XX-應(yīng)急-HAC故障處理手冊(cè)

第PAGEI頁共34頁第1頁共4頁文檔編號(hào)版本號(hào)V1.0密級(jí)應(yīng)急_HAC故障處理手冊(cè)XX信息技術(shù)有限公司版本控制編號(hào)修訂人修訂時(shí)間版本號(hào)修訂內(nèi)容說明123目錄24981前言 1119171.1文檔目的 1199131.2相關(guān)文檔 1148311.3讀者對(duì)象 1327371.4約定 159002HAC排障流程 2158592.1網(wǎng)絡(luò)故障排除 3198992.1.1HAC網(wǎng)絡(luò)指示燈 3296622.1.2PINGHAC 361922.2配置故障排除 4249512.2.1訪問HAC問題 5132122.2.2用戶認(rèn)證失敗 53022.2.3訪問內(nèi)容不正常 588722.3運(yùn)維操作故障排除 6238322.3.1Telnet/SSH協(xié)議運(yùn)維故障排除 6227492.3.2FTP/SFTP協(xié)議運(yùn)維操作故障排除 833922.3.3RDP/VNC/Xwindows協(xié)議運(yùn)維操作故障排除 11159282.4告警功能排障 13126352.4.1告警 13134382.4.2告警郵件 1423992.5審計(jì)平臺(tái)排障 15215162.5.1軟件安裝 16111472.5.2網(wǎng)絡(luò)連接 1610692.5.3查看權(quán)限 1730332.5.4用戶認(rèn)證 17295162.5.5命令回顯 17266232.5.6日志回放 17218743FAQ 1811214技術(shù)支持 31前言文檔目的本文檔編寫目的主要是介紹如何根據(jù)在HAC系統(tǒng)使用中遇到問題的現(xiàn)象及時(shí)定位，解決問題。相關(guān)文檔運(yùn)維安全審計(jì)系統(tǒng)相關(guān)的文檔包括：運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)HAC審計(jì)平臺(tái)使用手冊(cè)HAC動(dòng)態(tài)令牌管理員手冊(cè)HACusb_key使用手冊(cè)讀者對(duì)象本文檔適用于HAC系統(tǒng)管理員，HAC運(yùn)維管理員。約定HAC：HostAuditControl，該產(chǎn)品中文名稱為運(yùn)維安全審計(jì)系統(tǒng)，英文簡(jiǎn)稱為HAC。RDP：RemoteDesktopProtocol,遠(yuǎn)程桌面協(xié)議，RDP專門為運(yùn)行在服務(wù)器上的、基于Windows的應(yīng)用程序提供網(wǎng)絡(luò)連接上的遠(yuǎn)程顯示和輸入功能。WindowsNTServer4.0支持RDP4.0，而Windows2000終端服務(wù)使用的是RDP5.0。但是這兩個(gè)版本是完全兼容的。我們常使用WindowsTerminal終端連接遠(yuǎn)程服務(wù)器時(shí)就使用該協(xié)議。WindowsTerminal：Windows遠(yuǎn)程訪問終端，采用微軟的RDP協(xié)議，文檔中簡(jiǎn)稱WT協(xié)議。SSO:SignleSign-On，單點(diǎn)登錄功能實(shí)現(xiàn)用戶登錄一次HAC，再次訪問所需資源時(shí)無需再次輸入系統(tǒng)本身的用戶與密碼。HAC排障流程運(yùn)維安全審計(jì)系統(tǒng)HAC（V3.5）配置和故障排除流程圖如下圖所示：說明：整個(gè)配置工作(深藍(lán)色表示)從開始到結(jié)束包括兩大部分：網(wǎng)絡(luò)配置、策略配置。