. Das "Logging" ist auf Short eingestellt, muss es dafür auf "Long" gestellt werden?
Habe wegen DNS-Einstellungen eure Anleitung durchgesehen und gelesen dass unter "Servereinstellungen" bei "DNS" kein interner Server eingetragen werden soll. Bei uns ist localhost "127.0.0.1" eingetragen (wird auf unseren internen DNS geforwarded).
Nach Umstellen auf einen externen DNS (Cloudflare, Google) ging die Verbindung zum AD verloren.
Erst nach Zurückstellen auf "127.0.0.1" konnte wieder eine Verbindung zum AD aufgebaut werden.
Denke mit "nicht sauber konfigurierte AD-Anbindung" liegst du richtig.
Grüße, Christian
vielen Dank für die Antwort.
Das Ausblenden der häufigen Informationen im App-/Kernel-Log ist jetzt deaktiviert.
Ein Eintrag mit Fehlercode 401 lässt sich nicht finden. Das "Logging" ist auf Short eingestellt, muss es dafür auf "Long" gestellt werden?
Habe wegen DNS-Einstellungen eure Anleitung durchgesehen und gelesen dass unter "Servereinstellungen" bei "DNS" kein interner Server eingetragen werden soll. Bei uns ist localhost "127.0.0.1" eingetragen (wird auf unseren internen DNS geforwarded).
Nach Umstellen auf einen externen DNS (Cloudflare, Google) ging die Verbindung zum AD verloren.
Erst nach Zurückstellen auf "127.0.0.1" konnte wieder eine Verbindung zum AD aufgebaut werden.
Denke mit "nicht sauber konfigurierte AD-Anbindung" liegst du richtig.
Grüße, Christian
Jupp, das wird es gewesen sein.
Moeglichst immer nur den primaeren Nameserver als 127.0.0.1 unter den Servereinstellungen hinterlegen. Nur so wird auf den Nameserver der Firewall und auf betreffende Konfiguration weiter gereicht. Steht da etwas Externes, klappt die Namensaufloesung fuer Intern natuerlich nicht mehr. Theoretisch kann man auch den internen DNS Server direkt eintragen, jedoch rate ich davon im Regelfall ab. Meist ist dann, auf Grund der Konfiguration des internen DNS, die Firewall nicht mehr in der Lage, alle ihre Aufgaben abzuwickeln. (DNS allgemein/ Webfilter/ Updates) Zudem ist die Firewall dann von dem internen DNS abhaengig. Ist dieser offline, geht bei der Firewall nicht mehr viel.
Den Cloudflare oder andere, schnelle externe DNS-Server koennen Sie unter Nameserver > DNS-Forwarding hinterlegen. Hier sollten Sie dann aber darauf achten, das der verwendete externe DNS-Server sicherstellen kann, das Webfilter und UTM-Updates sauber funktionieren. Bei Cloudflare habe ich da schlechte Erfahrungen gemacht, kann aber nicht generell sagen, das es nicht funktioniert. Gut im Auge behalten. Falls nichts unter DNS-Forwarding steht und die Firewall nicht mehr weiter weiß, nimmt sie die Debian-Rootserver.
Moeglichst immer nur den primaeren Nameserver als 127.0.0.1 unter den Servereinstellungen hinterlegen. Nur so wird auf den Nameserver der Firewall und auf betreffende Konfiguration weiter gereicht. Steht da etwas Externes, klappt die Namensaufloesung fuer Intern natuerlich nicht mehr. Theoretisch kann man auch den internen DNS Server direkt eintragen, jedoch rate ich davon im Regelfall ab. Meist ist dann, auf Grund der Konfiguration des internen DNS, die Firewall nicht mehr in der Lage, alle ihre Aufgaben abzuwickeln. (DNS allgemein/ Webfilter/ Updates) Zudem ist die Firewall dann von dem internen DNS abhaengig. Ist dieser offline, geht bei der Firewall nicht mehr viel.
Den Cloudflare oder andere, schnelle externe DNS-Server koennen Sie unter Nameserver > DNS-Forwarding hinterlegen. Hier sollten Sie dann aber darauf achten, das der verwendete externe DNS-Server sicherstellen kann, das Webfilter und UTM-Updates sauber funktionieren. Bei Cloudflare habe ich da schlechte Erfahrungen gemacht, kann aber nicht generell sagen, das es nicht funktioniert. Gut im Auge behalten. Falls nichts unter DNS-Forwarding steht und die Firewall nicht mehr weiter weiß, nimmt sie die Debian-Rootserver.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Wie gesagt, prinzipiell ist dies ein durchaus moegliches Szenario. Und wenn der interne DNS-Server korrekt konfiguriert ist, funktioniert dies auch. Man muss sich jedoch der Vorteile/ Nachteile entsprechender Konfigurationen bewusst sein.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de