SANGFOR ACSG v6渠道高级认证培训13 用户认证排错指导.ppt

新组件单点登录不生效 C.如果用户登陆域正常，但是C盘%appdata%/.logon目录仍然没有login.log文件。需要检查以下两点： 1. 域服务器端配置组策略必须是“Default Domian Policy”。配置域服务器本地的组策略无效； 新组件单点登录不生效 2. 组策略的GPO(组策略对象)需要包括Domain Users。可通过右键编辑域服务器组策略的属性，在安全标签下查看和添加： 新组件单点登录不生效 步骤3 检查PC通过脚本上报登陆域成功的信息给AC设备的过程。分3步检查： A. 查看login.log的修改时间，确认修改时间是否是最近一次登陆域的时间。如果 不是，则是上一次正常登陆域时执行logon.exe产生的，而非最近一次产生，反回 步骤2检查。 检查logon.exe脚本添加window启动程序信息如下： 新组件单点登录不生效 B. 查看login.log的详细内容，通过日志内容可以分析出不同的认证结果： 登陆成功 共享密钥不一致 登陆PC的IP/MAC被其他用户绑定了 PC没有收到AC的回复，于是一直向AC发登陆信息 新组件单点登录不生效 C. 如果login.log的日志显示一直在向AC发登陆信息，则需要检查PC和AC设备的连通性，可以通过AC设备抓包工具抓取UDP1773的包，看PC提交的登陆信息是否到达AC设备。 具体排错步骤可参考渠道技术论坛《新组件单点登陆排错文档》 Tel:400-630-6430 Email:support@ 培训内容 培训目标 IP/MAC绑定排错 1.掌握无法获取三层交换机arp表的排查方法 2. 掌握IP/MAC绑定冲突的排查思路和方法 密码认证排错 1.掌握无法弹出密码认证框的排查思路和方法 IP/MAC绑定排错 如图，AC路由部署在公网出口，内网有一台三层交换机，启用了SNMP。内网用户通过AC上网，需要通过AC的认证。客户使用IP/MAC认证，在设备上配置snmp服务器时，输入交换机的接口地址，提示获取失败？如何排查？ 排查思路： 1. 检查交换机SNMP的配置 2. 检查设备和交换机连通性 3. 使用第三方工具获取OID 4. 手动填写AC设备SNMP配置 问题一 ：设备无法通地SNMP搜索三层交换机的arp表 问题一 ：设备无法通地SNMP搜索三层交换机的arp表 步骤1 在设备上测试到交换机的连通性，可以先将设备开直通观察是否解决。会产生影响的有设备的“防DOS攻击”模块，请检查确认是否因为交换机地址被识别为DOS攻击而被设备拦截掉数据了。 步骤2 检查交换机snmp的配置是否正确，可以通过第三方SNMP客户端工具连交换机看能事读出来。 步骤3 检查交换机snmp配置的community值是否为public。在设备上只能搜索到community值为public的OID列表。如果community值不为public，则需要借助第三方SNMP客户端工作。这里使用BPSNMPUtil这款工具。连交换机获取结果如下： OID以开头，填这前4位即可 问题一 ：设备无法通地SNMP搜索三层交换机的arp表 步骤4 工具成功连接交换机后，需要过滤获取的结果，找到需要的OID。只需要VALUE这一列值是MAC地址的OID即可，取OID值的前10位，填入设备snmp配置中 建议：添加服务器的MAC地址时请使用设备上arp表上显示的交换机接口的mac地址 问题一 ：设备无法通地SNMP搜索三层交换机的arp表 问题二 ：IP/MAC绑定不生效 现在获取不到交换机OID的问题解决了，但是客户发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？ 排查思路： 1.查看在线用户列表 2.开启拦截日志，获取拦截信息 3.修改错误配置，或者删除错误的IP/MAC绑定 问题二： IP/MAC绑定不生效 步骤1 查看在线用户列表，检查用户是以临时用户身份出现，还是没有在在线用户列表中 如果用户是以临时用户身份出现，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址（AC不会将内网电脑的IP地址与交换机的MAC地址绑定）。 1. 如果是通过AC设备搜索获得的OID，建议使用第三方扫描工具，在内网电脑上扫描交换机的OID，把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。 2. 如果是手动获取OID并手动在AC设备上填写的snmp配置，则检查IP/MAC/OID/COMMUNITY配置是否正确。 问题二： IP/MAC绑定不生效 本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效 问题二 ：IP/MAC绑定不生效 步骤2 如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外