網(wǎng)絡(luò)配置涉及HAC的IP地址、默認(rèn)網(wǎng)關(guān)、靜態(tài)路由和接入網(wǎng)絡(luò)環(huán)境下的防火墻等安全策略的配置；策略配置包括系統(tǒng)配置、定義資源、定義用戶、授權(quán)和告警配置。在配置完成后，正常情況運(yùn)維用戶可以正常登錄HAC、正常訪問資源和審計(jì)員能正常審計(jì)和回放等。具體配置方法參見《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》和《HAC審計(jì)平臺(tái)使用手冊(cè)》等。本流程涉及的不正常情況(淺藍(lán)色表示)包括：網(wǎng)絡(luò)不正常、運(yùn)維用戶訪問不正常、告警功能不正常、審計(jì)與回放不正常等。本流程涉及的排障過程(綠色表示)包括：網(wǎng)絡(luò)故障排除、配置故障排除、單個(gè)代理故障、告警功能故障和審計(jì)與回放故障。每類故障對(duì)應(yīng)一個(gè)故障排除方法。網(wǎng)絡(luò)故障排除HAC網(wǎng)絡(luò)指示燈HAC網(wǎng)絡(luò)指示燈有兩種：前面板指示燈和網(wǎng)口指示燈。前面板指示燈是在有網(wǎng)絡(luò)流量時(shí)有閃爍（A型機(jī)為綠燈、E型機(jī)為黃燈）；網(wǎng)口燈針對(duì)交換機(jī)接口速率不同顏色不同：10M時(shí)不亮、100M為綠色、1000M為橙色。HAC網(wǎng)絡(luò)接口有三個(gè)：內(nèi)網(wǎng)、外網(wǎng)和HA口。在單臂模式下只接外網(wǎng)口；串聯(lián)模式下內(nèi)網(wǎng)口接服務(wù)器端，外網(wǎng)口接運(yùn)維區(qū)。檢查網(wǎng)絡(luò)物理連接包括檢查網(wǎng)線問題、連接問題及接交換機(jī)的位置。檢查交換機(jī)配置包括查看交換機(jī)對(duì)應(yīng)HAC口的狀態(tài)、速率問題、雙工模式等。PINGHACPINGHAC是保證終端到HAC網(wǎng)絡(luò)層是否通。HAC網(wǎng)絡(luò)配置包括IP地址、默認(rèn)網(wǎng)關(guān)等。檢查HAC網(wǎng)絡(luò)配置是確認(rèn)其正確配置，可以通過IE登錄HAC或通過HACconsole進(jìn)行查看。檢查終端（包括運(yùn)維客戶端和保護(hù)資源）網(wǎng)絡(luò)配置是保證終端配置的正確性，可通過測(cè)試其到HAC的網(wǎng)關(guān)是否通來判斷。檢查網(wǎng)絡(luò)環(huán)境安全配置是確保終端到HAC的網(wǎng)絡(luò)通路中是否存在安全設(shè)置而導(dǎo)致網(wǎng)絡(luò)不通。具體終端到HAC需要開通的端口詳見《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》。配置故障排除訪問HAC問題檢查HAC的WEB服務(wù)是否正常通過TelnetHAC443可以看出HAC的WEB服務(wù)是否開啟，如果開啟應(yīng)該能訪問。檢查網(wǎng)絡(luò)故障通過網(wǎng)絡(luò)故障排除可以定位是否是網(wǎng)絡(luò)問題。如果不是網(wǎng)絡(luò)問題，說明HAC的WEB服務(wù)沒有正常啟動(dòng)，重啟HAC看是否問題解決，如果沒有，報(bào)廠家技術(shù)支持。用戶認(rèn)證失敗根據(jù)用戶認(rèn)證方式檢查相關(guān)配置根據(jù)流程圖中方法進(jìn)行檢查，排除相應(yīng)問題；檢查是否所有管理員是否都不能通過認(rèn)證。