Vamos imaginar que seu ambiente está assim; SonicWall configurado, integrado com AD + SSO , políticas de CFS corretas.
Você tem o cenário ideal, todo configurado, vê todos os usuários logados no menu Users > Status e todos com a autenticação “Auth. by SSO“.
De repente usuários ligam dizendo que não estão navegando…
Como resolver esse problema??
1º passo o TroubleShooting
Devemos pegar o ip da máquina em do usuário que não navega
Vamos no menu Users > Settings, conforme abaixo:
Na janela que se abrir clicaremos na aba Test
Ja na Aba Test, Clique na opção Check User e depois ponha o IP a ser pesquisado na opção Workstation IP address, como segue:
Clique no botão Test e vc obtera o seguinte resultado:
Esse é o motivo de seu usuário reclamar de não estar navegando ou da maioria dos sites visitados estarem bloqueados.
Este usuário (AvastSoftwareUpdater ) foi criado pelo instalador do Avast por motivos administrativos para que ele possa atualizar o programa. O mesmo ocorre com usuários de placas de vídeo Nvidia, porém o usuário é ’UpdatusUser’.
O usuário da máquina em questão “perde a preferência” pois esse usuário “adminitrativo” tem mais privilégios e o SSO o identifica como usuário logado.
“Mas no meu AD não tem esse usuário AvastSoftwareUpdater ou UpdatusUser”, você vai dizer; Porém, na maioria das vezes o agente SSO o identifica como:
“NOMEDAMAQUINA\UpdatusUser”
2º Passo, Solução de Contorno.
Não adianta brigar muito, mais cedo ou mais tarde esses usuários vão assombrar você. Então o jeito é Dizer ao SonicWall que esses usuários são usuários de serviço do windows.
Ainda na janela de Configuração do SSO Agent clique na aba Users e insira esses usuários na seção “user names used by Windows services“.
Pronto, agora esses usuários não mais a navegação de nenhum usuário.
AUTOR: Ernander Rosendo
Espero que ajude!
Igor Casalecchi
Isso o que eu estava procurando!!!
Obrigado!!
Sensacional…tive um problema parecido há um tempo atrás…não me lembro a solução adotada ou se foi resolvido mas estarei atento a esse tipo de situação.
Obrigado!
Eu tenho um problema que o Sonicwall as vezes fica instavel e bloqueia sites que estam liberados para o usuario, ai o usuario precisa ficar no F5 até liberar a pagina, essa instabilidade ocorre sem mais nem menos. Alguem ai ja passou por isso?
Caro Joao
Verifique as regras de autenticacao e tente modificar o metodo de autenticacao no SSO, isto parece que estar sendo causado pela demora no SonicWALL em detectar o usuario da estacao e assim validar os grupos ao qual ele pertence.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Muito bom a soluçao para o usuário, mas para administradores nao é a melhor saída, dessa forma todas as máquinas ficaram com mesmo usuário nas sessoes abertas no sonicwall, e tambem nao podera colocar login único, pois o primeiro que logar tera internet e outros nao navegarao.
Caro Andre
Creio que esteja confundindo a solução.
Esta solução simplesmente faz com que o SSO não enxergue usuários locais da estação do usuário, assim os usuários verdadeiros podem ser identificados e liberados corretamente.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Muito bom. Costumo utilizar tambem dentro do software Directory Connector a opcao Diagnostic Tools.
Outro dica que já passei, o cliente retirou as permissoes do usuario que utilizava no Directory Connector (DOMINIO\ldap), depois de retirada o SSO parou de rodar.
Post excelente, mas meu problema é diferente.
Seguinte:
Estamos com um problema em nosso Sonicwall, o SSO Agent não está autenticando os usuário e por esse motivo não conseguimos também acessar os appliances.
Nosso usuários estão sem acesso à internet.
