hcie-security内容修订20套提交hc ssl故障排除

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031073SVNV1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）陈世杰2014-08-15王锐开发丁祖贤2015-03-29优化本页不打印HC13031073 SSL VPN故障排除 目标学完本课程后，您将能够:熟悉引发故障的常见配置问题掌握故障基本定位过程掌握相关故障处理过程 目录一般故障处理流程常见故障定位及处理登录虚拟网关页面故障认证授权故障Web代理故障网络扩展故障端口转发故障文件共享故障终端安全1、故障处理流程图一般故障的定义及处理流程：2.1、登录虚拟网关页面故障 故障一、无法登录虚拟网关Web页面且无任何提

2、示信息。可能原因： 原因一：在采用证书认证后，没有选中“需要用户提供证书”选项，导致没有证书验证请求，客户端也不会传输证书到虚拟网关，导致登录没有响应。 原因二：在采用证书认证后，使用Firefox浏览器进行客户端证书认证登录，证书验证失败，SSL连接断开，页面没有响应。2.1、登录虚拟网关页面故障 故障二、提示“无法显示网页”。可能原因：原因一：用户PC和虚拟网关路由不可达。原因二：虚拟网关的IP地址已经被更改。原因三：没有通过虚拟网关域名访问共享型虚拟网关。原因四：共享型虚拟网关域名没有配置为公网地址。2.1、登录虚拟网关页面故障 故障三、提示“您的证书验证非法，请提供合法的证书!”可能原

3、因：原因一：客户端证书不在有效期内。原因二：客户端证书已经被吊销。原因三：客户端证书对应的虚拟网关CA证书没有正确导入。原因四：证书检测配置错误：使用CRL检测时，如果从客户端证书中获取CDP信息时，CDP服务器路由不可达。使用OCSP检测时，OCSP选项配置错误或OCSP响应器路由不可达。原因五：在证书链中，CA证书的上级证书被吊销或检测错误。2.1、登录虚拟网关页面故障 故障三、提示“您的证书验证非法，请提供合法的证书!”2.1、登录虚拟网关页面故障 故障四、提示“visit limit，your IP address is not security”。可能原因： 管理员配置了限制该终端源

4、IP地址的策略。2.1、登录虚拟网关页面故障 故障五、提示“用户连接数已达到上限，请稍后再试”。可能原因：原因一：正常现象。在线用户达到上限。原因二：允许一个账号在多处同时登录的情况下，会话超时时间设置过长。2.1、登录虚拟网关页面故障 故障六、提示“错误的用户名或密码”。可能原因：原因一：用户名和密码输入错误。原因二：用户或组过滤字段配置错误。原因三：证书过滤字段配置错误。原因四：AD服务器和SVN系统的时间、时区不一致。原因五：SecurID令牌和SecurID服务器的时间差大于设定的值。2.2、认证授权故障 故障一、LDAP或AD的组搜索失败。可能原因：原因一：LDAP服务器不存在或路由

5、不可达。原因二：没有正确配置LDAP服务器信息。原因三：没有正确配置组搜索的Base DN/Port DN。原因四：搜索规则不符合规范。AD组搜索失败的原因和处理过程与LDAP类似。2.2、认证授权故障故障二、LDAP或AD组搜索需要较长时间，但是服务器上的组并不多。可能原因：原因一：搜索规则设置范围太宽，导致LDAP服务器返回了大量重复的组名，在SVN上花费很多时间来过滤。原因二：配置了主备LDAP服务器，可能主LDAP服务器连接不上，而向备LDAP服务器请求。 AD组搜索失败的原因和处理过程与LDAP类似。2.3、Web代理故障 故障一、用户无法访问页面上看到的Web代理资源。可能原因：原

