- squid и lync2013,
 ipmanyak, 15:59 , 04-Июн-14 (1)> Добрый день.
> Возникла еще одна проблема со сквидом.
> В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается
> и все работает ок. Но если пользоваться выходит в сеть через
> squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести
> учетные данные для связи Lync сервера.
> В acl squid добавлены ip адреса lync серверов, но все равно окно
> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
> убрать это окно, что бы не раздражало и какие еще нужно
> внести настройки в squid что бы пропускал lync Почитай предпоследний пост
http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
возможно твой случай.
- squid и lync2013, Golub Mikhail, 10:45 , 06-Июн-14 (2)
>[оверквотинг удален]
>> и все работает ок. Но если пользоваться выходит в сеть через
>> squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести
>> учетные данные для связи Lync сервера.
>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>> убрать это окно, что бы не раздражало и какие еще нужно
>> внести настройки в squid что бы пропускал lync
> Почитай предпоследний пост
> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
> возможно твой случай.Не надо подключаться к своему линку через прокси с локальной сети.
NTLM через сквид не проходит.
И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.
- squid и lync2013, Ninjatrasher, 09:42 , 09-Июн-14 (3)
>[оверквотинг удален]
>>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>>> убрать это окно, что бы не раздражало и какие еще нужно
>>> внести настройки в squid что бы пропускал lync
>> Почитай предпоследний пост
>> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
>> возможно твой случай.
> Не надо подключаться к своему линку через прокси с локальной сети.
> NTLM через сквид не проходит.
> И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.хм.м.м а можно ли как нибудь настроить так что бы сквид пускал линк к своем сервисам? я уже и указывал ему в acl ip адресса серверов линка, и в сквидгарде прописывал в вайтлист
- squid и lync2013, Ninjatrasher, 14:04 , 10-Июн-14 (4)
>[оверквотинг удален]
>>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>>> убрать это окно, что бы не раздражало и какие еще нужно
>>> внести настройки в squid что бы пропускал lync
>> Почитай предпоследний пост
>> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
>> возможно твой случай.
> Не надо подключаться к своему линку через прокси с локальной сети.
> NTLM через сквид не проходит.
> И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.Так подключаемся мы к облачному серверу линка, а не к локальному.
- squid и lync2013, Golub Mikhail, 19:01 , 10-Июн-14 (5)
> Так подключаемся мы к облачному серверу линка, а не к локальному.
> В acl squid добавлены ip адреса lync серверовLync подключается по имени.
Посмотрите логи. access.log
Там будет написано, куда не пустило. А почему - смотрите конфиг.
Конфига общего нет. У каждого свой, свои правила.
И что у вас открыто - только вам знать.
Какие требования у провайдера услуг, предоставляющего облачный линк?
Указано, что нужен доступ на такие-то адреса, по таким-то портам ...
Может там порты не стандартные. И еще повторюсь, что авторизацию могут запрашивать веб-сервисы Exchange. Наверняка почта у вас тоже в облаке и на Exchange.
Lync ищет запись autodiscover.имя.домена для подключения к сервисам.
А может и по имени https://имя.домена ...
В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос аутентификации, почитайте как работает autodiscover ...
- squid и lync2013, Ninjatrasher, 10:24 , 16-Июн-14 (6)
>[оверквотинг удален]
> И что у вас открыто - только вам знать.
> Какие требования у провайдера услуг, предоставляющего облачный линк?
> Указано, что нужен доступ на такие-то адреса, по таким-то портам ...
> Может там порты не стандартные.
> И еще повторюсь, что авторизацию могут запрашивать веб-сервисы Exchange. Наверняка почта
> у вас тоже в облаке и на Exchange.
> Lync ищет запись autodiscover.имя.домена для подключения к сервисам.
> А может и по имени https://имя.домена ...
> В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос
> аутентификации, почитайте как работает autodiscover ...из логов выяснил , что линк ломиться к lyncdiscoverinternal.domain.com
но не очень понимаю, как сквиду разрешить пропускать весь трафик напрямую к lyncdiscoverinternal.domain.com?
линк работает на стандартном 443 порте, в сквиде он разрешен. Проблем с облачной почтой нет, почему то проблема только с линком, хотя все Ip адреса, которые микрософт просит разрешить на прокси для облачного линка и облачной почты разрешены.
- squid и lync2013, Golub Mikhail, 22:57 , 16-Июн-14 (7)
>[оверквотинг удален]
>> А может и по имени https://имя.домена ...
>> В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос
>> аутентификации, почитайте как работает autodiscover ...
> из логов выяснил , что линк ломиться к lyncdiscoverinternal.domain.com
> но не очень понимаю, как сквиду разрешить пропускать весь трафик напрямую к
> lyncdiscoverinternal.domain.com?