Administrator是否能通過認(rèn)證Administrator認(rèn)證為口令認(rèn)證，如果能通過認(rèn)證，說明HAC系統(tǒng)認(rèn)證工作正常。此時(shí)，一般情況是外部認(rèn)證系統(tǒng)的問題，尤其是其他所有管理員不能通過認(rèn)證，應(yīng)檢查認(rèn)證系統(tǒng)的報(bào)錯(cuò)信息來定位故障，具體操作可參見《HACUsb_key使用手冊(cè)》和《HAC動(dòng)態(tài)令牌使用手冊(cè)》；Administrator口令可以通過Console口重置口令；Administrator認(rèn)證通過，可新建一個(gè)管理員來測(cè)試新建管理員是否能正常認(rèn)證。訪問內(nèi)容不正常檢查管理員角色設(shè)置，確保角色分配正確；根據(jù)界面報(bào)錯(cuò)信息定位故障原因；廠商技術(shù)支持。運(yùn)維操作故障排除Telnet/SSH協(xié)議運(yùn)維故障排除訪問不到HAC檢查網(wǎng)絡(luò)環(huán)境檢查方法與網(wǎng)絡(luò)故障排除相同。檢查HAC服務(wù)通過telnet相關(guān)服務(wù)檢查HAC相關(guān)服務(wù)是否啟動(dòng)。如果配置為安全模式的Telnet，則用TelnetHAC_ip22的方式進(jìn)行檢查。注：HAC如果配置為安全模式的Telnet，需采用SSH客戶端訪問HAC。用戶認(rèn)證失敗與管理員管理故障排除類似。需要注意運(yùn)維用戶兩個(gè)特性：用戶是否激活和口令有效期的問題。訪問資源列表不對(duì)檢查該用戶的授權(quán)檢查該用戶是否有訪問此資源的權(quán)限和授權(quán)規(guī)則等。檢查HAC的訪問黑名單檢查該用戶訪問相關(guān)資源進(jìn)入黑名單。訪問不到資源檢查HAC到資源的網(wǎng)絡(luò)是否可達(dá)HAC到資源的網(wǎng)絡(luò)可達(dá)包括網(wǎng)絡(luò)層可達(dá)和端口層可達(dá)；網(wǎng)絡(luò)層可達(dá)可通過HACping資源或資源pingHAC的方式檢查；端口層可達(dá)可查看網(wǎng)絡(luò)設(shè)備和安全設(shè)備上是否對(duì)此端口進(jìn)行了限制，也可通過HACtelnet資源相關(guān)端口進(jìn)行測(cè)試。檢查資源是否提供此服務(wù)檢查資源服務(wù)端口是否與HAC配置的資源端口一致針對(duì)SSH，檢查資源是否切換到備機(jī)由于SSH通信需要資源的公鑰，當(dāng)資源切換到備機(jī)時(shí)，HAC保留的公鑰為原資源的。所以出現(xiàn)此情況，需重啟HAC即可。FTP/SFTP協(xié)議運(yùn)維操作故障排除FTP、SFTP代理通過telnetHAC21或22端口，來檢查HAC的FTP或SFTP代理是否正常。資源狀態(tài)檢查HAC到保護(hù)資源是否網(wǎng)絡(luò)可達(dá)，可通過HACConsole中的網(wǎng)絡(luò)測(cè)試功能來檢查；檢查保護(hù)資源的FTP或SFTP服務(wù)是否正常開啟，以及該服務(wù)的相關(guān)配置。資源授權(quán)檢查運(yùn)維用戶是否有此FTP或SFTP資源的授權(quán)；檢查授權(quán)規(guī)則是否對(duì)此運(yùn)維用戶有限制；檢查是否設(shè)置了用戶訪問黑名單。用戶認(rèn)證檢查在FTP或SFTP登錄時(shí)參數(shù)設(shè)置是否正確，正確的參數(shù)設(shè)置應(yīng)為：用戶名：hac_user#host_user#資源名，如：fox#root#win2003_ftp，其中fox為運(yùn)維帳號(hào)，root為ftp服務(wù)器帳號(hào)，win2003_ftp為ftp資源名。