6、因一：网络连接故障。原因二：内网服务器没有开启Web服务。原因三：虚拟网关策略设置错误。2.3、Web代理故障 故障二、打开Web代理资源页面时，页面显示不完全。可能原因：正常现象。该页面包含多个链接，管理员没有对这些链接配置相应的Web代理资源。如果需要显示该页面的所有内容，请按照以下处理步骤进行配置。2.3、Web代理故障 故障三、虚拟网关上不能显示配置的全部Web代理资源。可能原因：正常现象。非门户链接资源不会显示在虚拟网关上。2.3、Web代理故障 故障四、在代理环境下，某些软件启动后，用户无法访问Web代理资源。可能原因：当ISA Client等会修改网络浏览器代理设置的软件运行时，

7、网络浏览器的代理设置被修改，导致用户无法访问Web代理资源。2.4、网络扩展故障 故障一、不能使用网络扩展业务访问内网服务器资源。可能原因：原因一：网络连接故障。原因二：SVN上没有将该内网服务器配置为网络扩展资源。原因三：SVN上的访问控制策略不允许用户访问网络扩展资源。2.4、网络扩展故障 故障二、无法启用网络扩展功能。可能原因：PC上不能启动网络扩展功能，可能与当前PC特定的软硬件环境有关。启用网络扩展功能时会自动安装虚拟网卡和Nemservice系统服 务，如果上述安装不正确则不能成功启用网络扩展功能。原因一：启动网络扩展时安装虚拟网卡失败。原因二：启动网络扩展时安装或者启动Nemse

8、rvice失败。原因三：客户端IE代理设置的远程pac文件地址不正确导致网络扩展启动失败。2.4、网络扩展故障 故障三、使用客户端启动网络扩展时提示“连接网关失败”。可能原因：提示“连接网关失败”说明网络扩展客户端和SVN虚拟网关之间没有建立SSL连接。引起该故障的可能的原因如下：原因一：网络扩展客户端的代理服务器设置错误。原因二：PC和虚拟网关/代理服务器之间的路由不可达。原因三：网络扩展客户端和虚拟网关/代理服务器之间的TCP连接被防火墙拦截。2.4、网络扩展故障 故障四、启动网络扩展后，客户端不能获取到IP地址。可能原因：原因一：虚拟网关和DHCP服务器网络不可达。原因二：DHCP服务器

9、没有分配IP地址。原因三：DHCP服务器或IP地址池分配的网络扩展虚拟IP地址和设备上其他IP地址冲突，导致分配失败。原因四：用户PC操作系统的DHCP Client服务没有打开。原因五：IP地址池内的IP地址已经分配完。2.4、网络扩展故障 故障五、安装网络扩展客户端失败。可能原因：只有操作系统管理员才能安装网络扩展客户端，当前登录PC的用户不具有管理员权限。2.4、网络扩展故障 故障六、使用NTLM认证代理,使用网络扩展客户端连接失败。可能原因：NTLM认证通过AD实现，Windows的域控制器只能对前20个字符进行验证，所以当代理服务器的用户名超过20个字符时，登录失败。2.4、网络扩展

10、故障故障七、在代理环境下，某些软件启动后，用户无法使用网络扩展功能访问Web类型的资源。可能原因：当ISA Client等会修改网络浏览器代理设置的软件运行时，网络浏览器的代理设置被修改，导致用户无法使用网络扩展功能访问Web类型的资源。2.4、网络扩展故障故障八、使用网络扩展客户端启动网络扩展时，提示“建立代理环境失败”，弹出自动重连提示框。可能原因：原因一：用户PC上安装的防火墙软件阻止网络扩展系统服务程序NemService和虚拟网关/代理服务器之间建立SSL连接。原因二：用户PC上安装的防火墙软件提示用户“允许”或者“阻 止”网络扩展系统服务程序NemService连接到网络时，用户没

11、有在指定时间内选择“允许”或者选择了“阻止”。2.4、网络扩展故障故障九、SSL VPN终端用户无法访问内网资源。可能原因：原因一：内网服务器设置异常。原因二：SVN上配置了禁止用户访问内网资源的策略。原因三：SVN与内网服务器路由不可达。原因四：通过网络扩展功能访问内网资源。原因五：SVN上配置的内网资源不正确。原因六：中间防火墙配置了禁止SVN访问内网资源的ACL。2.4、网络扩展故障 故障十、Mac客户端无法启用网络扩展。可能原因：原因一：虚拟网关处未开启网络扩展功能。原因二：网络连接故障。原因三：客户端的代理服务器设置错误。原因四：SVN访问控制策略不允许用户访问相关资源。2.4、网络

