hcie-security內(nèi)容修訂20套提交hc ssl故障排除

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031073SVNV1R1V1.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳世杰2014-08-15王銳開發(fā)丁祖賢2015-03-29優(yōu)化本頁不打印HC13031073 SSL VPN故障排除 目標(biāo)學(xué)完本課程后，您將能夠:熟悉引發(fā)故障的常見配置問題掌握故障基本定位過程掌握相關(guān)故障處理過程 目錄一般故障處理流程常見故障定位及處理登錄虛擬網(wǎng)關(guān)頁面故障認(rèn)證授權(quán)故障Web代理故障網(wǎng)絡(luò)擴(kuò)展故障端口轉(zhuǎn)發(fā)故障文件共享故障終端安全1、故障處理流程圖一般故障的定義及處理流程：2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障一、無法登錄虛擬網(wǎng)關(guān)Web頁面且無任何提

2、示信息?？赡茉颍?原因一：在采用證書認(rèn)證后，沒有選中“需要用戶提供證書”選項(xiàng)，導(dǎo)致沒有證書驗(yàn)證請(qǐng)求，客戶端也不會(huì)傳輸證書到虛擬網(wǎng)關(guān)，導(dǎo)致登錄沒有響應(yīng)。 原因二：在采用證書認(rèn)證后，使用Firefox瀏覽器進(jìn)行客戶端證書認(rèn)證登錄，證書驗(yàn)證失敗，SSL連接斷開，頁面沒有響應(yīng)。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障二、提示“無法顯示網(wǎng)頁”?？赡茉颍涸蛞唬河脩鬚C和虛擬網(wǎng)關(guān)路由不可達(dá)。原因二：虛擬網(wǎng)關(guān)的IP地址已經(jīng)被更改。原因三：沒有通過虛擬網(wǎng)關(guān)域名訪問共享型虛擬網(wǎng)關(guān)。原因四：共享型虛擬網(wǎng)關(guān)域名沒有配置為公網(wǎng)地址。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障三、提示“您的證書驗(yàn)證非法，請(qǐng)?zhí)峁┖戏ǖ淖C書!”可能原

3、因：原因一：客戶端證書不在有效期內(nèi)。原因二：客戶端證書已經(jīng)被吊銷。原因三：客戶端證書對(duì)應(yīng)的虛擬網(wǎng)關(guān)CA證書沒有正確導(dǎo)入。原因四：證書檢測(cè)配置錯(cuò)誤：使用CRL檢測(cè)時(shí)，如果從客戶端證書中獲取CDP信息時(shí)，CDP服務(wù)器路由不可達(dá)。使用OCSP檢測(cè)時(shí)，OCSP選項(xiàng)配置錯(cuò)誤或OCSP響應(yīng)器路由不可達(dá)。原因五：在證書鏈中，CA證書的上級(jí)證書被吊銷或檢測(cè)錯(cuò)誤。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障三、提示“您的證書驗(yàn)證非法，請(qǐng)?zhí)峁┖戏ǖ淖C書!”2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障四、提示“visit limit，your IP address is not security”。可能原因： 管理員配置了限制該終端源

4、IP地址的策略。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障五、提示“用戶連接數(shù)已達(dá)到上限，請(qǐng)稍后再試”。可能原因：原因一：正?，F(xiàn)象。在線用戶達(dá)到上限。原因二：允許一個(gè)賬號(hào)在多處同時(shí)登錄的情況下，會(huì)話超時(shí)時(shí)間設(shè)置過長。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障六、提示“錯(cuò)誤的用戶名或密碼”?？赡茉颍涸蛞唬河脩裘兔艽a輸入錯(cuò)誤。原因二：用戶或組過濾字段配置錯(cuò)誤。原因三：證書過濾字段配置錯(cuò)誤。原因四：AD服務(wù)器和SVN系統(tǒng)的時(shí)間、時(shí)區(qū)不一致。原因五：SecurID令牌和SecurID服務(wù)器的時(shí)間差大于設(shè)定的值。2.2、認(rèn)證授權(quán)故障 故障一、LDAP或AD的組搜索失敗?？赡茉颍涸蛞唬篖DAP服務(wù)器不存在或路由

5、不可達(dá)。原因二：沒有正確配置LDAP服務(wù)器信息。原因三：沒有正確配置組搜索的Base DN/Port DN。原因四：搜索規(guī)則不符合規(guī)范。AD組搜索失敗的原因和處理過程與LDAP類似。2.2、認(rèn)證授權(quán)故障故障二、LDAP或AD組搜索需要較長時(shí)間，但是服務(wù)器上的組并不多?？赡茉颍涸蛞唬核阉饕?guī)則設(shè)置范圍太寬，導(dǎo)致LDAP服務(wù)器返回了大量重復(fù)的組名，在SVN上花費(fèi)很多時(shí)間來過濾。原因二：配置了主備LDAP服務(wù)器，可能主LDAP服務(wù)器連接不上，而向備LDAP服務(wù)器請(qǐng)求。 AD組搜索失敗的原因和處理過程與LDAP類似。2.3、Web代理故障 故障一、用戶無法訪問頁面上看到的Web代理資源?？赡茉颍涸?/p>