密碼：hac_pwd#host_pwd。檢查FTP認(rèn)證失敗的位置在登錄時(shí)若提示為：或，則表明是在HAC認(rèn)證時(shí)失敗。若提示為：或則表明是在ftp服務(wù)器認(rèn)證時(shí)失敗。檢查SFTP認(rèn)證失敗的位置在登錄時(shí)若提示為：（SecureFX為例）或則表明是在HAC認(rèn)證時(shí)失敗。若提示為：（SecureFX為例）或長時(shí)間連接不上，最后提示，則表明是在sftp服務(wù)器認(rèn)證時(shí)失敗。檢查HAC的認(rèn)證方式根據(jù)流程圖中方法進(jìn)行檢查，排除相應(yīng)問題。如果問題沒有解決，報(bào)廠家技術(shù)支持。RDP/VNC/Xwindows協(xié)議運(yùn)維操作故障排除HTTPS不能訪問與管理員管理故障排除相同。用戶認(rèn)證失敗與管理員管理故障排除類似。需要注意運(yùn)維用戶兩個(gè)特性：用戶是否激活和口令有效期的問題。訪問資源列表不對(duì)檢查該用戶的授權(quán)檢查該用戶是否有訪問此資源的權(quán)限和授權(quán)條件等。檢查HAC的訪問黑名單檢查該用戶訪問相關(guān)資源進(jìn)入黑名單。訪問不到資源根據(jù)排障流程中6項(xiàng)進(jìn)行檢查，基本能排除相應(yīng)問題。如果解決不了，需咨詢廠家技術(shù)支持。檢查HAC到資源網(wǎng)絡(luò)可達(dá)HAC到資源的網(wǎng)絡(luò)可達(dá)包括網(wǎng)絡(luò)層可達(dá)和端口層可達(dá)；網(wǎng)絡(luò)層可達(dá)可通過HACping資源或資源pingHAC的方式檢查；端口層可達(dá)可查看網(wǎng)絡(luò)設(shè)備和安全設(shè)備上是否對(duì)此端口進(jìn)行了限制，也可通過HACtelnet資源相關(guān)端口進(jìn)行測(cè)試。2、檢查IE可信站點(diǎn)設(shè)置IE調(diào)用遠(yuǎn)程桌面連接需要運(yùn)行控件，為了安全可將HAC設(shè)置可信站點(diǎn)，并對(duì)IE安全選項(xiàng)進(jìn)行相關(guān)配置。3、檢查客戶端控件是否安裝與啟動(dòng)客戶端需要安裝MicrosoftRdpClientControlActiveX控件并處在啟用狀態(tài)。4、檢查資源是否提供此服務(wù)5、檢查資源服務(wù)配置由于資源服務(wù)配置限制可能會(huì)引起無法連接，可通過標(biāo)準(zhǔn)客戶端直接訪問資源的方式來驗(yàn)證資源服務(wù)配置是否存在相關(guān)限制等。6、檢查HAC相關(guān)代理服務(wù)是否工作告警功能排障告警首先要保證告警配置正確。檢查告警動(dòng)作配置。包括：告警聲音、是否阻斷、告警郵件地址列表。若設(shè)置命令阻斷動(dòng)作，則命令不會(huì)被執(zhí)行，并提示阻斷信息、發(fā)出告警；否則命令被執(zhí)行，且向?qū)徲?jì)平臺(tái)發(fā)出告警。告警郵件列表是在發(fā)生告警時(shí)，將告警信息以郵件的方式通知管理員。檢查告警規(guī)則配置。包括：阻斷提示信息、告警動(dòng)作、是否啟用、適用協(xié)議、匹配命令。阻斷提示信息是在執(zhí)行阻斷動(dòng)作時(shí)，運(yùn)維客戶端上提示的信息。適用協(xié)議包括：SSH/Telnet、FTP、SFTP，必須保證其與資源協(xié)議一致。匹配命令定義了此規(guī)則所適用的操作命令。檢查規(guī)則綁定配置。包括：規(guī)則與資源（組）綁定、有效賬戶級(jí)別設(shè)置（SSO版本）。