СУФД + AD

Тема такая, может кто сталкивался с проблемой функционирования контроллера домена и windows 7.
Есть доменная сеть, есть компы под хп и 7, проблема в том, что под хп все работает нормально, а вот с 7 проблема. Континент подключается, суфд работает проходит 5 минут и начинаеться "сервер недоступен" и.т.д помогает переподключение континента АП. В хп такой проблемы нет.

Все перерыл, но ответа так и не нашел.

Перепробовал все от изменения настроек брандмауэра до разных версий континента.

Может кто сталкивался?

Какой у Вас роутер? маршрутизатор?

TP-LINK.

Tp-Link - это марка. Какая модель и версия/ревизия?
Например, на рисунке модель TL-WN321G .

TL-R480T+ v5.1

1) Пробовали устанавливать/снимать флажок "Использовать основной шлюз в удаленной сети":
Свойства VPN-подключения ("Континент АП") --> Вкладка "Сеть" --> выделить мышью протокол TCP/IPv4 --> Кнопка "Дополнительно" --> флажок "Использовать основной шлюз в удаленной сети"?
2) Попробуйте удалить антивирус и посмотреть, как будет работать без него.
3) Для Windows 7 версия Континент-АП должна быть 3.6.90.4 или выше.
4) Если войти на web-страницу маршрутизатора и выбрать вкладку Status, то там будет версия установленной прошивки(firmware version) с её датой выпуска(Build). Если дата раньше 2013-01-16, то кто-нибудь, кто разбирается, как настраивать маршрутизатор, может попробовать её обновить на маршрутизаторе - поможет/не поможет - неизвестно. После обновления все настройки маршрутизатора слетают.

Вот только незадача) Как только комп выведен из домена, все работает отлично. На домене политиками открыты порты на вход и выход нужные для континента.

Анонимный пишет: Вот только незадача) Как только комп выведен из домена, все работает отлично. На домене политиками открыты порты на вход и выход нужные для континента.

Разрешали доменным пользователям удаленный VPN-доступ?

В антивирусе могут быть указаны разрешенные сетевые адреса. При работе в домене антивирус может быть настроен иначе, чем после вывода компьютера из домена. Поэтому все равно стоит попробовать удалить антивирус и проверить.

Пробовал и с антивирусом и без. Уменьшал MTU. Отключал и включал рандмауэр, за все это время чего только не перепробовал.
Не могу понять, что отличает 7 от хп в этом плане. на хп то все летает, а вот с 7 засада полная.

Если какая-то проблема в самой Windows 7, то возможно, что было выпущено какое-то обновление для неё, которое устраняет какую-то проблему. Можно попробовать обновить один компьютер с Windows 7 с помощью UpdatePack7R2 . После этого, скорее всего потребуется переустановить КриптоПро CSP. Если там установлен КриптоПро CSP 3.6.7777, то, не переустанавливая, выполнить в командной строке, запущенной от имени администратора: "regsvr32 /u cpcng" и затем после "regsvr32 cpcng".

Если на компьютере, введённом в домен, завести недоменного пользователя и настроить всё под ним?

При первом соединении Континент-АП к серверу доступа Континент устанавливает свои два сертификата в оснастку "Сертификаты (локальный компьютер)":

1. Сертификаты (локальный компьютер) -- TS Root Server Authentication -- Реестр -- Сертификаты: SD-**_ROOT_10
2. Сертификаты (локальный компьютер) -- TS Server Authentication -- Реестр -- Сертификаты: УФК**-2014

где ** - номер региона России (казначейская нумерация)
Проверьте, установлены ли они на компьютере в домене с Windows 7. Если установлены, то также на всякий случай скопируйте SD-**_ROOT_10 в файл и затем установите его в Сертификаты (локальный компьютер) -- Доверенные корневые центры сертификации -- Реестр -- Сертификаты.