6、因一：網(wǎng)絡(luò)連接故障。原因二：內(nèi)網(wǎng)服務(wù)器沒有開啟Web服務(wù)。原因三：虛擬網(wǎng)關(guān)策略設(shè)置錯(cuò)誤。2.3、Web代理故障 故障二、打開Web代理資源頁面時(shí)，頁面顯示不完全?？赡茉颍赫，F(xiàn)象。該頁面包含多個(gè)鏈接，管理員沒有對(duì)這些鏈接配置相應(yīng)的Web代理資源。如果需要顯示該頁面的所有內(nèi)容，請(qǐng)按照以下處理步驟進(jìn)行配置。2.3、Web代理故障 故障三、虛擬網(wǎng)關(guān)上不能顯示配置的全部Web代理資源?？赡茉颍赫，F(xiàn)象。非門戶鏈接資源不會(huì)顯示在虛擬網(wǎng)關(guān)上。2.3、Web代理故障 故障四、在代理環(huán)境下，某些軟件啟動(dòng)后，用戶無法訪問Web代理資源?？赡茉颍寒?dāng)ISA Client等會(huì)修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時(shí)，

7、網(wǎng)絡(luò)瀏覽器的代理設(shè)置被修改，導(dǎo)致用戶無法訪問Web代理資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障一、不能使用網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)訪問內(nèi)網(wǎng)服務(wù)器資源?？赡茉颍涸蛞唬壕W(wǎng)絡(luò)連接故障。原因二：SVN上沒有將該內(nèi)網(wǎng)服務(wù)器配置為網(wǎng)絡(luò)擴(kuò)展資源。原因三：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡(luò)擴(kuò)展資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障二、無法啟用網(wǎng)絡(luò)擴(kuò)展功能?？赡茉颍篜C上不能啟動(dòng)網(wǎng)絡(luò)擴(kuò)展功能，可能與當(dāng)前PC特定的軟硬件環(huán)境有關(guān)。啟用網(wǎng)絡(luò)擴(kuò)展功能時(shí)會(huì)自動(dòng)安裝虛擬網(wǎng)卡和Nemservice系統(tǒng)服 務(wù)，如果上述安裝不正確則不能成功啟用網(wǎng)絡(luò)擴(kuò)展功能。原因一：?jiǎn)?dòng)網(wǎng)絡(luò)擴(kuò)展時(shí)安裝虛擬網(wǎng)卡失敗。原因二：?jiǎn)?dòng)網(wǎng)絡(luò)擴(kuò)展時(shí)安裝或者啟動(dòng)Nemse

8、rvice失敗。原因三：客戶端IE代理設(shè)置的遠(yuǎn)程pac文件地址不正確導(dǎo)致網(wǎng)絡(luò)擴(kuò)展啟動(dòng)失敗。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障三、使用客戶端啟動(dòng)網(wǎng)絡(luò)擴(kuò)展時(shí)提示“連接網(wǎng)關(guān)失敗”?？赡茉颍禾崾尽斑B接網(wǎng)關(guān)失敗”說明網(wǎng)絡(luò)擴(kuò)展客戶端和SVN虛擬網(wǎng)關(guān)之間沒有建立SSL連接。引起該故障的可能的原因如下：原因一：網(wǎng)絡(luò)擴(kuò)展客戶端的代理服務(wù)器設(shè)置錯(cuò)誤。原因二：PC和虛擬網(wǎng)關(guān)/代理服務(wù)器之間的路由不可達(dá)。原因三：網(wǎng)絡(luò)擴(kuò)展客戶端和虛擬網(wǎng)關(guān)/代理服務(wù)器之間的TCP連接被防火墻攔截。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障四、啟動(dòng)網(wǎng)絡(luò)擴(kuò)展后，客戶端不能獲取到IP地址?？赡茉颍涸蛞唬禾摂M網(wǎng)關(guān)和DHCP服務(wù)器網(wǎng)絡(luò)不可達(dá)。原因二：DHCP服務(wù)器