Segue erro:
User login denied – LDAP communication or configuration error
Caro Leandro
Verifique se o usuário do AD que esta executando o serviço do Agente SSO SonicWALL tem permissão de administrador do dominio.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Boa Tarde Igor,
Eu atualizei o FW para a versao 5.9.0.1 porem alguns usuarios so conseguem autenticar via Web Login, nao passando pelo SSO o que poderia estar ocorrendo, hoje estou com mais ou menos 130 usuarios via SSO e uns 50 somente via Webligin.
Caro Ezio
Temos registros de inumeros equipamentos apresentando problemas com a nova firmware 5.9
Recomendo que valide isto, pois os equipamentos que gerencio nenhum passou na validação e homologação interna que faço em ambiente de testes para colocar em produção para o cliente.
Recomendo a firmware 5.8.1.13
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Caro Igor.
Instalamos em nossa empresa o firmware 5.9.
Durante um certo tempo funcionou bem, ontem a rede apresentou enorme lentidão e problema para carregar qualquer tipo de site.
Depois de vários teste descobri que o problema esta no SSO. Desabilitei o SSO e a rede voltou ao normal. Porem preciso do SSO em minha rede.
Como posso resolver este problema?
Obrigado pela atenção.
O mais importante neste caso é verificar se a regra de firewall está correta, e se as atribuições na ZONA LAN estão corretas.
Após isto, basta verificar como o SSO está configurado (verifique isto no cliente instalado no Servidor AD) e ajuste para uma melhor eficiência.
Preciso de maiores detalhes de sua rede para saber qual o melhor método.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Olá Igor, obrigado pelas dicas!
Após o upgrade para versão 5.9.x tive vários problemas de funcionamento do sonicwall. Possuimos em produção aqui um NSA 220. Estou pensando seriamente em fazer um downgrade para ver se melhora a estabilidade do equipamento.
Sobre este tópico tenho uma duvida. Tenho aqui no meu ambiente o Endpoint da Sophos, e em cada estação um usuario “SophosNOMEDA_MAQUINA” é criado pelo aplicativo. Como contornar esta situação já que o usuario local que o antivirus cria não tem o mesmo nome em todas as maquinas?
Caro Henrique
Nunca recebi esta informação, que o software da sophos instala e roda com nomes diferentes usando o nome da estação de trabalho.
Creio que um chamado com o fabricante auxilie na resolução deste problema.
Qualquer dúvida me avise.
Igor Casalecchi
Mas Igor não é um “problema”, a própria aplicação cria este usuário em cada estação para que a estação se atualize, assim como o antivirus Avast ou o controlador de video da Nvidia. A diferença é que o nome de usuário instalado pelo Endpoint do Sophos é randômico, muda de acordo com o nome da maquina.
Caro Henrique
Entendo, desta forma, creio que terá que adicionar cada nome que esta aplicação gere na exclusão se o SSO estiver identificando elas.
Porém creio que a melhor maneira de resolver isto seja usar o SSO com a função “DC Security Logs”, com esta opção o SSO irá solicitar ao seu AD qual o usuário fez a autenticação por ultimo naquele endereço IP, com isto, saberá de forma atualizada os usuários que acessaram a as determinadas estações de trabalho.
Espero que ajude
Igor Casalecchi
Instrutor SonicWALL
Tive esse problema com o software de atualização de drivers da nVidia e “resolvi” alterando o usuário do serviço (eram poucas máquinas).
Agora que li esse post já adicionei o usuário à lista de exclusão, muito obrigado!
Bom Dia. Aqui em nossa empresa enfrentamos um problema parecido. Ao final do dia, as máquinas do R.H e de outros setores são desligadas, umas 15 máquinas no total. No dia seguinte, após cada usuário se logar normalmente, as máquinas não navegam. Fiz essa verificação e não é o caso desse AvastsoftwareUpdater pois aqui usamos Avira nas máquinas. Sou obrigado a desligar o SonicWall, parar o serviço SSOagent e depois ativá-lo. Só assim volta ao normal. Vejam um exemplo: Na estação com IP: 192.168.29 após o teste:
Test Status:
Result: No user found
Information returned from the agent:
User was identified from domain controller logs
Já em outra estação com IP 192.168.1.34 retornou:
User name: *****NET\Sa*****
User was identified from domain controller logs
Caro Sérgio
Recomendo que coloque o Agente SSO com opção de usar também o NETAPI ou WMI.
