a8v3.5與ad集成問題排查手冊

目引 文檔目 適用范 A8與AD集成總體介 集成的目 全局排 客戶端排 檢查在IE瀏覽器地址欄中輸入的A8地址是否正 檢查A8登陸頁面的源文件中authorization的value值是否正 檢查IE瀏覽器配置是否正 檢查能否通AD服務器的完整計算機名 A8服務器排 檢查能否通AD服務器的完整計算機名 檢查A8域用戶的權限是否正 檢查A8服務器的 檢查Apache控制臺和v3x.log日志是否有異常信 檢查A8應用系統(tǒng)中與AD集成相關的功能的配置是否正 AD服務器排 檢查A8服務器的域用戶的SPN是否正 檢查DNS服務器中A8服務器、客戶端的計算機名稱和IP地址的映射關系是 A8與AD集成的常見問 AD服務器的IP地址發(fā)生變化該怎么辦 在Apache控制臺或者v3x.log日志中發(fā)現(xiàn)錯誤Mechanismlevel:Specifiedversionofkeyisnotavailable Apachev3x.logMechanismlevel:Clockskewtoogreat netconfig 引本文檔主要介紹了在A8與AD集成失敗之后如何、高效地開果想要了解A8與AD集成的基礎知識、集成的過程請參考其他的本文檔適用于A8V3.5版本。A8AD集成總體介如果沒有實現(xiàn)A8與AD集成用域用戶登陸客戶端之后，A8系統(tǒng)時，還需要再次輸入A8的用戶名、才能登陸系統(tǒng)。實現(xiàn)A8與AD集成之后，用戶使用域用戶登陸客戶端之后，A8系統(tǒng)時無需再次輸入A8用戶名、，直接單擊登陸按鈕進入A8統(tǒng)。一、AD服務

A8AD1、AD服務器的操作系統(tǒng)一般會選擇Windows2003或者Windows2、AD服務器的主要ActiveDirectory用戶和計算機、DNS服務器、Kerberos服務器（KDC服務器。ActiveDirectory用戶和計算機中了域中所有計算機的域用戶、登陸等信息；DNS服務器中維護了域中所有計算機的IP地址與計算機名之間的映射關系，在計算機成功加入域之后，DNS服務器中會自動添加該計算機的IP地址與計算機名稱之間的映射關系；Kerberos服務器負責管理域中所有計算機的認證，包括AS和TGS兩個服務，AS負責為計算機頒發(fā)，TGS負責計算機請求的服務器的服務頒發(fā)服務票據(jù)3、AD服務器負責為A8服務器生成A8Server.keymap文件。二、A8服務器1、A8服務器上安裝完A8應用系統(tǒng)后，需要將AD服務器上生成A8Server.keymap文件拷貝到 下2、A8服務器的DNS必須有一個是指向AD服務器的IP地址3A8服務器的計算機名（不包含必須與AD服務器中的1、IE瀏覽器必須設置啟用集成Windows驗證選項；在本地中加入A8的地址（服務器的完整計算機名稱2、客戶端的DNS必須有一個是指向AD服務器的IP地址3、客戶端的計算機名稱（不包含）必須與AD服務器中的客戶排錯的基本原1、收集ADA8的運行環(huán)境信息，做好記錄2為全局排錯->客戶端排錯->A8服務器排錯->AD服務器排錯。排錯前收集環(huán)境信在排錯之前，需要詳細了解A8與AD集成環(huán)境的詳細信息，主要包括客戶、AD服務器、A8服務器、客戶端的詳細信息，可按照下表對上述信息進行，在的過程中一定要認真仔細，此表可以作為續(xù)研發(fā)進一步排錯的 A8與AD集成環(huán)境信息聯(lián)系人 □可AD服務 □可A8應用服務□可客戶 （□QQ/□其他工具AD服務□Windows2003□Windows2008□其他 (32/64位IP□是□否AD服務器域管理員的登陸是否發(fā)生變化ADIP A8服務□Windows2003□Windows2008□其他 (32/64位IPA8□是□否A8服務器域用戶的登陸是否發(fā)生變化□Windows □Windows □Windows□Windows2000□Windows2003□Windows□其他 (32/64位IP 備注(除了上述信息以外，到的其他信息在備注中進行說明人排錯的具體步與客戶方的AD管理員確認AD服務器、A8服務器、客戶端的時間是否同步，如果不同步，則聯(lián)系客戶方的AD理員將其時間進行同步。以下排錯過程是以操作系統(tǒng)為WindowsXP的客戶端進行說在操作系統(tǒng)令行中輸入netconfigworkstation（此命令在所有Windows系統(tǒng)中都支持，回車：上圖表示在計算機加入域之前使用本地Administrator用戶登陸上圖表示計算機使用域用戶登陸計算機后，可以在工作站域DNS名稱處看到，例如，檢查是否正確，如果不正確，注銷選擇正確的和域用戶登陸客戶端。