深信服上网行为管理-用户认证排错指导

1、深信服上网行为管理用户认证排错指导培训内容培训目标IP/MAC绑定排错1.掌握无法获取三层交换机arp表的排查方法2. 掌握IP/MAC绑定冲突的排查思路和方法密码认证排错1.掌握无法弹出密码认证框的排查思路和方法IP/MAC绑定排错如图，AC路由部署在公网出口，内网有一台三层交换机，启用了SNMP。内网用户通过AC上网，需要通过AC的认证。客户使用IP/MAC认证，在设备上配置snmp服务器时，输入交换机的接口地址，提示获取失败？如何排查？排查思路：1. 检查交换机SNMP的配置2. 检查设备和交换机连通性3. 使用第三方工具获取OID4. 手动填写AC设备SNMP配置问题一 ：设备无法通地

2、SNMP搜索三层交换机的arp表问题一 ：设备无法通地SNMP搜索三层交换机的arp表步骤1 在设备上测试到交换机的连通性，可以先将设备开直通观察是否解决。会产生影响的有设备的“防DOS攻击”模块，请检查确认是否因为交换机地址被识别为DOS攻击而被设备拦截掉数据了。步骤2 检查交换机snmp的配置是否正确，可以通过第三方SNMP客户端工具连交换机看能事读出来。步骤3 检查交换机snmp配置的community值是否为public。在设备上只能搜索到community值为public的OID列表。如果community值不为public，则需要借助第三方SNMP客户端工作。这里使用BPSNMPU

3、til这款工具。连交换机获取结果如下：OID以开头，填这前4位即可问题一 ：设备无法通地SNMP搜索三层交换机的arp表步骤4 工具成功连接交换机后，需要过滤获取的结果，找到需要的OID。只需要VALUE这一列值是MAC地址的OID即可，取OID值的前10位，填入设备snmp配置中建议：添加服务器的MAC地址时请使用设备上arp表上显示的交换机接口的mac地址问题一 ：设备无法通地SNMP搜索三层交换机的arp表问题二 ：IP/MAC绑定不生效现在获取不到交换机OID的问题解决了，但是客户发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？排查思路：1.查看在线用户列表2.开启拦截日

4、志，获取拦截信息3.修改错误配置，或者删除错误的IP/MAC绑定问题二： IP/MAC绑定不生效步骤1 查看在线用户列表，检查用户是以临时用户身份出现，还是没有在在线用户列表中 如果用户是以临时用户身份出现，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址（AC不会将内网电脑的IP地址与交换机的MAC地址绑定）。1. 如果是通过AC设备搜索获得的OID，建议使用第三方扫描工具，在内网电脑上扫描交换机的OID，把通过设备没有搜索到的有效的OID填入AC设备snmp配置中。2. 如果是手动获取OID并手动在AC设备上填写的snmp配置，则检查IP/MAC/OID/COMMUNITY配置

5、是否正确。问题二： IP/MAC绑定不生效本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效问题二 ：IP/MAC绑定不生效步骤2 如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外网，查看拦截日志不勾选该项，才有助于排查日志说明00存在mac绑定冲突的情况，设备通过SNMP获取到的电脑mac是B8-70-F4-3A-42-2B问题二 ：IP/MAC绑定不生效步骤3 到用户组去搜索内网电脑的IP00和MAC B8-70-F4-3A-42-2B，找到被绑定的用户，并删除通过搜索IP发现00和另外一个mac绑定在一起了，删除该用户问题二 ：IP/MAC绑定不生效步骤4 到

6、在线用户列表确认用户认证成功常见IP/MAC绑定错误汇总，请查看渠道技术论坛： SANGFOR_AC&SG_v3.X_MAC地址绑定错误排错专题密码认证排错问题一 ：电脑弹不出密码认证框如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做外部认证。现在用户发现上不了网，打开网页也没有弹出密码认证框。如何排查？排错思路：1. 电脑的网关和DNS配置正确，能正常上网和解析域名2. AC是否启用未通过认证的用户，允许访问DNS服务“3. AC设备和内网电脑的连通性是否正常，如AC设备路由配置是否正确？4. 认证策略是否启用密码认证问题一：电脑弹不出密码认