Faça este teste.
Espero que ajude
Igor Casalecchi
Instrutor SonicWALL
Obrigado Igor pela resposta. Amanhã verificarei e volto aqui para relatar se deu certo. Grato.
Prezados já no meu caso não consigo identificar o porque do SSO agent não reconhecer essa estação, sempre quando vou checar o SSO agent nesse mesmo ip da máquina ele me retorna com esse erro (192.168.0.188 Agent did not respond) , o agente não responde queria saber qual o procedimento p/ forçar o agent a localizar o usuário com suas devidas permissôes de acesso.
Caro Rodrigo
Se a mensagem que aparece for “Agent did not respond” seu problema é entre o Agente SSO instalado no Servidor e o Appliance Dell SonicWALL.
Verifique as configurações e teste novamente.
Recomendo testar os metodos de NetAPI e WMI e verificar qual oferece melhor desempenho em seu ambiente
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor Parabéns pelo blog! e pela excelente dica!
Espero que vc ainda visualize minha msg : ) Preciso de um help seu, estou com este problema na rede, e no teste
o status é o seguinte ( fiz os 2 testes , Check agent connectivity e Check user) :
Result: Agent is ready and User name: “Meudomínio”\”usuario”.. no teste de usuario, é o que aparece.. tem alguma coisa que pode ser feito? Já mudei o tempo de time out , e tirei a opção de Case Sensitive do username ( não lembro na onde era isto, mas mudei).
Será que é algum erro no NetApi or Wmi?
Caro Edmar
Verifique como está esta aplicação do SSO
Você configurou uma regra da LAN > WAN solicitando autenticação?
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Boa tarde,
Temos o SonicWall NSA 250 M, com a versão SonicOS Enhanced 5.9.1.0-22o, ultimamente ele reconhece o usuário, fazendo testes no Configure do SSO está com o directory Connector funcionando corretamente, mas o usuário não consegue navegar utilizando a conexão SSO, é preciso sempre autenticar via browser, será que foi a atualização para a nova versão do firmware? Lembrando que fazemos a autenticação via LDAP, e a query source do SSO está como WMI.
OBRIGADO……..
Caro Wagner
Se o usuário é identificado dentro do menu > Users > Status então ele está autenticado
Deve ser algum outro ponto que precisa ser revisto
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Prezados, bom dia.
Estou com um problema que os meus usuários de windows 7 não consegue navegar sem autenticar via web.
Produto NSA2400 FW SonicOS Enhanced 5.9.1.0-22o e Directory Conector 3.6.25 e SSoagent já esta como adm do dominio.
Alguém sabe o que pode ser?Erro abaixo.
Agent reported error – Error from OS: [5] You do not have enough privileges.
Renato Araújo.
Caro Renato
Este erro é tipico das mensagens do Agente SSO.
Para que o agente SSO identifique quem é o usuário na estação de trabalho ele faz 03 tipos de consulta:
1> NetAPI
2> WMI
3> DC Security Logs
Os 2 primeiros tipos (NETAPI e WMI) requerem algumas portas liberadas na maquina local
Normalmente eu crio exceções no Firewall local e no Antivirus das estações para as seguintes portas:
> 135
> 137
> 138
> 139
> 445
Liberando somente o endereço IP do Servidor onde está o agente SSO
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Prezados,
Estou com este mesmo problema de autenticação, porém o campo “User names used by Windows services:” não aparece na aba Users das configurações do SSO para serem adicionados os usuários dos serviços do windows.
