深信服上網(wǎng)行為管理-用戶認(rèn)證排錯指導(dǎo)

1、深信服上網(wǎng)行為管理用戶認(rèn)證排錯指導(dǎo)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)IP/MAC綁定排錯1.掌握無法獲取三層交換機(jī)arp表的排查方法2. 掌握IP/MAC綁定沖突的排查思路和方法密碼認(rèn)證排錯1.掌握無法彈出密碼認(rèn)證框的排查思路和方法IP/MAC綁定排錯如圖，AC路由部署在公網(wǎng)出口，內(nèi)網(wǎng)有一臺三層交換機(jī)，啟用了SNMP。內(nèi)網(wǎng)用戶通過AC上網(wǎng)，需要通過AC的認(rèn)證?？蛻羰褂肐P/MAC認(rèn)證，在設(shè)備上配置snmp服務(wù)器時，輸入交換機(jī)的接口地址，提示獲取失?。咳绾闻挪?？排查思路：1. 檢查交換機(jī)SNMP的配置2. 檢查設(shè)備和交換機(jī)連通性3. 使用第三方工具獲取OID4. 手動填寫AC設(shè)備SNMP配置問題一 ：設(shè)備無法通地

2、SNMP搜索三層交換機(jī)的arp表問題一 ：設(shè)備無法通地SNMP搜索三層交換機(jī)的arp表步驟1 在設(shè)備上測試到交換機(jī)的連通性，可以先將設(shè)備開直通觀察是否解決。會產(chǎn)生影響的有設(shè)備的“防DOS攻擊”模塊，請檢查確認(rèn)是否因為交換機(jī)地址被識別為DOS攻擊而被設(shè)備攔截掉數(shù)據(jù)了。步驟2 檢查交換機(jī)snmp的配置是否正確，可以通過第三方SNMP客戶端工具連交換機(jī)看能事讀出來。步驟3 檢查交換機(jī)snmp配置的community值是否為public。在設(shè)備上只能搜索到community值為public的OID列表。如果community值不為public，則需要借助第三方SNMP客戶端工作。這里使用BPSNMPU

3、til這款工具。連交換機(jī)獲取結(jié)果如下：OID以開頭，填這前4位即可問題一 ：設(shè)備無法通地SNMP搜索三層交換機(jī)的arp表步驟4 工具成功連接交換機(jī)后，需要過濾獲取的結(jié)果，找到需要的OID。只需要VALUE這一列值是MAC地址的OID即可，取OID值的前10位，填入設(shè)備snmp配置中建議：添加服務(wù)器的MAC地址時請使用設(shè)備上arp表上顯示的交換機(jī)接口的mac地址問題一 ：設(shè)備無法通地SNMP搜索三層交換機(jī)的arp表問題二 ：IP/MAC綁定不生效現(xiàn)在獲取不到交換機(jī)OID的問題解決了，但是客戶發(fā)現(xiàn)內(nèi)網(wǎng)00這個用戶還是上不了網(wǎng)，也添加不到用戶組中怎么排查？排查思路：1.查看在線用戶列表2.開啟攔截日

4、志，獲取攔截信息3.修改錯誤配置，或者刪除錯誤的IP/MAC綁定問題二： IP/MAC綁定不生效步驟1 查看在線用戶列表，檢查用戶是以臨時用戶身份出現(xiàn)，還是沒有在在線用戶列表中 如果用戶是以臨時用戶身份出現(xiàn)，則說明AC設(shè)備通過SNMP沒有獲取到用戶電腦真正的mac地址（AC不會將內(nèi)網(wǎng)電腦的IP地址與交換機(jī)的MAC地址綁定）。1. 如果是通過AC設(shè)備搜索獲得的OID，建議使用第三方掃描工具，在內(nèi)網(wǎng)電腦上掃描交換機(jī)的OID，把通過設(shè)備沒有搜索到的有效的OID填入AC設(shè)備snmp配置中。2. 如果是手動獲取OID并手動在AC設(shè)備上填寫的snmp配置，則檢查IP/MAC/OID/COMMUNITY配置