保證規(guī)則適用的協(xié)議與資源的協(xié)議一致。有效賬戶級(jí)別設(shè)置只適用于SSO版本，詳見《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》。告警郵件發(fā)生命令告警時(shí)，可將告警詳細(xì)信息以郵件方式通知用戶。需保證郵件的相關(guān)配置正確。檢查告警動(dòng)作中的郵件列表，保證其郵件地址為有效地址。檢查郵件服務(wù)器配置。詳見《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》章節(jié)。檢查DNS設(shè)置，保證DNS地址為有效地址，使其能解析到郵件服務(wù)器地址。審計(jì)平臺(tái)排障軟件安裝軟件安裝是保證審計(jì)平臺(tái)及其運(yùn)行時(shí)所需的其他軟件環(huán)境被正確安裝?？赏ㄟ^控制面板中的“添加或刪除程序”檢查軟件是否正確安裝。HAC審計(jì)平臺(tái)是主程序。JRE是審計(jì)平臺(tái)運(yùn)行所必需的Java環(huán)境。ODBC是MySQL與Windows數(shù)據(jù)服務(wù)的連接驅(qū)動(dòng)，用于審計(jì)平臺(tái)與HAC的通信。若以上均安裝，但仍無法登錄，可將其刪除后重新安裝。安裝步驟詳見《HAC審計(jì)平臺(tái)使用手冊(cè)》。網(wǎng)絡(luò)連接網(wǎng)絡(luò)連接是保證終端到HAC是否連通。檢查網(wǎng)絡(luò)物理連接包括檢查網(wǎng)線問題、連接問題及接交換機(jī)的位置。檢查交換機(jī)配置包括查看交換機(jī)對(duì)應(yīng)HAC口的狀態(tài)、速率問題、雙工模式等。檢查網(wǎng)絡(luò)環(huán)境安全配置是確保終端到HAC的網(wǎng)絡(luò)通路中是否存在安全設(shè)置而導(dǎo)致網(wǎng)絡(luò)不通。審計(jì)平臺(tái)與HAC之間需開通端口9999和1306（其中9999端口可修改，詳見《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》）?？赏ㄟ^telnetHAC的端口來驗(yàn)證。如果仍然不能連通，重啟HAC看是否問題解決，如果沒有，報(bào)廠家技術(shù)支持。查看權(quán)限以Administrator用戶登錄HAC配置平臺(tái)，查看審計(jì)員用戶是否具有審計(jì)平臺(tái)權(quán)限。用戶認(rèn)證根據(jù)流程圖中方法進(jìn)行檢查，排除相應(yīng)問題。如果問題沒有解決，報(bào)廠家技術(shù)支持。命令回顯首先檢查日志的有效性。如果在授權(quán)失敗、IP禁止訪問、認(rèn)證失敗的情況下進(jìn)行的會(huì)話，會(huì)話日志是沒有內(nèi)容的。其次，檢查服務(wù)器命令提示符的有效性。HAC通過解析命令的提示符來記錄會(huì)話的命令及其回顯。必須保證服務(wù)器上的命令提示符為常規(guī)的提示符，如：。日志回放首先檢查日志的有效性。如果在授權(quán)失敗、IP禁止訪問、認(rèn)證失敗的情況下進(jìn)行的會(huì)話，會(huì)話日志是沒有內(nèi)容的。其次，檢查日志是否被刪除。如果日志被刪除，HAC只在數(shù)據(jù)庫中記錄其命令及回顯，但是日志文件已經(jīng)不存在HAC上了，因此也就不能回放?？赏ㄟ^配置平臺(tái)中查看日志是否被刪除。FAQRDP、Xwindows、VNC某一項(xiàng)服務(wù)無法正常訪問？答：從以下幾個(gè)方面進(jìn)行排查。