9、沒有分配IP地址。原因三：DHCP服務(wù)器或IP地址池分配的網(wǎng)絡(luò)擴(kuò)展虛擬IP地址和設(shè)備上其他IP地址沖突，導(dǎo)致分配失敗。原因四：用戶PC操作系統(tǒng)的DHCP Client服務(wù)沒有打開。原因五：IP地址池內(nèi)的IP地址已經(jīng)分配完。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障五、安裝網(wǎng)絡(luò)擴(kuò)展客戶端失敗。可能原因：只有操作系統(tǒng)管理員才能安裝網(wǎng)絡(luò)擴(kuò)展客戶端，當(dāng)前登錄PC的用戶不具有管理員權(quán)限。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障六、使用NTLM認(rèn)證代理,使用網(wǎng)絡(luò)擴(kuò)展客戶端連接失敗?？赡茉颍篘TLM認(rèn)證通過AD實(shí)現(xiàn)，Windows的域控制器只能對(duì)前20個(gè)字符進(jìn)行驗(yàn)證，所以當(dāng)代理服務(wù)器的用戶名超過20個(gè)字符時(shí)，登錄失敗。2.4、網(wǎng)絡(luò)擴(kuò)展

10、故障故障七、在代理環(huán)境下，某些軟件啟動(dòng)后，用戶無法使用網(wǎng)絡(luò)擴(kuò)展功能訪問Web類型的資源?？赡茉颍寒?dāng)ISA Client等會(huì)修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時(shí)，網(wǎng)絡(luò)瀏覽器的代理設(shè)置被修改，導(dǎo)致用戶無法使用網(wǎng)絡(luò)擴(kuò)展功能訪問Web類型的資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障故障八、使用網(wǎng)絡(luò)擴(kuò)展客戶端啟動(dòng)網(wǎng)絡(luò)擴(kuò)展時(shí)，提示“建立代理環(huán)境失敗”，彈出自動(dòng)重連提示框?？赡茉颍涸蛞唬河脩鬚C上安裝的防火墻軟件阻止網(wǎng)絡(luò)擴(kuò)展系統(tǒng)服務(wù)程序NemService和虛擬網(wǎng)關(guān)/代理服務(wù)器之間建立SSL連接。原因二：用戶PC上安裝的防火墻軟件提示用戶“允許”或者“阻 止”網(wǎng)絡(luò)擴(kuò)展系統(tǒng)服務(wù)程序NemService連接到網(wǎng)絡(luò)時(shí)，用戶沒

11、有在指定時(shí)間內(nèi)選擇“允許”或者選擇了“阻止”。2.4、網(wǎng)絡(luò)擴(kuò)展故障故障九、SSL VPN終端用戶無法訪問內(nèi)網(wǎng)資源?？赡茉颍涸蛞唬簝?nèi)網(wǎng)服務(wù)器設(shè)置異常。原因二：SVN上配置了禁止用戶訪問內(nèi)網(wǎng)資源的策略。原因三：SVN與內(nèi)網(wǎng)服務(wù)器路由不可達(dá)。原因四：通過網(wǎng)絡(luò)擴(kuò)展功能訪問內(nèi)網(wǎng)資源。原因五：SVN上配置的內(nèi)網(wǎng)資源不正確。原因六：中間防火墻配置了禁止SVN訪問內(nèi)網(wǎng)資源的ACL。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障十、Mac客戶端無法啟用網(wǎng)絡(luò)擴(kuò)展?？赡茉颍涸蛞唬禾摂M網(wǎng)關(guān)處未開啟網(wǎng)絡(luò)擴(kuò)展功能。原因二：網(wǎng)絡(luò)連接故障。原因三：客戶端的代理服務(wù)器設(shè)置錯(cuò)誤。原因四：SVN訪問控制策略不允許用戶訪問相關(guān)資源。2.4、網(wǎng)絡(luò)

12、擴(kuò)展故障 故障十一、Android客戶端無法啟用網(wǎng)絡(luò)擴(kuò)展?？赡茉颍涸蛞唬篈ndroid手機(jī)未獲得root權(quán)限。原因二：Android手機(jī)沒有安裝tun驅(qū)動(dòng)。原因三：虛擬網(wǎng)關(guān)處未開啟網(wǎng)絡(luò)擴(kuò)展功能。原因四：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡(luò)擴(kuò)展資源。原因五：網(wǎng)絡(luò)連接故障。2.5、端口轉(zhuǎn)發(fā)故障 故障一、用戶無法訪問端口轉(zhuǎn)發(fā)資源。可能原因：原因一：網(wǎng)絡(luò)連接故障。原因二：端口轉(zhuǎn)發(fā)未啟用。原因三：用戶連接超時(shí)。原因四：內(nèi)網(wǎng)服務(wù)器沒有開啟相應(yīng)的端口。原因五：虛擬網(wǎng)關(guān)策略設(shè)置錯(cuò)誤。2.5、端口轉(zhuǎn)發(fā)故障 故障二、在Windows Vista和Windows 7操作系統(tǒng)下無法訪問端口轉(zhuǎn)發(fā)主機(jī)名資源?？赡?/p>