> линк работает на стандартном 443 порте, в сквиде он разрешен. Проблем с
> облачной почтой нет, почему то проблема только с линком, хотя все
> Ip адреса, которые микрософт просит разрешить на прокси для облачного линка
> и облачной почты разрешены.Что касается линка, то посмотрите http://technet.microsoft.com/ru-ru/library/gg398758.aspx
"lyncdiscoverinternal.<домен> запись A (хоста) для службы автоматического обнаружения на внутренних веб-службах".
Не знаю, как с вариантом хостинга линка на стороне, но lyncdiscoverinternal нужна только в локалке.
Возможно, что тип аутентификации не проходит через сквид. Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
Авторизации на сквиде нет?
- squid и lync2013, Ninjatrasher, 08:59 , 17-Июн-14 (8)
>[оверквотинг удален]
>> Ip адреса, которые микрософт просит разрешить на прокси для облачного линка
>> и облачной почты разрешены.
> Что касается линка, то посмотрите http://technet.microsoft.com/ru-ru/library/gg398758.aspx
> "lyncdiscoverinternal.<домен> запись A (хоста) для службы автоматического обнаружения
> на внутренних веб-службах".
> Не знаю, как с вариантом хостинга линка на стороне, но lyncdiscoverinternal нужна
> только в локалке.
> Возможно, что тип аутентификации не проходит через сквид.
> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
> Авторизации на сквиде нет?Авторизация в сквиде NTLM. Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов линка. так же сейчас заметил, если в самом линке указать напрямую, что конектиться к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка с авторизацией на локалхост все равно выскакивает.
- squid и lync2013, Golub Mikhail, 10:22 , 17-Июн-14 (9)
>[оверквотинг удален]
>> только в локалке.
>> Возможно, что тип аутентификации не проходит через сквид.
>> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
>> Авторизации на сквиде нет?
> Авторизация в сквиде NTLM.
> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
> линка.
> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
> с авторизацией на локалхост все равно выскакивает.Выпустите линк без авторизации.
Не проверял, но наверняка он не умеет авторизироваться на прокси.
- squid и lync2013, Ninjatrasher, 11:25 , 17-Июн-14 (10)
>[оверквотинг удален]
>>> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
>>> Авторизации на сквиде нет?
>> Авторизация в сквиде NTLM.
>> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
>> линка.
>> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
>> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
>> с авторизацией на локалхост все равно выскакивает.
> Выпустите линк без авторизации.
> Не проверял, но наверняка он не умеет авторизироваться на прокси.а как это сделать в сквиде?
- squid и lync2013, Golub Mikhail, 11:32 , 17-Июн-14 (11)
>[оверквотинг удален]
>>>> Авторизации на сквиде нет?
>>> Авторизация в сквиде NTLM.
>>> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
>>> линка.
>>> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
>>> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
>>> с авторизацией на локалхост все равно выскакивает.
>> Выпустите линк без авторизации.
>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
> а как это сделать в сквиде?Мда ... :( Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
Многие клиент-банки, например.
А есть еще ПО, которое вообще в принципе не может работать с прокси. Придется такое ПО через NAT выпускать.
Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.
- squid и lync2013, Ninjatrasher, 11:43 , 17-Июн-14 (12) –1
>[оверквотинг удален]
>>>> с авторизацией на локалхост все равно выскакивает.
>>> Выпустите линк без авторизации.
>>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
>> а как это сделать в сквиде?
> Мда ... :(
> Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
> Многие клиент-банки, например.
> А есть еще ПО, которое вообще в принципе не может работать с
> прокси. Придется такое ПО через NAT выпускать.
> Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
- squid и lync2013, Golub Mikhail, 12:48 , 17-Июн-14 (13) –1
>[оверквотинг удален]
>>>> Выпустите линк без авторизации.
>>>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
>>> а как это сделать в сквиде?
>> Мда ... :(
>> Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
>> Многие клиент-банки, например.
>> А есть еще ПО, которое вообще в принципе не может работать с
>> прокси. Придется такое ПО через NAT выпускать.
>> Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.
> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?Вам виднее. Вы же должны знать, как у вас все реализовано.
Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что можно прописать "напрямую" и без прокси подключается.
Как клиенты попадают на прокси? - указан явно, получают настройки через dns, dhcp ...
Можно задать исключения, что по таким-то именам не использовать прокси. Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
acl lync dstdomain .lync.com
http_access allow lync
- squid и lync2013, Ninjatrasher, 13:31 , 17-Июн-14 (14)
>[оверквотинг удален]
>> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
> Вам виднее. Вы же должны знать, как у вас все реализовано.
> Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что
> можно прописать "напрямую" и без прокси подключается.
> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
> dhcp ...
> Можно задать исключения, что по таким-то именам не использовать прокси.
> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
> acl lync dstdomain .lync.com
> http_access allow lync Спасибо за столь язвительный ответ :)
- squid и lync2013, Ninjatrasher, 13:39 , 17-Июн-14 (15) –1
>[оверквотинг удален]
>> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
> Вам виднее. Вы же должны знать, как у вас все реализовано.
> Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что
> можно прописать "напрямую" и без прокси подключается.
> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
> dhcp ...
