Jump to content
Demiurg

Down-сеансы на терминальном сервере с KAV 6 MP4

Recommended Posts

Добрый день!

 

На сервере с терминальными службами (Windows 2003 R2 SP2 + текущие обновления) остаются сеансы с состоянием down (avp.exe + csrss.exe + winlogon.exe). При этом рекомендации статьи 3056 в части доверенной зоны выполнены.

 

1) установлен KAV 6 MP4 FS

2) Доверенными приложениями являются

%SystemRoot%\system32\svchost.exe

%WinDir%\system32\svchost.exe

%Windir%\system32\lsm.exe

Они же стоят как исключения для файлов, на всякий

3) Во взаимодействии с пользователем убраны флажки запуска интерфейса, отображения значка, вывода уведомлений (оставлено отображдение в Пуск и списке установленных программ)

4) Защита паролем включена для всех операций

 

Проблема проявляется не на всех имеющихся серверах.

Share this post


Link to post

А если это относительно слабый WS2003R2 SBS и удалённый рабочий стол используется только админом и бухгалтером(т.к. находится в другом офисе) ?

на самом деле у нас такая же ситуация,.. выполнив рекомендации получил странный "косяк":

подключаемся через уд.раб.стол, делаем свою работу, завершаем сеанс, и он(сеанс) "замирает" на этом этапе. В итоге подключиться невозможно, на самом серваке вообще пропадает консось/оболочка, сервер начинает слать хаотичные сетевые пакеты, да так, что подвисает вся сеть, пинги еле проходят и намертво виснет прокся на SUSE. неделю искал причину столь странного поведения, пока не вернул все настройки "касперского FS" в исходное состояние, а для того чтоб не оставались висеть процессы AVP.EXE отключил самозащиту.

ребят, чего вы такого с ней намудрили, что во всей линейке 6R2 и 9.0.0.736 такие критичные ошибки? ведь, судя по темам на форуме, половина обращений по проблемам связаны именно с самозащитой

так хочется говорить заказчикам, что касперский - лучшее, что есть, а приходится оправдываться, что лучшее, но ещё в процессе доводок, поэтому потерпите или откатитесь на предыдущую... мне стыдно, лично

Share this post


Link to post
  1. И что? Ну слабый, ну используется только админом и бухгалтером? Это как-то мешает использованию KAV WSEE? Или вы считаете, что KAV WSEE потребляет больше ресурсов, чем KAV WS?
  2. Во вторых, если и админ и бухгалтер используют режим удаленного управления, то это чудовищно смешно. А если работают в терминале, то это просто смешно потому, что чересчур дорогое удовольствие.

 

Ну так вы в ЛК сами определитесь сначала: на партнёрских конференциях Ваши же менеджеры по продвижению продуктов указывают на явные отличия в работе и требованиях серверных версий, а Вы тут пытаетесь указать на обратное.

 

А вот по поводу смешного - это вообще не понял, что смешного то? у нас 2 офиса, связь между ними только через VPN на безлимитном и-нете, базы 1С и конфигурации разные, т.к. 2 разные фирмы. поподробней можно, в чём смысл Ваших "смешно"?

 

Хотя тема то не об этом, нас больше интересуют причины и способы решения проблем.

Share this post


Link to post
Уточните, пожалуйста, что там вам рассказали менеджеры?

А по поводу "чудовищно смешного" - то, что ваш бухгалтер работает в режиме удаленного управления, а следовательно - с правами администратора.

Ну почему же? Всегда интересно пообщаться с умным человеком о преимуществах забивания гвоздей микроскопом.

Менеджеры предупреждали, что KWSEE создан для терминальных серверов с мощной начинкой, т.к. проверяет сессии и имеет дополнительные преимущества по сравнению с обычным KWFS.