5、是否正確。問題二： IP/MAC綁定不生效本案例中是由于將交換機(jī)的地址填寫錯誤導(dǎo)致IP/MAC綁定不生效問題二 ：IP/MAC綁定不生效步驟2 如果在線用戶列表沒有用戶出現(xiàn)，則開啟拒絕列表，然后內(nèi)網(wǎng)電腦訪問外網(wǎng)，查看攔截日志不勾選該項，才有助于排查日志說明00存在mac綁定沖突的情況，設(shè)備通過SNMP獲取到的電腦mac是B8-70-F4-3A-42-2B問題二 ：IP/MAC綁定不生效步驟3 到用戶組去搜索內(nèi)網(wǎng)電腦的IP00和MAC B8-70-F4-3A-42-2B，找到被綁定的用戶，并刪除通過搜索IP發(fā)現(xiàn)00和另外一個mac綁定在一起了，刪除該用戶問題二 ：IP/MAC綁定不生效步驟4 到

6、在線用戶列表確認(rèn)用戶認(rèn)證成功常見IP/MAC綁定錯誤匯總，請查看渠道技術(shù)論壇： SANGFOR_AC&SG_v3.X_MAC地址綁定錯誤排錯專題密碼認(rèn)證排錯問題一 ：電腦彈不出密碼認(rèn)證框如圖，AC路由部署在公網(wǎng)出口，內(nèi)網(wǎng)有一臺三層交換機(jī)，內(nèi)網(wǎng)用戶通過AC上網(wǎng)，AC結(jié)合LDAP服務(wù)器做外部認(rèn)證?，F(xiàn)在用戶發(fā)現(xiàn)上不了網(wǎng)，打開網(wǎng)頁也沒有彈出密碼認(rèn)證框。如何排查？排錯思路：1. 電腦的網(wǎng)關(guān)和DNS配置正確，能正常上網(wǎng)和解析域名2. AC是否啟用未通過認(rèn)證的用戶，允許訪問DNS服務(wù)“3. AC設(shè)備和內(nèi)網(wǎng)電腦的連通性是否正常，如AC設(shè)備路由配置是否正確？4. 認(rèn)證策略是否啟用密碼認(rèn)證問題一：電腦彈不出密碼認(rèn)

7、證框步驟1 檢查AC設(shè)備認(rèn)證策略是否啟用密碼認(rèn)證步驟2 檢查AC設(shè)備到內(nèi)網(wǎng)電腦的回包路由（網(wǎng)橋模式需要重點注意）問題一 ：電腦彈不出密碼認(rèn)證框步驟3 檢查AC是否允許用戶認(rèn)證成功之前能訪問DNS服務(wù)問題一 ：電腦彈不出密碼認(rèn)證框步驟4 客戶端電腦檢查網(wǎng)關(guān)和DNS設(shè)置是否正確，能否解析出域名注意：這里之所以能解析出域名并且能ping通外網(wǎng)地址,是因為在AC上啟用了“未通過認(rèn)證用戶可以訪問dns服務(wù)”及“未通過認(rèn)證用戶具體根組權(quán)限（http應(yīng)用除外）”問題一 ：電腦彈不出密碼認(rèn)證框步驟5 重新訪問外網(wǎng)測試用戶認(rèn)證框能否正常彈出問題二 ：密碼認(rèn)證失敗現(xiàn)在用戶做密碼認(rèn)證可以彈出密碼認(rèn)證框了，但是輸入域

8、賬號user3和密碼的時候提示用戶名密碼不正確，跟域管理員確認(rèn)過賬號的用戶名和密碼沒有問題。怎么排查？排查思路：1. 檢查AC設(shè)備和服務(wù)器的連通性2. 檢查AC設(shè)備組織結(jié)構(gòu)是否存在相同用戶名的本地賬號3. 檢查域賬號是否同步到AC設(shè)備上來，或者認(rèn)證策略是否啟用新用戶認(rèn)證問題二 ：密碼認(rèn)證失敗步驟1 檢查設(shè)備和LDAP服務(wù)器的連通性，可以在設(shè)備外部認(rèn)證服務(wù)器頁面進(jìn)行連通性測試 問題二 ：密碼認(rèn)證失敗步驟2 檢查組織結(jié)構(gòu)是否存在相同用戶名的本地賬號，如果有本地賬號，AC設(shè)備優(yōu)先認(rèn)證本地賬號，刪除本地賬號有勾選“本地密碼”說明是本地賬號問題二 ：密碼認(rèn)證失敗步驟3 重新使用user3登陸測試，可以認(rèn)