> Можно задать исключения, что по таким-то именам не использовать прокси.
> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
> acl lync dstdomain .lync.com
> http_access allow lync я предполагал, что раз вы отвечаете в теме, то наверное у вас был опыт в настройки Lync2013 через сквид. А разводить демагогию, ну что ж, это минус всех форумов) но все равно спасибо вам.
- squid и lync2013, Golub Mikhail, 13:55 , 17-Июн-14 (16)
>[оверквотинг удален]
>> можно прописать "напрямую" и без прокси подключается.
>> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
>> dhcp ...
>> Можно задать исключения, что по таким-то именам не использовать прокси.
>> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
>> acl lync dstdomain .lync.com
>> http_access allow lync
> я предполагал, что раз вы отвечаете в теме, то наверное у вас
> был опыт в настройки Lync2013 через сквид. А разводить демагогию, ну
> что ж, это минус всех форумов) но все равно спасибо вам. Правильно поставленный вопрос - это уже половина ответа.
Вы прочитайте свой вопрос и попробуйте дать ответ.
В вопросе вы описали "сферического коня в вакууме" и хотели в ответ получить конкретный пример реализации.
У меня все (выход в Интернет, работа с прокси, работа с линком и т.д.) реализовано одним способом, у вас другим. У кого-то третьим ...
На прокси у меня свои схемы аутентификации и правила доступа.
А не зная как сделано у вас я не мог дать вам однозначный ответ, так как не обладаю телепатическими способностями.
- squid и lync2013, Ninjatrasher, 15:52 , 17-Июн-14 (17)
>[оверквотинг удален]
> Правильно поставленный вопрос - это уже половина ответа.
> Вы прочитайте свой вопрос и попробуйте дать ответ.
> В вопросе вы описали "сферического коня в вакууме" и хотели в ответ
> получить конкретный пример реализации.
> У меня все (выход в Интернет, работа с прокси, работа с линком
> и т.д.) реализовано одним способом, у вас другим. У кого-то третьим
> ...
> На прокси у меня свои схемы аутентификации и правила доступа.
> А не зная как сделано у вас я не мог дать вам
> однозначный ответ, так как не обладаю телепатическими способностями.не могли бы Вы тогда показать часть вашего конфига сквида, где описывается пропуск Lync
- squid и lync2013, Golub Mikhail, 18:38 , 17-Июн-14 (18)
>[оверквотинг удален]
>> В вопросе вы описали "сферического коня в вакууме" и хотели в ответ
>> получить конкретный пример реализации.
>> У меня все (выход в Интернет, работа с прокси, работа с линком
>> и т.д.) реализовано одним способом, у вас другим. У кого-то третьим
>> ...
>> На прокси у меня свои схемы аутентификации и правила доступа.
>> А не зная как сделано у вас я не мог дать вам
>> однозначный ответ, так как не обладаю телепатическими способностями.
> не могли бы Вы тогда показать часть вашего конфига сквида, где описывается
> пропуск Lync Вам это не поможет. По нескольким причинам ...
У меня линк локальный. И "пропускать" его не надо.
Вторая причина, что на прокси у меня практически все acl обрабатываются внешними процессами.
И такой конфиг я вам буду долго описывать. Я вам писал, как сделать. Но не буду же я вам конфиг делать. Перепишите под себя.
acl lync dst 1.1.1.0/24 2.2.2.0/24
http_access allow lync Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу будет без авторизации.
- squid и lync2013, Ninjatrasher, 09:12 , 18-Июн-14 (19)
>[оверквотинг удален]
> У меня линк локальный. И "пропускать" его не надо.
> Вторая причина, что на прокси у меня практически все acl обрабатываются внешними
> процессами.
> И такой конфиг я вам буду долго описывать.
> Я вам писал, как сделать. Но не буду же я вам конфиг
> делать. Перепишите под себя.
> acl lync dst 1.1.1.0/24 2.2.2.0/24
> http_access allow lync
> Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу
> будет без авторизации.спасибо большое попробую! - squid и lync2013, Ninjatrasher, 12:54 , 18-Июн-14 (20)
>[оверквотинг удален]
> У меня линк локальный. И "пропускать" его не надо.
> Вторая причина, что на прокси у меня практически все acl обрабатываются внешними
> процессами.
> И такой конфиг я вам буду долго описывать.
> Я вам писал, как сделать. Но не буду же я вам конфиг
> делать. Перепишите под себя.
> acl lync dst 1.1.1.0/24 2.2.2.0/24
> http_access allow lync
> Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу
> будет без авторизации.Все оказалось гораздо прозаичнее, DNS нужно было прописать lyncdiscoverinternal.domain.com.
И линк законектился на ура, но проблема с появляющимся окном авторизации остается, но это скорей всего из за того что Линк хочется синхронизоваться с exchange и outlook. Большое спасибо Михаил за наведение на нужные мысли ) Прошу меня простить, если я Вас вывел из себя в каком то момент нашего с вами диалога.
|
Версия для распечатки
squid и lync2013, 