а про уд.раб.стол вы наверно не совсем понимаете: у нас доменные сети, подключение к удалённому рабочему столу происходит через VPN соединение и встречает нас обычным окном ввода логина и пароля, поэтому никаких прав кроме назначенных ей админом нет. вот собственно и всё. после завершения сеансов со включённой самозащитой, как и у многих других остаются процессы AVP.EXE

Share this post


Link to post
На счет "серверов с мощной начинкой" совершенно не согласен. В остальном - мне не совсем понятно, откуда такой вывод. Почему проверка сессий и дополнительные возможности автоматом означают повышенное потребление ресурсов. ИМХО: это совсем не так даже для файловых серверов не говоря даже про терминальные - KAV WSEE не имеет гуя, а следовательно - им не отжирается оперативная память. Так же, в KAV WSEE отсутствует самозащита, что тоже положительно сказывается на производительности.

Короче, уважаемый, вы бы не хотели ознакомиться с системными требованиями и узнать - у кого требования выше, у KAV WS MP4 или у KAV WSEE? Я уверен, что вы будуте несколько удивлены.

Я вас понимаю настолько хорошо, насколько хорошо вы мне объясняете:

  1. Сервер, на котором проблема при терминальном доступе это WS2003R2 SBS. Так?
  2. WS2003R2 SBS не поддерживает работу терминалов, а следовательно - доступ туда можно получить только в режиме удаленного управления. Так?
  3. Насколько я помню, чтобы воспользоваться режимом удаленного управления нужны админские права? Я не ошибаюсь?
  4. Бухгалтеру дали админские права? :blink:
  5. Админские права у бухгалтера на доменконтроллере - это дыра.
Будьте любезны, ответьте на мои вопросы.

 

WS2003R2 SBS именно так.

Эта версия поддерживает до 2-ух терминальных сессий (до 2-ух одновременных подключений через удалённый рабочий стол)

у бухгалтера такие же права как и у всех остальных пользователей домена, т.е. ограниченны в соответствии нашей политикой безопасности.

админские права всего у двух пользователей:админа и директора

 

собственно всё

Share this post


Link to post
Совершенно верно. На терминалах KAV WSEE работает выше всяких похвал.

Я бы еще понял топикстартера, если бы он терминал развернул на Win 2008 R2...

1) Рекомендацию по замене на WSEE попробую реализовать, тут надо лицензию смотреть

2) Проблема наблюдается на всех WS03 R2, в т.ч. на которых удаленный доступ нужен для администрирования. Выходишь, значит, с контроллера домена - а он...

 

2 seryojka:

Хотел бы уточнить. Выключить:

1) самозащиту

2) возможность внешнего управления системной службой

3) защиту паролем во взаимодействии с пользователем

Share this post


Link to post

А если DC по совместительству и TS?

Например у меня именно так. Так как денег не хватает на выделенные сервера под каждую роль?

 

Естественно с моей паранойей - прав у пользователей меньше чем у афроамериканцев на плантации ;)

Share this post


Link to post
Микрософт настойчиво не рекомендует совмещать эти роли.

Ага. И жестко настроены политики ограниченного использования программ?

То есть, по принципу, все, что не разрешено - запрещено. А разрешен для работы - только самый минимальный набор? Не нужна cmd - и не будет. Не нужен ping/notepad/calc/regedit/taskmgr/arp/и_многие_другие - тоже под нож. И так далее?

Пусть Майкрософт немного раскошелится - тогда будем следовать его указаниям ;)

Да и хорошее серверное железо стоит немало

 

А ограничение - не столь жесткое (лень ;))

Если отделу А нужно работать с программой П1 и П2

А отделу Б с программами П2 и П3

То обоим отделам разрешено работать с П1, П2 и П3

 

Ограничение идет на уровне ФС.

Share this post


Link to post
Приношу извинения, я сейчас проверил и выяснил: действительно, чтобы воспользоваться режимом удаленного управления не обязательно обладать правами администратора, а достаточно прав Remote Desktop Users. Но, в любом случае - это уязвимость в безопасности. На доменконтроллерах лишние люди не нужны.

 

Не хотел вмешиваться в ваш интересный спор про то, как делать нужно, а как - не нужно. На правах начавшего тему...

 

Замечу, что речь в моем посте шла о технической проблеме. Как я и писал, сеансы уходят в down независимо от нашего мнения, надо ли было вообще открывать сеанс или нет. При этом добропорядочный админ также замечательно служит причиной отказа, как и "бухгалтер" :rolleyes:

 

Кроме того, добропорядочная компания обычно работает на том софте, право на который куплено. Так что, чиним того каспера, что есть :dash1:

 

 

Share this post


Link to post

А что мешает использовать КАВ WS EE?