Вообще в таких непонятных случаях можно долго копаться вслепую и гадать. Поэтому лучше попытаться отследить разницу по реестру Windows и файловой системе путем сравнения. Помочь в этом смогут две утилиты:

1. regshot
2. NirSoft RegistryChangesView

Вообще таких сертификатов не нашел. Есть acsserv_root_2021 и sufd_code_storage ну не считая сертификатов удостоверяющего и головного центров. Континент соединяется но после небольшого простоя зайти в него уже невозможно, хотя континент показывает, что соединен. На хп при входе на комп континент соединяется автоматом и висит весь день и всегда можно зайти, а вот в 7 приходиться переподключаться.

aragor пишет: Есть acsserv_root_2021 и sufd_code_storage ну не считая сертификатов удостоверяющего и головного центров.

Каждое региональное казначейство выпускает свои сертификаты для сервера доступа помимо сертификатов удостоверяющего и головного центров. В моем регионе их два:
SD-**_ROOT_10 (Кому выдан: SD-**_ROOT_10, Кем выдан: SD-**_ROOT_10) - то есть это корневой сертификат Сервера Доступа.
УФК**-2014 (Кому выдан: УФК**-2014, Кем выдан: SD-**_ROOT_10) -это сам сертификат Сервера Доступа. И устанавливаются в те места, о которых я написал ранее (TS Root Server Authentication и TS Server Authentication).

sufd_code_storage - похоже, что это сертификат непосредственно сайта СУФД, а не Сервера Доступа.
У Вас один сертификат Сервера доступа: acsserv_root_2021 (Скорее всего Кому выдан: acsserv_root_2021 , Кем выдан: acsserv_root_2021). И куда он установлен?
Если в оснастке Сертификаты два раза щелкнуть на него, то на вкладке Общие там нет таких слов "Нет доверия к этому сертификату" ?

Не знаю, как должно быть правильно для Вашего региона. Сравните как на Windows XP.
Сотрудники отдела ОРСиБИ, которые здесь на сайте, надеюсь подскажут.

Wmffre пишет:

aragor пишет: Есть acsserv_root_2021 и sufd_code_storage ну не считая сертификатов удостоверяющего и головного центров.

Каждое региональное казначейство выпускает свои сертификаты для сервера доступа помимо сертификатов удостоверяющего и головного центров. В моем регионе их два:
SD-**_ROOT_10 (Кому выдан: SD-**_ROOT_10, Кем выдан: SD-**_ROOT_10) - то есть это корневой сертификат Сервера Доступа.
УФК**-2014 (Кому выдан: УФК**-2014, Кем выдан: SD-**_ROOT_10) -это сам сертификат Сервера Доступа. И устанавливаются в те места, о которых я написал ранее (TS Root Server Authentication и TS Server Authentication).

sufd_code_storage - похоже, что это сертификат непосредственно сайта СУФД, а не Сервера Доступа.
У Вас один сертификат Сервера доступа: acsserv_root_2021 (Скорее всего Кому выдан: acsserv_root_2021 , Кем выдан: acsserv_root_2021). И куда он установлен?
Если в оснастке Сертификаты два раза щелкнуть на него, то на вкладке Общие там нет таких слов "Нет доверия к этому сертификату" ?

Не знаю, как должно быть правильно для Вашего региона. Сравните как на Windows XP.
Сотрудники отдела ОРСиБИ, которые здесь на сайте, надеюсь подскажут.

На ХР тоже самое. Доверие к сертификату есть. Еще раз посмотрел, что прислали с сертификатом пользователя только один acsserv_root_2021 к контейнере root.p7b

Из crl.roskazna.ru/crl:

1. Корневой сертификат ГУЦ.crt - установлен в Доверенные корневые центры сертификации
2. root2013.crt - установлен в Доверенные корневые центры сертификации
3. Корневой сертификат УЦ ФК от 04.07.2017.crt - установлен в Промежуточные центры сертификации

НЕ ПОНЯЛ: acsserv_root_2021 - это сертификат пользователя, который связан с контейнером закрытого ключа root.p7b ??? Или это отдельный сертификат, не связанный с контейнером закрытого ключа и для пользователя Вы получили также ещё личный сертификат, который уже связан с контейнером закрытого ключа?