IE相關(guān)設(shè)置RDP、Xwindows、VNC服務(wù)是通過IE瀏覽器進(jìn)行訪問。目前其他類型的瀏覽器不支持，請(qǐng)采用IE6或者IE7進(jìn)行訪問。服務(wù)需要IE啟用”MicrosoftRdpClientControl”ActiveX控件。通過IE工具->管理加載項(xiàng)，查看是否加載此控件，并且屬于啟用狀態(tài)。如果沒有加載，請(qǐng)按照《運(yùn)維安全審計(jì)系統(tǒng)產(chǎn)品使用手冊(cè)》的相關(guān)章節(jié)進(jìn)行設(shè)置，對(duì)瀏覽器進(jìn)行重啟。通過IE瀏覽器訪問HAC運(yùn)維頁面的過程中，瀏覽器會(huì)自動(dòng)從HAC中下載此控件并加載它。由于微軟最近的更新導(dǎo)致部分用戶rdp控件無法使用，解決方法為為客戶端應(yīng)用相應(yīng)版本的補(bǔ)丁。補(bǔ)丁應(yīng)用參見如下web頁面：/kb/958470HAC代理問題和保護(hù)資源是否啟動(dòng)相關(guān)服務(wù)訪問過程中出現(xiàn)如下界面：首先，檢查HAC相關(guān)服務(wù)是否可用。用客戶端直接連接到HAC外網(wǎng)口，telnet相關(guān)端口，（RDP端口：3389，VNC端口：5900，Xwindows端口：7000），如果連接成功，說明該服務(wù)可用。如果HAC服務(wù)可用，請(qǐng)檢查：真實(shí)服務(wù)器是否提供服務(wù)。如果HAC服務(wù)不可用，請(qǐng)檢查以下內(nèi)容：檢查系統(tǒng)日志區(qū)是否已經(jīng)沒有可用空間。日志空間已滿會(huì)導(dǎo)致相關(guān)進(jìn)程無法寫日志而關(guān)閉。請(qǐng)對(duì)日志進(jìn)行備份，并刪除已備份的日志。最后，重新啟動(dòng)HAC，如仍不能使用，請(qǐng)聯(lián)系江南科友技術(shù)支持。網(wǎng)絡(luò)問題檢查客戶端到HAC的網(wǎng)絡(luò)是否正常。檢查HAC到真實(shí)服務(wù)器網(wǎng)絡(luò)是否正常。檢查防火墻是否配置了相關(guān)策略。IE安全級(jí)別已經(jīng)設(shè)置，但是加載項(xiàng)中仍看不到”MicrosoftRdpClientControl”ActiveX控件答：該問題的原因是：情況默認(rèn)，WindowsXPServicePack3(SP3)禁用ActiveX控件。 解決辦法：請(qǐng)刪除下面的注冊(cè)表項(xiàng)中：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7584C670-2274-4EFB-B00B-D6AABA6D3850} 刪除此項(xiàng)后，需重啟IE。 手動(dòng)加載ActiveX控件使用IE下載控件并將其解壓（包含兩個(gè)文件：msrdp.ini和msrdp.ocx）在“開始->運(yùn)行”中運(yùn)行命令：regsvr32解壓文件絕對(duì)目錄\msrdp.ocx，如：regsvr32c:\msrdp\msrdp.ocxWindows主機(jī)如何開啟遠(yuǎn)程桌面服務(wù)？答：不同操作系統(tǒng)的windows主機(jī)，開啟遠(yuǎn)程桌面的方法各有不同對(duì)于WindowsXP和2003server主機(jī)，需在“我的電腦->屬性->遠(yuǎn)程”中，將遠(yuǎn)程桌面服務(wù)打開對(duì)于Windows2000server主機(jī)，需安裝終端服務(wù)組件開始->設(shè)置->控制面板->添加/刪除程序->添加/刪除Windows組件->選中“終端服務(wù)”->詳細(xì)信息->勾選“啟用終端服務(wù)”->確定注意安裝組件時(shí)，需用到系統(tǒng)光盤。