Какая у вас лицензия - BSS? тогда ЕЕ допустим.

Share this post


Link to post
пользователь, поехали поспорим на ФК ;).

 

А тут все таки разберемся с траблом. А? ;)

 

Сделал аналогично тому, как рекомендовали в начале темы:

1) убрал самозащиту

2) разрешил внешнее управление службой (не факт, что стоило)

3) оставил защиту паролем во взаимодействии с пользователем

Послезавтра скажу результат, проблема далеко не всегда воспроизводится.

 

По WSEE - да, моя лицензия разрешает и я начну переход на этот вариант. У меня во многом унаследованное решение, некоторые серверы загружены почти круглосуточны, а замена антивируса обысно требует рестарта. Так что это не решение, тем более что проблема существует и в простейших случаях, на незагруженных серверах

Share this post


Link to post

Перезагрузку можно назначить через планировщик в свободное время

Share this post


Link to post

Кстати патчи на ЕЕ тоже обычно без перезагрузки ставятся

Share this post


Link to post
Сделал аналогично тому, как рекомендовали в начале темы:

1) убрал самозащиту

2) разрешил внешнее управление службой (не факт, что стоило)

3) оставил защиту паролем во взаимодействии с пользователем

Послезавтра скажу результат, проблема далеко не всегда воспроизводится.

 

По WSEE - да, моя лицензия разрешает и я начну переход на этот вариант. У меня во многом унаследованное решение, некоторые серверы загружены почти круглосуточны, а замена антивируса обысно требует рестарта. Так что это не решение, тем более что проблема существует и в простейших случаях, на незагруженных серверах

 

Если еще не начали переход, то достаточно включить флаг "разрешать взаимодействие с интерфейсом программы" в довереной зоне в каждом из уже добавленых довереных приложений.

В статье это, к сожалению, не описано, а только наличие этого флага устраняет проблему.

 

данная проблема уже обсуждалась не раз на форуме и непонятно почему наши старожилы про нее не вспомнили :(

Share this post


Link to post

Я вообще только недавно узнал, что стандартный серверный продукт в МР4 работает с терминал сервером

Share this post


Link to post
Если еще не начали переход, то достаточно включить флаг "разрешать взаимодействие с интерфейсом программы" в довереной зоне в каждом из уже добавленых довереных приложений.

В статье это, к сожалению, не описано, а только наличие этого флага устраняет проблему.

 

данная проблема уже обсуждалась не раз на форуме и непонятно почему наши старожилы про нее не вспомнили :(

 

1) По результатам проверки должен сказать,что отключение самозащиты помогает. При этом внешнее управление службой можно не разрешать

 

2) Про флаг "разрешать взаимодействие с интерфейсом программы" ранее мен ыбло известно только в контексте svchost.exe, на всякий случай последовал совету и поставил для всех программ в доверенной зоне. Не могу ни подтвердить, ни опровергнуть его действие, т.к. п.1 я сделал раньше и проблема исчезла еще до манипуляций с упомянутым флагом

Share this post


Link to post
1) По результатам проверки должен сказать,что отключение самозащиты помогает. При этом внешнее управление службой можно не разрешать

 

2) Про флаг "разрешать взаимодействие с интерфейсом программы" ранее мен ыбло известно только в контексте svchost.exe, на всякий случай последовал совету и поставил для всех программ в доверенной зоне. Не могу ни подтвердить, ни опровергнуть его действие, т.к. п.1 я сделал раньше и проблема исчезла еще до манипуляций с упомянутым флагом

 

Если включили флаг "разрешать взаимодействие с интерфейсом программы" для приложения в довереных, то самозащиту полностью выключать не нужно.

Если выключили самозащиту полностью, то добавлять флаг в исключения тоже не нужно.

Втыкать флаг "разрешать взаимодействие с интерфейсом программы" во все приложения не советую, т.к. это уменьшает защиту, такж е как выключать самозащиту полностью.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.