7、证框步骤1 检查AC设备认证策略是否启用密码认证步骤2 检查AC设备到内网电脑的回包路由（网桥模式需要重点注意）问题一 ：电脑弹不出密码认证框步骤3 检查AC是否允许用户认证成功之前能访问DNS服务问题一 ：电脑弹不出密码认证框步骤4 客户端电脑检查网关和DNS设置是否正确，能否解析出域名注意：这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组权限（http应用除外）”问题一 ：电脑弹不出密码认证框步骤5 重新访问外网测试用户认证框能否正常弹出问题二 ：密码认证失败现在用户做密码认证可以弹出密码认证框了，但是输入域

8、账号user3和密码的时候提示用户名密码不正确，跟域管理员确认过账号的用户名和密码没有问题。怎么排查？排查思路：1. 检查AC设备和服务器的连通性2. 检查AC设备组织结构是否存在相同用户名的本地账号3. 检查域账号是否同步到AC设备上来，或者认证策略是否启用新用户认证问题二 ：密码认证失败步骤1 检查设备和LDAP服务器的连通性，可以在设备外部认证服务器页面进行连通性测试 问题二 ：密码认证失败步骤2 检查组织结构是否存在相同用户名的本地账号，如果有本地账号，AC设备优先认证本地账号，删除本地账号有勾选“本地密码”说明是本地账号问题二 ：密码认证失败步骤3 重新使用user3登陆测试，可以认

9、证成功，从所属组也可以看出是域上同步过来的账号外部认证流程图PC的上网数据AC/SG根据IP、MAC匹配认证策略密码认证重定向到认证页面输入用户名和密码AC/SG有对应用户名且设置本地密码？Y本地认证成功/失败N认证未通过认证失败用户认证信息发到第三方服务器AC/SG有对应用户名？认证通过认证成功Y认证策略是否开启自动添加新用户？NN作为临时用户或不允许新用户认证Y自动添加新用户并认证成功Y新组件LDAP单点登录排错新组件单点登录不生效如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做新组件单点登陆。现在用户发现单点登陆不生效，要输入用户名密码后

10、才能打开网页。如何排查？排查思路：1. 检查基本配置2.检查PC是否执行了logon.exe脚本3.检查PC通过脚本上报登陆域成功的信息给AC设备的过程新组件单点登录不生效步骤1 检查基本配置 /read.php?tid-7797.html 步骤2 检查PC是否执行了logon.exe脚本。 如果PC运行logon.exe成功后，在PC本地的C盘用户目录（ C:Documents and SettingsAdministratorApplication Data.logon）生成login.log日志文件。可以在运行下输入%appdata%/.logon直接打开用户目录新组件单点登录不生效如果

11、C盘%appdata%/.logon目录下没有生成login.log，则检查以下几点：A. 确认C盘用户目录是否有写权限，可以在该目录下手动创建一个文件测试B. 确认用户是否正常获取到组策略，可以在运行下执行：rsop.msc正常登陆域并且获取到组策略新组件单点登录不生效没有正常获取到组策略的情况如下新组件单点登录不生效没有正常获取到组策略的原因可能是用户没有正常登陆域或者离线登陆域了，可以通过在cmd下执行：gpresult查看登陆域的情况。正常登陆域的时候可以查看到所加入的域，和应用组策略的时间没正常登陆域的时候则看不到域的信息新组件单点登录不生效 如果PC是离线登录域的情况下，或者PC登

12、录域之前有发往外网的连接，会导致PC无法获取到域服务器的组策略，从而引起单点登录不成功。这种情况下，只要之前PC有一次正常登录到域并获取到了域服务器的组策略，PC成功执行过logon.exe，同样的是可以单点登录成功的。 单点登录logon.exe，程序运行时会自动拷贝到启windows启动目录。 新组件单点登录不生效C.如果用户登陆域正常，但是C盘%appdata%/.logon目录仍然没有login.log文件。需要检查以下两点：1. 域服务器端配置组策略必须是“Default Domian Policy”。配置域服务器本地的组策略无效；新组件单点登录不生效2. 组策略的GPO(组策略对象)需要包括Domain Users。可通过右键编辑域服务器组策略的属性，在安全标签下查看和添加：新组件单点登录不生效步骤3 检查PC通过脚本上报登陆域成功的信息给AC设备的过程。分3步检查：A. 查看login.log的修改时间，确认修改时间是否是最近一次登陆域的时间。如果不是，则是上一次正常登陆域时执行logon.exe产生的，而非最近一次产生，反回步骤2检查。检查logon.exe脚本添加window启动程序信息如下：新组件单点登录不生效B. 查看login.log的详细内