檢查在IE瀏覽器地址欄中輸入的A8地址是否正A8AD實現(xiàn)集成之后，必須使用A8務器的完整計算機名稱A8應用系例如A8服務器的完整計算機名在IE瀏覽器的地址欄中應該A8authorizationvalue值是注意：如果經檢查發(fā)現(xiàn)authorization的value明客戶端已經工作正常，無需再對客戶端進行排錯，客戶端的排錯工作可到此為止，可繼續(xù)對A8服務器或者AD服務器進行排錯，找出問題的原因。1、在A8登陸頁面單擊右鍵，彈出右鍵菜單2、在右鍵菜單上，單擊查看3、檢查源文件中的authorization對應的value值authorizationvalue是否正原因分1IE瀏覽器中輸入的地址不正ws驗證3A84A8value="NegotiateTlRMTVNTUAA1A82A8value="NegotiateYIIGOQYGKwY aMIIF1qADAgEFoQMCAQ6iBwMFACAADRC5DRUJCQU5LLkNPTaIuMCyg QEoAMC（value長度會比較長，只通過長度即可判斷valueDvsdcthaMoEYZxY720+qDrl6wSUUAgm2Ym/tnrZbwW0/tZVnJMzGdwLFhCUZtZ1R6Ns9T9WTmf8orJM+/XSF0+yYpjN1qWCDoNtADxAKBkPDDf3tiIAX6jN/Alz9sJd4bCC7ukm1e0IU+FEX7wZp0La3BUuh6Q85CAQerTePi6Dn55LIGzqY5/25AozO+7ZtXj11+VYarzDmkggFgMIIw8VDqGzThxj/7iby+Zb7GK1GJuh6eM2n3O+rm19UgJOza13AP4gHvjQj+BJjt8KZ+gAHZI7YilZ+9DvW1pqNmtYaQlgywkMVgR98F3N6SjC+CUUn2jQQC8HkkZFVKSgAs8A6CqmQtvt617A5p/K95d+n2kKYivtKkR3mybwLrSKir6SfX6JymqCdB8CVf/236R5IE以下內容是以IE6.0行說1、單擊工具菜單-Internet選項，彈出Internet選項窗口2、單擊[安全]選項卡3、選中本地Intranet，單擊站4、單擊高級按檢查下方的是否存在A8應用系統(tǒng) 地址，如果不存在，理過程如下在“將該添加到區(qū)域中”下方的輸入框中輸入A8應用系統(tǒng)的訪問地址，例如 單擊添加按鈕單擊確定按（所有窗口上都要單擊確定按鈕（https:5、單擊[高級]選項卡檢查是否選中“啟用集成Windows驗證（需要重啟動，設置完成后，需要重新打開新的IE覽器才能生效。檢查能否通AD服務器的完整計算機名在命令行中執(zhí)行命令注意：必須AD服務器的完整計算機名稱，例如。能夠通AD服務無法通AD服務如果發(fā)現(xiàn)無法通AD服務器，是由于客戶端的DNS中沒有指AD服務器的IP。處理過程如下1、在桌面的“網(wǎng)上鄰居”上右鍵屬2、在本地連接上右鍵單擊屬3、選擇Internet（TCP/IP，單擊屬性在“使用下面的DNS務器地址”中增AD服務器的IP如果DNS配置正確后，仍然無法通，則說明：1、可能是由于客戶端和AD服務器之間的網(wǎng)絡故障引2、客戶端調整過IP址，導致AD器的DNS務器中的客戶端計算機名稱與IP地址之間的映射關系錯誤（參見AD服務器排錯章節(jié)）導致A8服務器沒有成功加入域的原因有很多，例如A8服務器與AD服務器之間的網(wǎng)絡連接出現(xiàn)故障、AD服務器的Kerberos認證服務可通A8服務器上通過執(zhí)行klist命令A8服務器是否加入1、以管理員運行cmd，打開命令行工具，執(zhí)行klist命令，如如果A8服務器或者客戶端沒有加入域，聯(lián)系客戶方的AD管理員檢A8務器沒有成功加入域的原因并解決此問題。A8A8在操作系統(tǒng)令行中輸入netconfigworkstation（此命令在所有Windows系統(tǒng)中都支持，回車：上圖表示在計算機加入域之前使用本地Administrator用戶登陸上圖表示計算機名稱改為server2后，并且使用server2域用戶加計算機全名用戶名工作站域DNS稱可以根據(jù)以下公式進行判斷計算機戶名.工作站域DNS1戶重新選擇正確的域用戶登陸到A8服務器；2、選擇了錯誤的域用戶登陸到系統(tǒng)中，必須選擇與A8服務器計算檢查能否通AD服務器的完整計算機名目的就是檢查A8服務器的DNS配置是否正確，具體操作過5.2.5檢查能否通AD服務器的完整計算機名稱A8與客戶方的AD管理員確認A8域用戶是否具備管理員權限，如果沒有此權限則聯(lián)系客戶AD管理員將A8域用戶加入管理員權限組中。