案例1:TD23906 问题描述:反馈域用户 yuml 没有关联 企业QQ邮箱 这个策略, 但是, 在域用户看到有关联上这条策略。
![]()
排查过程:后台 catkv 命令看了,也能同步到这个用户。这个用户当前所属OU为 董事会办公室。在排查过程中发现这个用户在其他策略里做过排除,显示排除的OU并非目前用户所在的OU而是 战略规划部。询问得知是客户的域里用户所属OU发生了变化![]()
问题分析:使用对象为 所有用户 其实是配置在根组上的策略,而域用户是从其父组继承策略。所有用户的策略,会从上一直往下继承。但是,当ou不正确后,该用户获取不到其父组策略,从而继承不了所有用户的策略。修复方法:重新配置一下策略是适用对象即可。修正该域用户的ou即可
案例2:TD39508
问题描述:组织结构和上网策略没办法显示OU,导致没办法关联策略
问题原因:客户在修改BaseDN的值时,把OU写成了ou小写的,导致CGI权限比较时字符串比较失败。 修复方法:调整配置,建议baseDN不要手动配置,搜索选中即可
案例3:TD34639
问题描述:客户反馈一个域用户隶属于IT sec这个小组,IT sec这个小组,隶属于Network device那个大组,但是对IT sec和Network device做了策略,在这个用户的策略列表里面没有看到
问题原因:当前用户在上网策略的适用对象选择的是安全组,其中用户forrest.ren的路径为hc.cn/HC_Users/HC_Location/TianJin/IT其所属的安全组路径为hc.cn/HC_Groups/Security_Groups/TianJin/Deny_Access_NetworkDrive_subgroup/Deny_Access_NetworkDrive_IT Sec,
但是原来的LDAP服务器同步时选择的OU路径为hc.cn/HC_Groups/Security_Groups/TianJin/,此路径并不包含用户的路径
修复方法:调整配置,将LDAP服务器的同步路径修改为hc.cn后,用户关联的策略显示正常了
案例4:TD29056
问题描述:上网策略不生效,关联的域用户ou组,但是发现在线的用户不是以这个组在线,是以本地在线的。并且在线列表中,这个ou都不存在
排查过程:从描述的问题现象看, 应该是域用户没有成功同步。检查系统日志发现,ou已经达到上限4500;将ou的上限调整到45000 发现,还是不够, 如果还往上调试对AC的性能会产生影响。 所以要从别的方面着手解决:可以根据客户的需要, 将AD域同步策略 拆分成多个
问题原因:客户域太大, AC同步不过来
修复方法:调整配置,少同步一些用户过来
案例5:201911150145
问题描述:策略有关联域用户,但是在域用户上看到没有应用到这个策略
排查过程:域用户有同步过来,但是就是关联不上。查看发现OU的名称带有特殊符号“+”
在CTI搭环境重现了,确认是不支持“+”号
解决方案:修改OU名称解决
案例6: (20200512更新)
问题描述:同步ldap用户到域用户不成功,策略应用对象不能选域用户
排查过程:
1、ldap服务器类型为openldap,核对用户过滤属性,组织单位过滤属性都没有问题
2、后台查看域用户缓存文件,以及用catkv命令查看,发现也是通读取到数据的。
![]()
3、baseDN搜索,也是可以看到OU信息的。但是域用户没有显示,策略处也不能选域用户![]()
![]()
4、通过排查,发现是客户的域架构有两级DC,而baseDN 只填了一层,导致设备解析失败。![]()
解决方案:修改baseDN 设置后问题解决。
案例七:(20200927更新)
问题描述:上网策略关联给了domain user,但是大部分用户都没有关联上这条策略
排查
1、ldap同步没有问题,不存在用户组,OU超限的问题
2、打同步调试日志,发现domain user 组只同步到了5个用户
3、使用第三方的ldap软件,取域用户属性,发现也只有5个
4、根据用户查隶属组,与AD域上的对比
![]()
发现也是没有同步到domain user 组的
5、最终排查,定位到是设置了主要组导致。主要组是不带memberof值的
修改主要组为非domain user 后,就能同步到了。
![]()
结论:主要组在用户属性里面是不会表现为memberof。所以同步不了
