Thin Client (SATC) Benutzer können sich nicht anmelden

Benutzer von Terminalservern wie Citrix müssen sich mit einem Thin Client (SATC) anmelden. Wenn die Authentifizierung fehlschlägt, führen Sie die folgenden Schritte aus, um das Problem zu beheben.

Situation

Terminalserverbenutzer können sich nicht authentifizieren.

Ursache

Es kann eine Reihe von Gründen geben, warum Benutzer sich nicht authentifizieren können. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Ihre Systeme korrekt konfiguriert sind, und um alle Probleme zu beheben, denen Sie begegnen.

Lösung

  1. Melden Sie sich an der XG Firewall Kommandozeilenschnittstelle an.
  2. Wählen Sie Option 4. Device Console.
  3. Geben Sie den folgenden Befehl ein:

    system auth thin-client show

    Hier werden die IP-Adressen Ihrer Terminalserver aufgelistet. Stellen Sie sicher, dass alle erwarteten IP-Adressen angezeigt werden.

  4. Wenn der Terminalserver in den obigen Schritten nicht angezeigt wird, fügen Sie ihn mit dem folgenden Befehl hinzu:

    system auth thin-client add citrix-ip IP-ADRESSE

    Ersetzen Sie IP-ADRESSE durch die IP-Adressen des Servers.

  5. Öffnen Sie ATC auf allen Terminalservern, auf denen SATC ausgeführt wird, gehen Sie zum Tab Sophos Settings und überprüfen Sie, ob die richtige IP-Adresse für XG Firewall unter Sophos IP Address konfiguriert ist. Überprüfen Sie außerdem, ob der Dienst im Windows Task-Manager ausgeführt wird.
  6. Überprüfen Sie die Einstellungen des Authentifizierungsservers in XG Firewall. Gehen Sie zu Authentifizierung > Dienste und stellen Sie sicher, dass der Active-Directory-Server unter Firewall-Authentifizierungsmethoden ausgewählt ist.
  7. Überprüfen Sie, ob Proxy-Software oder Sicherheitssoftware auf dem Server installiert ist, die den Quellport ändern könnte. Ist dies der Fall, weist XG Firewall eine falsche Portübereinstimmung auf und der Datenverkehr wird als nicht authentifiziert behandelt.
  8. Wenn Sie Internet Explorer verwenden, gehen Sie folgendermaßen vor, um die Benutzerkontensteuerung (User Account Control, UAC) zu minimieren oder zu deaktivieren:

    Die Benutzerkontensteuerung ist eine Sicherheitskomponente, mit der ein Administrator während einer Sitzung ohne Administrator Anmeldeinformationen eingeben kann, um administrative Aufgaben auszuführen.

    1. Melden Sie sich bei Ihrem Windows AD-Server an. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Systemsteuerung auf Benutzerkonten.
    3. Klicken Sie im Fenster Benutzerkonten auf Benutzerkonten.
    4. Klicken Sie im Fenster Benutzerkontenaufgaben auf Benutzerkontensteuerung ein- oder ausschalten.
    5. Deaktivieren Sie UAC (User Account Control), um Ihren Computer zu schützen, und klicken Sie auf OK.
    6. Klicken Sie auf Jetzt neu starten, um die Änderung sofort anzuwenden.

    Wenn UAC derzeit im Administratorgenehmigungsmodus konfiguriert ist, wird die Meldung Benutzerkontensteuerung angezeigt. Klicken Sie auf Weiter.

    Wenn UAC aktiviert ist, kann der SATC-Client den Datenverkehr nicht an XG Firewall senden. Da SATC den Benutzernamen über Port 6060 sendet, erscheinen Benutzer nicht in der Live-Benutzerliste. Dies geschieht, wenn der Thin Client-Benutzer mit Internet Explorer auf das Internet zugreift.

    SATC LSP registriert sich bei Winsock für XG Firewall, um den Benutzerdatenverkehr zu verstehen. Wenn UAC aktiviert ist, umgeht Internet Explorer die LSP-Registrierung.

    Anmerkung Es gibt kein Problem mit UAC mit dem Firefox-Webbrowser.
  9. Wenn Sie Internet Explorer verwenden, gehen Sie folgendermaßen vor, um den erweiterten geschützten Modus zu deaktivieren.
    1. Starten Sie Ausführen über das Windows-Startmenü.
    2. Geben Sie im Fenster Ausführen den Befehl inetcpl.cpl ein und klicken Sie auf OK.
    3. Klicken Sie im Fenster Interneteigenschaften auf das Tab Erweitert.
    4. Blättern Sie nach unten zu Sicherheit und schalten Sie dann Erweiterten geschützten Modus aktivieren.
    5. Klicken Sie auf Übernehmen und dann auf OK.
  10. Wenn Sie Google Chrome verwenden, gehen Sie folgendermaßen vor, um die Einstellung Runs network service in-process zu aktualisieren:
    1. Gehen Sie zu chrome://flags.
    2. Suchen Sie nach Runs network service in-process.
    3. Stellen Sie die Einstellung auf Enabled.
    Benutzer können sich wie gewünscht über SATC authentifizieren.