关于新组件单点登录的排错
  

一三五七九 发表于 2015-3-13 16:01

本帖最后由 一三五七九 于 2015-3-13 16:05 编辑

现在不少客户要求内网用户上网需要认证,跟AD域结合做单点登录,不降低用户体验的情况下也加强了管控。具体配置方法参考培训PPT,就不作赘述,现就新组件方式单点登录的经常遇到的问题及排除思路整理一下,与大家一起探讨。
首先技术原理:
客户端加入了AD域,域控上配置的组策略,通过组策略下发深信服单点登录脚本,用户登录/注销的时候分别执行登陆和注销脚本,将用户登录/注销信息上报至AC/SG设备,从而实现用户登陆后计算机后自动通过设备认证的效果。

了解了原理以后,常见问题也就有以下几种:
1.常见的配置错误。
2.组策略没有下发成功,客户端没有获取到单点登录对应的组策略。
3.客户端获取到了,没有执行成功。


.基本配置错误。有些细节没有注意。
常见错误1:脚本名称logon.exe,注销脚本是logff.exe,好几次填的logoff.exe;
1.png
常见错误2:组策略配置脚本的地方为用户配置,非计算机配置;


二.组策略没有下发成功,客户端没有获取到单点登录对应的组策略。
这个问题一般可以通过在命令控制台下执行 gpresult /R,看看用户配置下面是否获取到相应的组策略。例如下图查看用户是否获取到单点登录的组策略,此例中对应的组策略名称为TECH SSO。
1.刚配置好,下面计算机获取策略又一定的延时,如果没有获取到可以强制刷新下组策略试试,CMD下面执行gpupdate /force
2.检查这条组策略关联的OU的位置是否正确,或者直接在Default Domain Policy上配置单点登录。
6.png

三。客户端获取到了,没有执行成功;
在部分客户那边遇到过组策略太多,会出现组策略执行不成功的现象。排除这个问题可以通过 开始---运行---rsop.msc  来查看此用户的组策略结果集。然后查看策略是否正常执行,可以通过策略执行结果后面包含最后一次执行的时间来判断。如下图,是执行成功的。
8.png

如果还是没有单点登录成功,可以将logon.exe拷贝到D盘下,按照脚本的格式手动执行看看能否成功。如果还是没有成功,排查客户端PC和AC/SG设备之间的通信是否正常,回包路由等,中间是否有防火墙,设备的UDP 1773端口能否可达(可以在设备上抓包验证)。
11.png

另外 开始---运行---%appdata%/.logon 查看单点登陆脚本的运行日志,查找问题原因。如下图,原因为客户端和设备通信异常,传输超时报错。
9.png

四。其他问题:
同时在多台AC/SG设备上实现单点登录。可以用sinforIP脚本文件,比较复杂(具体参考单点登录脚本里的说明文档),也可以直接在配置界面上添加多条脚本来实现多设备的同时单点登录。如下图,三台设备就添加三个:
2.png

2.在Windows Server 2008 或者2012的时候,在登录属性的配置界面点击【显示文件】,无法将脚本直接粘贴进去,提示权限不足,此时依次打开 C:\Windows\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Scripts\Logon 再粘贴进去即可。其中{31B2F340-016D-11D2-945F-00C04FB984F9}为新建组策略随机生成的这个字符串,找的时候照点击【显示文件】弹出的路径查找相同的即可。
3.另外由于其他原因,如域控设置、网络环境、客户端设置等等问题,新组件单点登录不一定100%成功,结合其他单点登录方式(如免插件方式)配合使用,提高单点登录成功率。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

新手84471...

本周建议达人

新手41456...

本周分享达人

新手26810...

本周提问达人