第一阶段:PC请求登录域
如果PC是离线登录域的情况下,或者PC登录域之前有发往外网的连接,会导致PC无法获取到域服务器的组策略,从而引起单点登录不成功。这种情况下,建议启用域组策略“计算机启动或者登录时总是等待网络”。
操作方法:在域服务器的运行下输入gpedit.msc,定位到计算机配置\管理模板\系统\登录选项\启用“计算机启动和登录时总是等待网络”,如下图:
设置完毕后需要更新组策略,域服务器更新组策略的命令是gpupdate.exe /force。
第二阶段:域认证成功后,PC执行logon.exe脚本PC通过域认证从下发组策略获取到logon.exe脚本,即会执行logon.exe脚本。这个过程中有如下因素会导致域单点登录不成功: 1) 域服务器端组策略配置不正确 域服务器端配置组策略必须是“Default Domian Policy”。配置域服务器本地的组策略无效; 域服务器上单点登录脚本的添加和配置不正确; 域服务器上组策略没有关联到对应的域账号; 组策略的GPO(组策略对象)没有包括Domain Users。可通过右键编辑域服务器组策略的属性,在安全标签下查看和添加: 2) PC端获取不到组策略 可以在测试的PC上执行命令rsop.msc, 查看PC上是否获取到组策略,是否和域上设置的一致。运行下输入rsop.msc,正常情况下,能从域里面获取到域策略,如下图: 无法从域里面获取到域策略的情况下显示: 对于获取不到组策略的情况我们需要确认: PC是否加入域; 运行下输入gpresult,用户如果加入域成功则会显示出用户所在域中的路径和最近一次调用组策略的时间: 回头检查第一步域服务器上的组策略是否启用“计算机启动和登录时总是等待网络”;还需要注意PC本机的Net Logon服务必须启用。在运行下输入services.msc查看。 如果Net Logon服务是禁用状态,且手动启动也启动不了,需要检查workstation服务是否是启动的,这两个服务是依存关系。 第三阶段:PC运行logon.exe成功后,生成logon.txt日志文件,并上报登录域成功的消息给AC/SG设备在这个过程中,有如下因素会导致域单点登录不成功: 1) PC登录域使用的域账号没有C盘共享目录的写权限,无法生成logon.txt日志文件 可以手动在C盘共享目录下手动创建一个文件验证。确认是否生成日志文件可以在运行下输入%userprofile%,找到登陆之后用户电脑的主目录(如C:\Documents and Settings\Administrator),看目录中是否会产生一个login.log的文件,如下图: 2) 域组策略设置的AC/SG单点登录的IP,端口,密钥不正确 如果logon.txt文件生成了,域单点登陆不成功,可以查看logon.txt文件里面的内容,看是配置问题导致的单点登陆不成功,还是PC发给AC/SG的请求没有回应。 登陆成功截图: 配置错误截图: 3) AC设备上有用户绑定了单点登陆PC的IP/MAC,也可以通过login.txt文件查看 4) PC本身与AC/SG之间相互不能通信 新组件单点登陆模式下,AC设备是通过监听UDP1773端口来接收由PC上报来的登陆域的信息,所以要保证PC到AC之间的网络设备放通该端口的数据;最直接的方法是在AC/SG上抓包,看设备是否能收到PC发过来的单点登录的数据包。 如果在相同的内网环境下部分PC单点登陆成功而部分PC单点登陆不成功,可以在登陆不成功的电脑上直接将登陆脚本logon.exe放在本地,以在C盘为例,在cmd下执行: c:\logon.exe ACip 端口 密钥 | 
发表于 2015-3-11 15:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
拍错有借鉴作用