對(duì)于Windows2000professional主機(jī)，系統(tǒng)不支持遠(yuǎn)程桌面服務(wù)，需通過第三方的遠(yuǎn)程桌面軟件，如VNC和PcanyWhere來實(shí)現(xiàn)遠(yuǎn)程桌面服務(wù)。在RDP訪問時(shí)，鼠標(biāo)移動(dòng)速度較慢？答：該問題的原因是默認(rèn)的RDP協(xié)議的刷新頻率是100ms，相當(dāng)于10Hz。所以鼠標(biāo)移動(dòng)速度較慢。可以添加注冊(cè)表鍵值來解決這個(gè)問題：在HKEY_CURENT_USER\Software\Microsoft\TerminalServerClient中新建兩個(gè)dword值，名稱分別為：MinSendInterval和MinSendInterval5，他們的值都為10，也就是10ms刷新一次。Telnet、SSH、FTP、SFTP中某個(gè)協(xié)議不能訪問？答：從以下情況進(jìn)行檢查。檢查客戶端到HAC的網(wǎng)絡(luò)是否正常；檢查HAC到保護(hù)資源網(wǎng)絡(luò)是否正常；檢查防火墻是否配置了相關(guān)策略；檢查保護(hù)資源是否提供服務(wù)；Telnet檢查HAC相關(guān)服務(wù)是否可用。（ftp端口：21，ssh端口：22，sftp端口：22，telnet端口：23）檢查系統(tǒng)日志區(qū)是否已經(jīng)沒有可用空間。日志空間已滿會(huì)導(dǎo)致相關(guān)進(jìn)程無法寫日志而關(guān)閉。請(qǐng)對(duì)日志進(jìn)行備份，并刪除已經(jīng)備份過的日志。最后，重新啟動(dòng)HAC，如仍不能使用，請(qǐng)聯(lián)系江南科友技術(shù)支持。在RDP運(yùn)維頁面中勾選磁盤映射選項(xiàng)，登錄后發(fā)現(xiàn)本地磁盤沒有映射到遠(yuǎn)程主機(jī)？答：如果在執(zhí)行rdp登錄操作時(shí)會(huì)彈出以下頁面，而用戶沒有勾選驅(qū)動(dòng)器選項(xiàng)，則會(huì)導(dǎo)致本地磁盤驅(qū)動(dòng)器沒有映射。注：通常客戶端在登錄的時(shí)候不需要再次勾選。此情況的產(chǎn)生是因?yàn)镽DP對(duì)驅(qū)動(dòng)器映射的提示與客戶端程序版本和安全設(shè)置有關(guān)系，屬于安全保護(hù)。如果勾選以上的選項(xiàng)后，仍然不能完成此功能，則請(qǐng)聯(lián)系服務(wù)器管理員，開啟服務(wù)器允許映射磁盤驅(qū)動(dòng)器的功能。在使用RDP訪問保護(hù)資源后，通過非注銷的方式退出，若用此用戶名再次登錄時(shí)，不能進(jìn)入原連接的會(huì)話？答：Windowsserver具有為同一個(gè)用戶提供多個(gè)會(huì)話的功能，采用某些版本的客戶端進(jìn)行登錄的時(shí)候可以顯示讓用戶選擇需要登錄的會(huì)話，如下圖所示。如果客戶端不能提供這個(gè)功能，請(qǐng)?jiān)诜?wù)器終端服務(wù)配置中設(shè)置“限制每個(gè)用戶使用一個(gè)會(huì)話”。Windowstelnet服務(wù)不能設(shè)置采用自動(dòng)登錄的方式？答：HACV3.5版本只支持類Unix系統(tǒng)的Telnet自動(dòng)登錄。服務(wù)器是中文環(huán)境，telnet登錄后無法輸入中文字符？答：在Telnet服務(wù)中進(jìn)行中文輸入時(shí)，請(qǐng)將資源的Telnet服務(wù)配置為支持8位字符。