如果A8用戶沒有管理員權限，可能會導致使用A8戶登陸A8服務器后，無法安裝或運行A8應用系統(tǒng)檢查A8服務器的 下是否存此文件是由AD服務器執(zhí)行ktpass命令生成，拷貝到A8服務器的A 如果存在此文件，則還應該檢查A8Server.keymap文件的創(chuàng)建時間如果不存在此文件，則需要在AD服務器中執(zhí)行ktpass命令重新生keymap件。Apachev3x.log如果有異常信息，首先按照本文檔中提到的異常的解決辦法進行處理，如果是新發(fā)現(xiàn)的異常，則需要做好日志的備份和記錄，以便提交給開發(fā)部進行問題確認和。A8AD集成相關的功能的配置是否具體的檢查步驟如下1、系統(tǒng)管理員登陸，檢查基礎設置 服務配置是否正確2、管理員登陸，檢查單位管理中單位綁定AD的組織單元是否3、單位管理員登陸，檢查單位中人員綁定AD的域用戶是否正A8ADADA8與AD集成出現(xiàn)問題。通過在A8服務器上通過執(zhí)行klist命令進行檢查，具體步驟如下1、以管理員運行cmd，打開命令行工具，執(zhí)行klist命令，如如果A8服務器在域環(huán)境中出現(xiàn)了故障，很可能是由于AD服務器出現(xiàn)了問題，聯(lián)系客戶方的AD理員AD務器工作是否正常。ADA8SPN檢查SPN置的是否正確，具體操作如下：1、以管理員打開cmd命令行2、在命令行中執(zhí)行以下命令，檢查SPN是否存在重名的情況setspn-執(zhí)行結果如下如果查詢的結果為0個重復，就說明是正常的，否則說明SPN出現(xiàn)如果發(fā)現(xiàn)SPN要聯(lián)系AD員將重復的域用戶的SPN除3、在命令行中執(zhí)行以下命令，檢查SPN是否存setspnulA8器的域用戶名稱例如：setspn–ulserver2執(zhí)行結果如下如果能夠查詢到HTT （server2是A8服務器域用戶名，是，則說明在AD服務器上曾經使用ktpass命令生成過keymap文件。第一個原因：SPN創(chuàng)建；第二個原因：SPN曾將創(chuàng)建過，后來又被刪除如果SPN在，最好的辦法就是在AD服務器上刪除A8服務域用戶，重建創(chuàng)建新的A8服務器的域用戶，重新執(zhí)行ktpass命令生成新的A8Server.keymap將新keymap文件拷貝到A8務器上。重新生成keymap時一定要注意vno問題。注意：Windows2003操作系統(tǒng)上默認是沒有setspn命令的，雖然也沒有檢查域用戶的SPN，只能檢查計算機的SPN。如果是Windows2003操作系統(tǒng)，就無法使用setspn命令進行檢查，那么在排除了客戶端、A8務器、AD務器的問題之后，還沒有找到具體原因，就可以采用上述SPN處理辦法，刪除A8務器的域用戶并重建。這種方式是安全的，假如A8務器已經加入域中并且正在運行，此AD務器上刪除A8的域用戶并重建是允許的，不會影響到A8務器的正常運行，A8器也無需重啟。DNSA8Windows2008為例進行說1、單擊開始菜單>管理工具2、在上圖中的左側窗口中，單擊，例如，在右側窗口中會顯示出此域中的所有計算機的名稱與IP地址的映示的是計算機名稱，例如server1，數(shù)據(jù)列顯示的是計算機對應的IP地址，例如。在上圖中檢查計算機名稱與IP地址的映射關系是否正況下在右側窗口中能夠查看到AD服務器、A8服務器以及所有客戶端的計算機名稱和IP地址的映射關系。如果不正確或者沒有，可以手工進行添加計算機名稱與IP的映射關系單擊新建主機在名稱下方的輸入框中輸入計算機名稱，例如在IP地址下方的輸入框中輸入計算機對應的IP地址，例如192.16最后，單擊添加主機按鈕修改計算機名稱與IP的映射關如果發(fā)現(xiàn)計算機名稱對應的IP地址不正在右側窗口上選中要IP地址下方輸入框中的IP地址修改為正確的IP擊確定A8AD集成的常見問AD服務器域管理員的登陸發(fā)生變化該怎么辦系統(tǒng)管理員登陸A8系統(tǒng)，在基礎設置 服務配置中修改管理，保存設A8服務器的域用戶的登陸發(fā)生變化怎么辦在AD服務器令行中執(zhí)行ktpass命令重新生成keymap文件將新的keymap拷貝到A8務器上。注意vno版本不一致的問題ADIP1、檢查A8服務器、客戶DNS是否設置為AD務器IP址2、系統(tǒng)管理員登陸A8系統(tǒng)，在基礎設置 服務配置中修改地址，保存設部分客戶端能夠成功登陸A8，還有一部分客戶端不能成功此問題很可能是因為客戶端與AD服務器的時間未同步造成的AD理員檢查時間是否同步。