12、扩展故障 故障十一、Android客户端无法启用网络扩展。可能原因：原因一：Android手机未获得root权限。原因二：Android手机没有安装tun驱动。原因三：虚拟网关处未开启网络扩展功能。原因四：SVN上的访问控制策略不允许用户访问网络扩展资源。原因五：网络连接故障。2.5、端口转发故障 故障一、用户无法访问端口转发资源。可能原因：原因一：网络连接故障。原因二：端口转发未启用。原因三：用户连接超时。原因四：内网服务器没有开启相应的端口。原因五：虚拟网关策略设置错误。2.5、端口转发故障 故障二、在Windows Vista和Windows 7操作系统下无法访问端口转发主机名资源。可能

13、原因：在Windows Vista和Windows 7操作系统下访问端口转发主机名资源时，如果Windows Vista和Windows 7操作系统查询不到该内网资源的路由，系统将不会尝试和内网资源建立TCP连接，从而导致用户不能访问内网资源。通常情况下操作系统中会存在一条默认路由，当系统有默认路由时不存在上述问题。对于Windows XP系统，不存在对内网资源查询路由表的步骤，因此不存在上述问题。2.5、端口转发故障 故障三、在代理环境下，在某些软件启动后，无法访问需要使用网络浏览器的端口转发资源。可能原因：当ISA Client等会修改网络浏览器代理设置的软件运行时，网络浏览器的代理设置被

14、修改，导致无法访问需要使用网络浏览器的端口转发资源。2.5、端口转发故障故障四、SSL VPN端口转发功能不可用。可能原因：原因一：当前登录客户端PC操作系统的用户不是Administrator组成员。原因二：当前客户端PC的操作系统不是Windows 7或Windows Vista。原因三：要访问的内网资源没有显示在端口转发资源列表中。原因四：端口转发组件在杀毒软件黑名单中。2.6、文件共享故障 故障一、提示“访问失败，存在网络连接问题。请与管理员联系。”可能原因：原因一：该文件共享资源对应的文件服务器不存在或文件服务器和SVN的路由不可达。原因二：该文件共享资源的主机地址为域名，而虚拟网关

15、没有配置DNS服务器或配置错误。2.6、文件共享故障 故障二、提示“访问失败，服务器中此文件或目录不存在。”可能原因：文件服务器上不存在该目录或者当前资源对应的文件服务目录未开启共 享。2.6、文件共享故障 故障三、提示“访问失败，没有足够的权限进行操作。”可能原因：原因一：输入的用户名或密码错误。原因二：用户没有操作该共享目录的权限。2.6、文件共享故障 故障四、可以查看目录和文件，但无法上传和删除、重命名文件。可能原因：原因一：如果文件服务器的类型为NFS，说明用户UID和GID的属性不允许用户进行上传、删除或重命名文件的操作。NFS文件服务器根据登录用户的UID和GID进行资源访问的权限

16、控制。NFS类型的共享文件可设置三种用户群：拥有者、同组用户、其他用户。这三种用户群的文件权限可以设为不同，说明用户根据UID和GID归类到相应的用户群以访问文件。原因二：如果文件服务器的类型为SMB，当前登录的用户对该文件共享资源只具有读操作的权限，而没有写操作的权限。2.6、文件共享故障 故障五、在Windows 2003 Server下无法直接打开gif、bmp、txt等类型的文 件。可能原因：Windows 2003 server的操作系统使用较为严格的安全策略，如图1所示，网络浏览器使用的安全级是“高”。此安全级使网络浏览器没有权限运行新的应用程序进程，如打开txt类型文件的Notepad，bmp/jpg类型文件