如圖：管理員在自動(dòng)登錄管理->設(shè)備賬戶管理頁面中，設(shè)置RDP自動(dòng)登錄帳號(hào)時(shí)，始終提示用戶名密碼錯(cuò)誤？答：請(qǐng)將資源的服務(wù)器類型更改為Windows。采用令牌認(rèn)證方式進(jìn)行登錄，提示用戶名密碼無效？答：請(qǐng)按以下步驟檢查：首先在安盟服務(wù)器進(jìn)行本地身份驗(yàn)證，如果不能通過，請(qǐng)按照《HAC動(dòng)態(tài)令牌管理員手冊(cè)》重新設(shè)置。如果能通過，請(qǐng)登錄安盟服務(wù)器，查看token服務(wù)器的活動(dòng)日志。如果活動(dòng)日志提示為：日志提示找不到代理主機(jī)，而為防火墻地址，經(jīng)查看是由于在防火墻上設(shè)置了NAT策略。解決方法有兩種：在防火墻上取消NAT即可,建議將token認(rèn)證服務(wù)器與HAC部署在同一網(wǎng)段。添加UNIX代理主機(jī)的第二節(jié)點(diǎn)。首先，編輯認(rèn)證服務(wù)器本地的hosts文件，添加防火墻的地址。如圖：然后，編輯代理主機(jī)，添加第二節(jié)點(diǎn)；如果活動(dòng)日志提示為：則需在認(rèn)證服務(wù)器的控制面板中，打開“安盟ACE/Agent”，清除節(jié)點(diǎn)密文，如下圖：并且在“編輯代理主機(jī)”處，將”UNIX代理主機(jī)”和”網(wǎng)絡(luò)操作系統(tǒng)代理主機(jī)”的”發(fā)送節(jié)點(diǎn)密文”選項(xiàng)取消勾選，如圖：審計(jì)平臺(tái)無法登錄？答：從以下三個(gè)方面進(jìn)行排查。確定審計(jì)平臺(tái)是否已經(jīng)正確安裝。檢查審計(jì)平臺(tái)到HAC是否網(wǎng)絡(luò)暢通。檢查HAC相關(guān)服務(wù)是否可用。用客戶端直接連接到HAC外網(wǎng)口，telnet相關(guān)端口，（標(biāo)準(zhǔn)通訊端口：9999，數(shù)據(jù)端口：1306），如果連接成功，說明該服務(wù)可用。最后，重新啟動(dòng)HAC，如仍不能使用，請(qǐng)聯(lián)系江南科友技術(shù)支持。注：審計(jì)平臺(tái)的通訊端口是可以用戶自定義的，除在HAC和審計(jì)平臺(tái)登錄配置上進(jìn)行修改外，還需確認(rèn)審計(jì)平臺(tái)到HAC該端口允許通過。管理員采用Usb_key登錄Web管理頁面，提示證書驗(yàn)證失??？答：HAC只對(duì)IE瀏覽器支持采用Usb_key方式進(jìn)行登錄。此功能需要IE啟用“SettingClass”ActiveX控件。通過IE工具->管理加載項(xiàng)，查看是否加載此控件，并且處于啟用狀態(tài)。如果沒有加載，請(qǐng)按照《HACusb_key使用手冊(cè)》進(jìn)行配置。重啟IE，進(jìn)行登錄即可。用戶名與證書不匹配。請(qǐng)與證書管理員聯(lián)系，查看是否匹配。證書已過期。為了保證安全性，目前HAC沒有對(duì)證書過期做出明確的提示。請(qǐng)登錄HAC配置平臺(tái)，管理員管理->證書管理頁面查看證書是否過期。新增一臺(tái)與以前相同類型的服務(wù)器，登入配置管理平臺(tái)，自動(dòng)登錄管理->設(shè)備賬戶管理，添加賬戶時(shí)，一直提示賬戶名密碼驗(yàn)證失?。看穑悍?wù)器類型雖然一樣，但是由于命令提示符和歡迎信息等可以自定義，sso的配置文件可能和原有服務(wù)器不一致。登錄sso配置管理頁面（https://ip/sso）檢查操作系統(tǒng)類型信息是否和