现象1:用户通过浏览器无法打开aTrust的用户登陆页面;
现象2:浏览器打开aTrust用户登陆界面提示404或者其他错误
排查思路:
1、检测客户端环境是否异常
(1)在客户端托盘页面,右上角菜单栏即可下载终端诊断工具,也可以通过链接下载,具体链接如下:
诊断工具下载 (2)运行诊断工具,在首页体检点击立即扫描,工具将会根据内置规则来检查windows系统、atrust客户端进程等相关项,判断是否存在异常,如图:
2、检测客户端与服务端之间的通讯是否异常
(1)确认设备部署模式及网络拓扑,如果aTrust是单臂部署,需要保证前端设备有正常映射aTrust的https监听端口【建议映射到公网的端口与aTrust的监听端口保持一致】。
如果用户使用http方式接入需要保障aTrust勾选【启用并使用http端口】,同时将http端口映射出去。
(2)确认前端设备端口映射配置无问题,可以在连接异常的终端电脑上点击开始菜单-运行,输入cmd打开命令行窗口,使用telnet 客户端接入地址 端口 测试
(3)如果执行结果如上图所示显示“连接失败”,需要检查前端设备端口映射是否配置错误或者中间安全设备是否有设置拦截策略.
如果telnet测试如下图所示,则表示端口连通性正常,基本可以判断客户终端跟服务端之间的网络是可以通的。可以进行下一步的排查
3、检测服务端是否开启了SPA
(1)登陆 控制中心或者综合网关控制台-【业务管理】-【策略管理】-【全局策略】查看是否勾选了【启用服务隐身】
(2)如果勾选了【启用服务隐身】,所有用户,需通过如下方式才能正常接入aTrust
方式一:
管理员配置允许访问的“源ip地址白名单”后,用户通过“源IP地址白名单”登录客户端将转换为“安全专属客户端”,后续即可通过“安全专属客户端”进入登录页和访问应用
方式二:
(1)对于PC端用户,下载 安全专属客户端 后分发给他们,用户安装使用此客户端即可访问“接入地址”
(2)对于aTrust APP用户,请您下载 安全二维码 后分发给他们,用户使用APP扫码即可访问“接入地址”
4、检测是否有安全设备拦截
4.1、准备下面几个抓包环境,并同时抓包
(1)在电脑上使用wireshark-【捕获】-【选项】选中本地网卡,设置条件 host x.x.x.x x.x.x.x是aTrust的公网IP
(2)在aTrust出口设备抓取终端电脑地址的数据包
(3)在控制中心或者综合网关的【系统管理】-【系统运维】-【Webconsole】输入tcpdump -i ethx port 443 -nnv -s0 -w xxx.cap(443是客户端接入默认端口,实际端口以【系统管理】-【系统配置】-【通用配置】-【客户端接入地址】中https为准,xxx.cap为自定义抓取的包名)
4.2、设置好抓包条件之后,再次访问客户端接入地址,对比前三个环境抓的数据包,看是否存在重置包或者丢包的情况
如果终端有收到重置包或者对比数据包有丢包情况
场景一、在对比出口设备抓的数据包和设备抓的数据包,如果出口设备有收到重置包,则出口设备与aTrust控制中心或者综合网关前面存在安全设备,建议检查中间网络环境问题
场景二、在出口设备未收到客户端请求的数据包,则说明存在公网环境丢包或者终端环境有安全设备拦截,建议更换网络环境测试