sangfor ac v1102016年度渠道高级认证培训用户排错指导

用户认证排错指导培训内容培训目标IP/MAC绑定排错1.掌握IP/MAC绑定冲突的排查思路和方法密码认证排错1.掌握无法弹出密码认证框的排查思路和方法IP/MAC绑定排错问题一：IP/MAC绑定不生效如下图，客户使用AC设备做了跨三层的MAC绑定，但是发现内网00这个用户还是上不了网，也添加不到用户组中怎么排查？排查思路：1.查看在线用户列表2.开启拦截日志，获取拦截信息3.修改错误配置，或者删除错误的IP/MAC绑定问题一：IP/MAC绑定不生效步骤1查看在线用户列表，检查用户是以00-00-00-00-00-00的MAC地址上线了，还是没有在在线用户列表中

。如果用户上线的MAC地址显示为全0的MAC，则说明AC设备通过SNMP没有获取到用户电脑真正的mac地址。此时需要检查交换机上SNMP是否正常开启，另外AC上的跨三层绑定配置选项是否配置正确。问题一：IP/MAC绑定不生效本案例中是由于将交换机的地址填写错误导致IP/MAC绑定不生效问题一：IP/MAC绑定不生效步骤2如果在线用户列表没有用户出现，则开启拒绝列表，然后内网电脑访问外网，查看拦截日志不勾选该项，才有助于排查日志说明00存在mac绑定冲突的情况，设备通过SNMP获取到的电脑mac是B8-70-F4-3A-42-2B问题一：IP/MAC绑定不生效步骤3到用户组去搜索内网电脑的IP00或MACB8-70-F4-3A-42-2B，找到被绑定的用户，并删除可以发现00绑定了错误的MAC地址。删除错误的绑定关系，或更改正确绑定关系。问题一：IP/MAC绑定不生效步骤4到在线用户列表确认用户认证成功重新在“用户绑定”列表查看00用户，发现已绑定正确密码认证排错问题一：电脑弹不出密码认证页面如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做外部认证。现在用户发现上不了网，打开网页也没有弹出密码认证框。如何排查？排错思路：1.电脑的网关和DNS配置正确，能正常上网和解析域名2.AC是否启用"未通过认证的用户，允许访问DNS服务“3.AC设备和内网电脑的连通性是否正常，如AC设备路由配置是否正确？4.认证策略是否启用密码认证问题一：电脑弹不出密码认证页面步骤1检查AC设备认证策略是否启用密码认证步骤2检查AC设备到内网电脑的回包路由（网桥模式使用虚拟地址重定向不需要）问题一：电脑弹不出密码认证页面步骤3检查AC是否允许用户认证成功之前能访问DNS服务问题一：电脑弹不出密码认证页面步骤4客户端电脑检查网关和DNS设置是否正确，能否解析出域名注意：这里之所以能解析出域名并且能ping通外网地址,是因为在AC上启用了“未通过认证用户可以访问dns服务”及“未通过认证用户具体根组权限（http应用除外）”问题一：电脑弹不出密码认证页面步骤5重新访问外网测试用户认证框能否正常弹出问题二：密码认证失败现在用户做密码认证可以弹出密码认证框了，但是输入域账号user3和密码的时候提示用户名密码不正确，跟域管理员确认过账号的用户名和密码没有问题。怎么排查？排查思路：1.检查AC设备和服务器的连通性2.检查AC设备组织结构是否存在相同用户名的本地账号3.检查域账号是否同步到AC设备上来，或者认证策略是否启用新用户认证问题二：密码认证失败步骤1检查设备和LDAP服务器的连通性，可以在设备外部认证服务器页面进行连通性测试

问题二：密码认证失败步骤2检查组织结构是否存在相同用户名的本地账号，如果有本地账号，AC设备优先认证本地账号，删除本地账号有勾选“本地密码”说明是本地账号问题二：密码认证失败步骤3

重新使用user3登陆测试，可以认证成功，从所属组也可以看出是域上同步过来的账号外部认证流程图PC的上网数据AC/SG根据IP、MAC匹配认证策略密码认证重定向到认证页面输入用户名和密码AC/SG有对应用户名且设置本地密码？

Y本地认证成功/失败N认证未通过认证失败用户认证信息发到第三方服务器AC/SG有对应用户名？

认证通过认证成功YN匹配新用户认证策略作为临时用户或加入本地组Y新组件LDAP单点登录排错新组件单点登录不生效如图，AC路由部署在公网出口，内网有一台三层交换机，内网用户通过AC上网，AC结合LDAP服务器做新组件单点登陆。现在用户发现单点登录不生效，要输入用户名密码后才能打开网页。如何排查？排查思路：1.检查基本配置2.手动运行logon.exe脚本，观察单点登录是否成功新组件单点登录不生效步骤1检查基本配置，参考“SANGFOR_AC__v11.0_脚本方式单点登录测试指导书.doc”步骤2手动运行logon.exe，观察单点登录是否成功。域上配置好组策略，终端电脑登录域后，logon会下发至电脑启动菜单，如下图，手动运行启动项中的logon，观察单点登录是否成功注意：如果启动项中没有logon，说明脚本没有下发至客户端，需要检查客户端PC和域之间的通信。如果启动项有Logon，但单点登录不成功，则需要排查AC。详细如后面PPT新组件单点登录不生效A.运行Logon后，在PC本地的C盘用户目录（C:\DocumentsandSettings\Administrator\ApplicationData\.logon）生成login.log日志文件，通过日志文件定位问题。也可以在运行下输入%appdata%/.logon直接打开用户目录手动运行logon，单点登录仍不成功时排查新组件单点登录不生效B.如果login.log的日志显示一直在向AC发登陆信息，则需要检查PC和AC设备的udp1775端口是否能到达，可以通过AC设备抓包工具抓取UDP1775的数据包判断，如下图C.如果通过第二步排查，AC设备收到客户端发送的udp1775的数据包，则需要检查电脑终端的IP地址或MAC地址是否被其它用户绑定，如有绑定，需要解除绑定关系。新组件单点登录不生效终端电脑启动项中没有logon脚本时排查如果电脑%appdata%/.logon目录下没有生成login.log，则说明脚本没有下发到电脑，需要检查PC和域，此时和AC无关，则检查以下几点：A.确认C盘用户目录是否有写权限，可以在该目录下手动创建一个文件测试B.确认用户是否正常获取到组策略，可以在运行下执行：rsop.msc正常登陆域并且获取到组策略新组件单点登录不生效没有正常获取到组策略的情况如下新组件单点登录不生效正常获取到组