9、證成功，從所屬組也可以看出是域上同步過來的賬號外部認(rèn)證流程圖PC的上網(wǎng)數(shù)據(jù)AC/SG根據(jù)IP、MAC匹配認(rèn)證策略密碼認(rèn)證重定向到認(rèn)證頁面輸入用戶名和密碼AC/SG有對應(yīng)用戶名且設(shè)置本地密碼？Y本地認(rèn)證成功/失敗N認(rèn)證未通過認(rèn)證失敗用戶認(rèn)證信息發(fā)到第三方服務(wù)器AC/SG有對應(yīng)用戶名？認(rèn)證通過認(rèn)證成功Y認(rèn)證策略是否開啟自動添加新用戶？NN作為臨時用戶或不允許新用戶認(rèn)證Y自動添加新用戶并認(rèn)證成功Y新組件LDAP單點登錄排錯新組件單點登錄不生效如圖，AC路由部署在公網(wǎng)出口，內(nèi)網(wǎng)有一臺三層交換機(jī)，內(nèi)網(wǎng)用戶通過AC上網(wǎng)，AC結(jié)合LDAP服務(wù)器做新組件單點登陸?，F(xiàn)在用戶發(fā)現(xiàn)單點登陸不生效，要輸入用戶名密碼后

10、才能打開網(wǎng)頁。如何排查？排查思路：1. 檢查基本配置2.檢查PC是否執(zhí)行了logon.exe腳本3.檢查PC通過腳本上報登陸域成功的信息給AC設(shè)備的過程新組件單點登錄不生效步驟1 檢查基本配置 /read.php?tid-7797.html 步驟2 檢查PC是否執(zhí)行了logon.exe腳本。 如果PC運行l(wèi)ogon.exe成功后，在PC本地的C盤用戶目錄（ C:Documents and SettingsAdministratorApplication Data.logon）生成login.log日志文件?？梢栽谶\行下輸入%appdata%/.logon直接打開用戶目錄新組件單點登錄不生效如果

11、C盤%appdata%/.logon目錄下沒有生成login.log，則檢查以下幾點：A. 確認(rèn)C盤用戶目錄是否有寫權(quán)限，可以在該目錄下手動創(chuàng)建一個文件測試B. 確認(rèn)用戶是否正常獲取到組策略，可以在運行下執(zhí)行：rsop.msc正常登陸域并且獲取到組策略新組件單點登錄不生效沒有正常獲取到組策略的情況如下新組件單點登錄不生效沒有正常獲取到組策略的原因可能是用戶沒有正常登陸域或者離線登陸域了，可以通過在cmd下執(zhí)行：gpresult查看登陸域的情況。正常登陸域的時候可以查看到所加入的域，和應(yīng)用組策略的時間沒正常登陸域的時候則看不到域的信息新組件單點登錄不生效 如果PC是離線登錄域的情況下，或者PC登

12、錄域之前有發(fā)往外網(wǎng)的連接，會導(dǎo)致PC無法獲取到域服務(wù)器的組策略，從而引起單點登錄不成功。這種情況下，只要之前PC有一次正常登錄到域并獲取到了域服務(wù)器的組策略，PC成功執(zhí)行過logon.exe，同樣的是可以單點登錄成功的。 單點登錄logon.exe，程序運行時會自動拷貝到啟windows啟動目錄。 新組件單點登錄不生效C.如果用戶登陸域正常，但是C盤%appdata%/.logon目錄仍然沒有l(wèi)ogin.log文件。需要檢查以下兩點：1. 域服務(wù)器端配置組策略必須是“Default Domian Policy”。配置域服務(wù)器本地的組策略無效；新組件單點登錄不生效2. 組策略的GPO(組策略對象)需要包括Domain Users。可通過右鍵編輯域服務(wù)器組策略的屬性，在安全標(biāo)簽下查看和添加：新組件單點登錄不生效步驟3 檢查PC通過腳本上報登陸域成功的信息給AC設(shè)備的過程。分3步檢查：A. 查看login.log的修改時間，確認(rèn)修改時間是否是最近一次登陸域的時間。如果不是，則是上一次正常登陸域時執(zhí)行l(wèi)ogon.exe產(chǎn)生的，而非最近一次產(chǎn)生，反回步驟2檢查。檢查logon.exe腳本添加window啟動程序信息如下：新組件單點登錄不生效B. 查看login.log的詳細(xì)內(nèi)