AC11.0以计算机名为用户名显示
  

傲腾基业_饶林瑞 7916

{{ttag.title}}
某公司实施AC的时候遇到的印象深刻的事情。
设备:AC-11.0
需求:不需要认证,以计算机名为用户名显示

在此之前特别感谢一下1036对于该问题的帮助和耐心解答!

一、认证策略
      经过一番沟通之后客户还是坚决使用以计算机名为用户名——内网PC的命名管理员很清楚并且很有规律。用户内网没有域。

    从对应的IP网段上线的用户会被添加到对应的组内,可以在【系统管理】-【实时状态】-[在线用户管理]里查看。

二、问题
   
获取不到PC的计算机名,显示名的都是unknown computer

    为什么?
    由于认证是以计算机名为用户名,设备是通过NetBIOS协议来获取上网计算机的计算机名,可能会出现获取不到计算机名的情况。
    注意:获取不到计算机名的时候,PC会以临时用户身份上线,不会录入到本地的组织结构中,只能在在线用户内查看到。

    出现获取不到计算机名的原因有如下几点:
         ①  电脑上没有开始NetBOIS协议,关于开启该协议请参考百度文档

         如果电脑有多个网卡(无线,有线),需要在每个网络连接下都开启该协议。

        ②   网络路径中是否有设备拦截了NetBIOS协议——AC在出口,下接防火墙的情况

        ③  WindowsPC机本身的防火墙拦截了NetBIOS协议(管理员不嫌麻烦,挨个计算机去操作)。
        办法一:关闭windows防火墙
        这个办法的弊端就是整个关闭了防火墙之后,PC自身的安全性难以保障,我们采取办法二。

        办法二:放通NetBIOS协议需要用到的端口
        放通入站规则里的TCP和UDP137/138/139三个端口。
        保障了NetBIOS协议能正常交互之后,我们需要注销一下在线用户,当用户被注销再重新上线的时候就能正常获取到计算机名。临时用户因为无法强制注销,只能是指定时间注销。注销方法如下:

        步骤一:
        首先获取到AC本身的系统时间。简单的办法就是如下:将AC的时间设置为跟您PC一致的时间,便于下一步的操作。
   还可以用升级客户端从后台查看AC的实际系统时间(可能AC的时候跟您PC的不一致)。

        步骤二:
            到了设置的时间,在线的用户会被强制注销,然后重新认证。被注销的用户会出现1-3秒的一个网络闪断,慎重操作。

          做完如上的操作之后,就可以在在线用户里面或者组织结构里面看到计算机名称被识别出来的PC用户了!



在这里还遇到一个小问题,顺便某公司。
           在图2的在线用户里面我们会发现,天澜AP这个组里面存在很多叫unknown computer的用户,用户名一致但是IP段不一致。对比一下图1的认证策略,我们会发现,不同网段的认证方式不同,添加到的组也是不一样的。那为何各个网段的unknown computer都在天澜AP里面呢?

           经过最后和1036的实验发现,在AC11.0里,如果在认证策略里勾选了“自动录入用户到本地组织结构”,那么第一个未被识别到计算机名称的用户会以unknown computer的用户名添加到组织结构中去,至于添加到哪个组,取决于该用户匹配到认证策略。

           有别于AC6.1AC6.1未被识别的用户都是以临时用户身份上线,不会添加unknown computer到组织结构中去,不管是否勾选此选项。AC11.0里,如果不勾选的话就跟AC6.1一致了,但不勾选会导致组织结构里面没有用户,不方便做策略。

           在我这里就是因为第一个未被识别到计算机名的用户匹配的是天澜AP这条认证策略,添加到了天澜AP用户组里。而后续未被识别到计算机名称的用户都会以unknown computer上线(在线用户里能看到多个相同用户名的用户,但是组织结构里只有一个),并且此时组织结构里面已经有了该用户,就不会再匹配到认证策略。

       综上所述,不管是否录入组织结构,由于unknown computer用户的存在,都会导致后续不方便配置策略。同时,也不建议使用计算机名为用户名。

         后续小伙伴如果遇到相同的问题,出现的情况不一致或者本文有任何不符合实际的地方,敬请指教!



打赏鼓励作者,期待更多好文!

打赏
2人已打赏

Sangfor_闪电回_小云 发表于 2016-2-18 15:40
  
饶MM出品,必出精品
smile 发表于 2016-2-18 16:04
  
SANGFOR_CTI_肖天明 发表于 2016-2-19 09:59
  
优秀的MM
lemma 发表于 2016-2-19 10:10
  
涨知识了,饶mm干得漂亮!果断收藏!
tyjhz 发表于 2016-2-19 10:10
  
涨知识了,赞一个
pony 发表于 2016-2-19 14:39
  
写得很详细啊,值得收藏!
阿钻 发表于 2017-3-3 12:12
  
今天客户也遇到了这个问题,最后我们让用户以ip 上线解决了这个问题,看来这个才是深层原因哈哈
新手802065 发表于 2017-6-29 11:53
  
没事   吹会牛     欢迎拍砖  温柔点哈   毕竟   永不满足才是技术的进步的动力

A.jpg (72.19 KB, 下载次数: 268)

A.jpg

B.jpg (78.65 KB, 下载次数: 285)

B.jpg

C.png (72.53 KB, 下载次数: 304)

C.png

D.png (51.82 KB, 下载次数: 274)

D.png
Misel 发表于 2019-5-3 22:51
  
期待。。。。。。。
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人