#原创分享#单点登陆失败问题排查

背景：近期，有客户反馈最近用户域单点登陆失败，认证失败，以不需要认证的方式上线了，最终导致匹配策略不对，用户上网受到影响。

客户现有环境：

• AC12.0.26
• AD域
• 终端加域电脑
  
  

排查思路:

1.确认认证策略、单点登陆配置

2.确认单点登陆是否生效

排查步骤:

1.一开始，先登陆AC，查看AC相关配置。确认了以下几点

• 认证策略-先单点登陆，单点登陆失败时，会以不需要认证方式认证指定组
• 单点登陆-启用了域脚本单点登陆、域监控
  
  

2.确认单点登陆是否生效

• 检测了AD域上组策略配置，发现正常
• 检测域监控短时间内还读取到登陆日志
• 检测异常电脑上组策略更新正常、域脚本下发正常，脚本登陆日志正常
  
  

3.日志中心检索

日志中心-用户登陆日志，发现异常用户几天前还是域用户登陆，而后都是不需要认证方式登陆，而域用户注销是强制注销/无流量自动注销

排查到这里，发现应该是强制注销、无流量自动注销惹的祸，就跟客户确认了，异常用户的电脑，是否开机了就长时间不关机，客户确认后给与的答复是肯定的。

于是，关闭了强制注销、无流量注销后，让异常用户重启电脑单点登陆成功后，客户不再反馈有异常用户了。

总结：

客户启用的两种单点登陆方式

• [域脚本]是需要用户开机时，自动运行登陆脚本，AC获取到登陆信息从而成功
• [域监控]是需要用户登陆时，AD域上有登陆信息才能读取到登陆日志，从而成功
  
  

如果域用户被强制注销、无流量注销后，如果终端一直长时间不关机重启，那么用户就无法再次单点登陆，从而导致用户一直以不需要认证方式认证成功。

因此，在加域电脑有长期使用、不经常关机的情况下，如果使用的单点登陆，建议关闭强制注销、无流量自动注销功能。否则用户会单点登陆失败，导致权限异常。

楼主的分享很不错哦，整篇文章架构清晰，逻辑缜密，问题出现之后先检查AC配置以及AD域上配置再到看日志，从日志里找到问题所在，最终找到解决的方法。单点登录确实是AC的一大难点，楼主的分享给我们后续遇到该类问题提供了一个解决思路，期待楼主带来更有价值的分享哦:爱你:

感谢楼主分享，结合AD域脚本单点登录一直是属于比较高阶的排查，期望见到更多社区的分享，帮助大家提升排错能力

幡然醒悟，之前在客户处也遇到该问题，一直在排查ac，感谢大神分享，豁然开朗。

感谢分享

很有意义，AC的难点之一就是单点登录

学习了！单位一直使用不认证方式上网，今天学习下单点登录！

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创文章奖励榜单：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=103115

学习一下

打卡学习，感谢分享

感谢分享