13、原因：在Windows Vista和Windows 7操作系統(tǒng)下訪問端口轉(zhuǎn)發(fā)主機(jī)名資源時(shí)，如果Windows Vista和Windows 7操作系統(tǒng)查詢不到該內(nèi)網(wǎng)資源的路由，系統(tǒng)將不會(huì)嘗試和內(nèi)網(wǎng)資源建立TCP連接，從而導(dǎo)致用戶不能訪問內(nèi)網(wǎng)資源。通常情況下操作系統(tǒng)中會(huì)存在一條默認(rèn)路由，當(dāng)系統(tǒng)有默認(rèn)路由時(shí)不存在上述問題。對(duì)于Windows XP系統(tǒng)，不存在對(duì)內(nèi)網(wǎng)資源查詢路由表的步驟，因此不存在上述問題。2.5、端口轉(zhuǎn)發(fā)故障 故障三、在代理環(huán)境下，在某些軟件啟動(dòng)后，無法訪問需要使用網(wǎng)絡(luò)瀏覽器的端口轉(zhuǎn)發(fā)資源?？赡茉颍寒?dāng)ISA Client等會(huì)修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時(shí)，網(wǎng)絡(luò)瀏覽器的代理設(shè)置被

14、修改，導(dǎo)致無法訪問需要使用網(wǎng)絡(luò)瀏覽器的端口轉(zhuǎn)發(fā)資源。2.5、端口轉(zhuǎn)發(fā)故障故障四、SSL VPN端口轉(zhuǎn)發(fā)功能不可用?？赡茉颍涸蛞唬寒?dāng)前登錄客戶端PC操作系統(tǒng)的用戶不是Administrator組成員。原因二：當(dāng)前客戶端PC的操作系統(tǒng)不是Windows 7或Windows Vista。原因三：要訪問的內(nèi)網(wǎng)資源沒有顯示在端口轉(zhuǎn)發(fā)資源列表中。原因四：端口轉(zhuǎn)發(fā)組件在殺毒軟件黑名單中。2.6、文件共享故障 故障一、提示“訪問失敗，存在網(wǎng)絡(luò)連接問題。請(qǐng)與管理員聯(lián)系?！笨赡茉颍涸蛞唬涸撐募蚕碣Y源對(duì)應(yīng)的文件服務(wù)器不存在或文件服務(wù)器和SVN的路由不可達(dá)。原因二：該文件共享資源的主機(jī)地址為域名，而虛擬網(wǎng)關(guān)

15、沒有配置DNS服務(wù)器或配置錯(cuò)誤。2.6、文件共享故障 故障二、提示“訪問失敗，服務(wù)器中此文件或目錄不存在?！笨赡茉颍何募?wù)器上不存在該目錄或者當(dāng)前資源對(duì)應(yīng)的文件服務(wù)目錄未開啟共 享。2.6、文件共享故障 故障三、提示“訪問失敗，沒有足夠的權(quán)限進(jìn)行操作。”可能原因：原因一：輸入的用戶名或密碼錯(cuò)誤。原因二：用戶沒有操作該共享目錄的權(quán)限。2.6、文件共享故障 故障四、可以查看目錄和文件，但無法上傳和刪除、重命名文件?？赡茉颍涸蛞唬喝绻募?wù)器的類型為NFS，說明用戶UID和GID的屬性不允許用戶進(jìn)行上傳、刪除或重命名文件的操作。NFS文件服務(wù)器根據(jù)登錄用戶的UID和GID進(jìn)行資源訪問的權(quán)限

16、控制。NFS類型的共享文件可設(shè)置三種用戶群：擁有者、同組用戶、其他用戶。這三種用戶群的文件權(quán)限可以設(shè)為不同，說明用戶根據(jù)UID和GID歸類到相應(yīng)的用戶群以訪問文件。原因二：如果文件服務(wù)器的類型為SMB，當(dāng)前登錄的用戶對(duì)該文件共享資源只具有讀操作的權(quán)限，而沒有寫操作的權(quán)限。2.6、文件共享故障 故障五、在Windows 2003 Server下無法直接打開gif、bmp、txt等類型的文 件?？赡茉颍篧indows 2003 server的操作系統(tǒng)使用較為嚴(yán)格的安全策略，如圖1所示，網(wǎng)絡(luò)瀏覽器使用的安全級(jí)是“高”。此安全級(jí)使網(wǎng)絡(luò)瀏覽器沒有權(quán)限運(yùn)行新的應(yīng)用程序進(jìn)程，如打開txt類型文件的Notepad，bmp/jpg類型文件