SonicOS 6.1.1.10, NSA 3600. Alguem já teve esse problema ou sabe alguma solução para o mesmo?
Grato,
Gustavo
Caro Gustavo
Este campo pode estar dentro da configuração do SSO, no menu suspenso a direita, veja com calma que ele está lá.
Caso não tenha exito me avise que montamos um print
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor, já testou fazer essa exclusão para o usuário “Administrator” ?
Tenho um ambiente onde várias estações estão autenticando com o usuário “Administrator”, porém mesmo colocando para não autenticar esse usuário, o problema ainda acontece.
FW 5.9
Caro Hudson
Verifique o motivo do usuário administrador estar sendo detectado nas estações, pode ser algum problema ou aplicação que execute uma task nas estações.
Utilizando o botão de exclusão, conseguimos eliminar este usuário.
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor, boa tarde…
Queria ver sua ajuda sobre o seguinte, tenho um tz215 intergrado com o SSO, cfs, vpn enfim tudo funcionando normal… o problema e que no dia seguinte qdo o pessoal chega pra trabalhar e ligam as maquinas … elas nao conseguem acesso , entra na tela de autenticacao pelo site … qdo vejo no sonicwall a conexao do appliance junto ao SSO esta parade ( bolinha vermelha) eu reinicio o servico e tudo volta ao normal… dando o problema somente no dia seguinte… nos logs do SSO conector existe um seguinte erro ;
09/09/2015 12:11:23 TAG_ERROR Could not get appliance info, ip(200.xxx.xxx.xxx), onde o ip e o meu ip externo usado …
Por favor alguma ajuda
Caro Adriano
2 pontos importantes:
1> Colocar na bypass do SSO as redes que não devem ser autenticadas, assim economiza processamento do Servidor SSO
2> Parametrizar as consultas do Agente SSO no seu ambiente, desta forma você vai melhorar o tempo de resposta
OBS: O Agente SSO travar dentro do Servidor Windows é uma forma clara de informar que as configurações não estão coerentes
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Olá, bom dia!
Excelente post.
Em nosso ambiente utilizamos a ferramente de Backup Arcserve D2D. Os usuários que possuem a aplicação estão logando com um usuário do próprio Arcserve. Configuramos da maneira que você informou, mas ainda continua a falha.
Existe outra solução?
Muito Obrigado!
Caro Felipe
A configuração se aplicada da forma como informamos deve excluir o usuário da listagem de verificação do Agente SSO.
Valide as configurações de sincronismo do Agente SSO, creio que irá funcionar
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor, estou com alguns problemas, porém relacionados ao agente TSA. Tenho 4 servidores de TS com os agentes instalados e configurados, os mesmos estão se comunicando com o SonicWALL e inclusive autenticando usuários.
O que acontece é que sem nenhum padrão, o TSA deixa de autenticar algum usuário, por exemplo, existem 18 usuários conectados no TS, porém o SonicWALL só autentica 16, mesmo eu logando com o usuário, tentando acessar alguma página (para ele prosseguir com a autenticação), o mesmo não autentica. Isso acontece em todos os TS, com usuários variados, sendo que em um momento posterior eu logo novamente com o usuário, e ele autentica sem problemas.
Já tentei várias ações, como atualizar/fazer downgrade de versão dos agentes, reiniciar o TS, remover os os servidores de TS no Sonicwall e adicionar novamente, revisar as regras de firewall, reconfigurei a árvore de diretórios do AD no Sonicwall, etc…
Tem alguma sugestão ?
Abraço,
Hudson Righetto
Caro Hudson
Você tem uma regra de firewall forçando o Trusted Users?
Creio que isto possa auxiliar nesta autenticação.
Espero que ajude!
Igor Casalecchi
instrutor SonicWALL
Ernander, muito boa sua dica. Funcionou perfeitamente aqui cara, parabéns!!!!
Showww Igor