Apachev3x.log日志中發(fā)現(xiàn)錯誤Mechanismlevel:Specifiedversionofkeyisnot錯誤的詳細異常信息如下level:level:SpecifiedversionofkeyisnotavailableGSSException:FailureunspecifiedatGSS-APIlevel在AD服務器令行中每次執(zhí)行ktpass命令生成A8Server.keymap文件時，keymap文件中的vno會自動+1，再將此keymap文件拷貝到A8服務器之后，會造成客戶端和A8服務器之間的vno版本號不致的問解決辦法是讓AD管理員在AD服務器中刪除并重建A8服務器的域用戶，重新在AD務器上執(zhí)行ktpass命令生成新的keymap再將新的keymap拷貝到A8務器上，A8務無需重啟。切記客戶端需注銷重新登錄或在 控制臺或者 日志中發(fā)現(xiàn)錯Mechanismlevel:Clockskewtoo錯誤的詳細異常信息如下GSSException:GSSException:FailureunspecifiedatGSS-APIlevellevel:Clockskewtoogreat客戶端時間與AD域控制器不同步，解決辦法是讓AD域管理員同步時間，也可以檢查一下KerberosAD1000如果AD服務器中的域用戶數(shù)量達到1000個左右，會導致管理員在A8系統(tǒng)中為單位綁定節(jié)點時的彈出窗口中顯示的節(jié)點可能不全或這是因為AD器的默認允許A8LDAP接口獲取的節(jié)點數(shù)為1000，在AD務器中將此參數(shù)調大就可以了。具體如何在AD服務器上調整這個操作系統(tǒng)的參登陸公司協(xié)->產品FAQ->ALL，如下圖所示找到標題為“AD對通過LDAP接口取用戶數(shù)的擊此標題查附件1：命令行常用命1、命令作用在域用戶登陸計算機之后，檢查域用戶的和服務票據(jù)。一般用此方法檢查域用戶是否成功加入到域中，或者在域環(huán)境中運行是否正常。一般僅在支持此命令的A8服務器上執(zhí)行此命令進行檢2、命令用法klist查詢出所有的票據(jù)，包括、服務票據(jù)klist查詢信息klist清空內存中的所有票1、命令作用在AD服務器中令行中使用此命令可以為A8應用系統(tǒng)生成keymap件。注意：僅在AD服務器中運行此命令2、命令用法 KTPASS/princ /Pass /out -ptype：A8服務器的域用戶.，上述命令中A8服務器的域用戶為s：，上述命令中：A8服務器的域用：A8服務器的域用戶的登陸，上述命令中為：生成的A8Server.keymap文件的路徑，上述命令中為c:\注意生成的文件名必須為A8Server.keymap，路徑可以隨意指定1、命令作用此命令位于A8安 的 下在命令行中定位到jdk/bin 注意：此命令僅在A8服務器中運行。2、命令用法keytool-import-aliasA8_cacert-file-keystore"C:/A8Server/ -storepass：的別名，可以默認為A8_cacert，也可以自定義：在A8服務器上存放從AD服務器上生成的的文件路徑。上述命令中為C:/certnew.cer，certnew.cer文件是在AD服務器上通過IIS成并拷貝到A8務器的C:/根下。：A8AD服務器上生成的的文件路徑必須設置為A8裝中的jdk/jre/lib/security/cacerts件。上述命令中為C:/A8Server/1/jdk/jre/lib/security/cacerts，其中C:/A8Server/domain1/為A8安裝。如果在執(zhí)行此命令之前在jdk/jre/lib/security文件夾已經存在cacerts文件要先刪除此文件再執(zhí)行此命令，A8AD服務器上生成的的此可以自行設定，沒有特別要求，但是必須要記住，最好能夠記錄在相關的文檔中。因為如果因為微軟和JDK不兼容的問題安裝不成功，在執(zhí)行rebuildCA.bat批處理命令重新格式化時，需要提供此才能到的1、命令作用在命令行中執(zhí)行此命令，檢查網(wǎng)絡是否正常2、命令用法 說明本地計算機的DNS配置是正確的，否則需要檢查本地的DNS是否包含域服務器的IP地址。1、命令作用在命令行中執(zhí)行此命令，檢查本地IP地址、DNS配置等信2、命令用法查看本地計算機所有網(wǎng)卡的