|
某公司实施AC的时候遇到的印象深刻的事情。 设备:AC-11.0 需求:不需要认证,以计算机名为用户名显示
在此之前特别感谢一下1036对于该问题的帮助和耐心解答!
一、认证策略 经过一番沟通之后客户还是坚决使用以计算机名为用户名——内网PC的命名管理员很清楚并且很有规律。用户内网没有域。
从对应的IP网段上线的用户会被添加到对应的组内,可以在【系统管理】-【实时状态】-[在线用户管理]里查看。
二、问题 获取不到PC的计算机名,显示名的都是unknown computer
为什么? 由于认证是以计算机名为用户名,设备是通过NetBIOS协议来获取上网计算机的计算机名,可能会出现获取不到计算机名的情况。 注意:获取不到计算机名的时候,PC会以临时用户身份上线,不会录入到本地的组织结构中,只能在在线用户内查看到。
出现获取不到计算机名的原因有如下几点: ① 电脑上没有开始NetBOIS协议,关于开启该协议请参考百度文档
如果电脑有多个网卡(无线,有线),需要在每个网络连接下都开启该协议。
② 网络路径中是否有设备拦截了NetBIOS协议——AC在出口,下接防火墙的情况
③ WindowsPC机本身的防火墙拦截了NetBIOS协议(管理员不嫌麻烦,挨个计算机去操作)。 办法一:关闭windows防火墙 这个办法的弊端就是整个关闭了防火墙之后,PC自身的安全性难以保障,我们采取办法二。
办法二:放通NetBIOS协议需要用到的端口 放通入站规则里的TCP和UDP137/138/139三个端口。 保障了NetBIOS协议能正常交互之后,我们需要注销一下在线用户,当用户被注销再重新上线的时候就能正常获取到计算机名。临时用户因为无法强制注销,只能是指定时间注销。注销方法如下:
步骤一: 首先获取到AC本身的系统时间。简单的办法就是如下:将AC的时间设置为跟您PC一致的时间,便于下一步的操作。 还可以用升级客户端从后台查看AC的实际系统时间(可能AC的时候跟您PC的不一致)。
步骤二: 到了设置的时间,在线的用户会被强制注销,然后重新认证。被注销的用户会出现1-3秒的一个网络闪断,慎重操作。
做完如上的操作之后,就可以在在线用户里面或者组织结构里面看到计算机名称被识别出来的PC用户了!
在这里还遇到一个小问题,顺便某公司。 在图2的在线用户里面我们会发现,天澜AP这个组里面存在很多叫unknown computer的用户,用户名一致但是IP段不一致。对比一下图1的认证策略,我们会发现,不同网段的认证方式不同,添加到的组也是不一样的。那为何各个网段的unknown computer都在天澜AP里面呢?
经过最后和1036的实验发现,在AC11.0里,如果在认证策略里勾选了“自动录入用户到本地组织结构”,那么第一个未被识别到计算机名称的用户会以unknown computer的用户名添加到组织结构中去,至于添加到哪个组,取决于该用户匹配到认证策略。
有别于AC6.1,AC6.1未被识别的用户都是以临时用户身份上线,不会添加unknown computer到组织结构中去,不管是否勾选此选项。AC11.0里,如果不勾选的话就跟AC6.1一致了,但不勾选会导致组织结构里面没有用户,不方便做策略。
在我这里就是因为第一个未被识别到计算机名的用户匹配的是天澜AP这条认证策略,添加到了天澜AP用户组里。而后续未被识别到计算机名称的用户都会以unknown computer上线(在线用户里能看到多个相同用户名的用户,但是组织结构里只有一个),并且此时组织结构里面已经有了该用户,就不会再匹配到认证策略。
综上所述,不管是否录入组织结构,由于unknown computer用户的存在,都会导致后续不方便配置策略。同时,也不建议使用计算机名为用户名。
后续小伙伴如果遇到相同的问题,出现的情况不一致或者本文有任何不符合实际的地方,敬请指教!
| 
发表于 2016-2-18 11:35
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
哈哈
没事 吹会牛 欢迎拍砖 温柔点哈 毕竟 永不满足才是技术的进步的动力
