AC钉钉认证失败，扫完认证二维码后重定向到oauthservice.net，显示无法访问此网站

问题描述

客户使用AC做钉钉扫码认证登录，配置完钉钉认证后，认证界面可以正常弹出钉钉认证的二维码，使用手机钉钉扫码之后网页无响应，等待3-5秒之后重定向到oauthservice.net/ac_portal/oauthxxxxxx网页，显示无法访问此网站，oauthservice.net的响应时间过长。

钉钉认证失败

告警信息

无法访问此网站，oauthservice.net的响应时间过长

有效排查步骤

1.通过ping命令测试，发现oauthservice.net域名无法访问，返回的ip地址是2.3.4.5,该地址无法访问，测试认证未通过时可以访问AC管理IP，所以进行第二步修改

2.在AC【接入管理】-【接入认证】-【认证高级选项】中配置将认证的虚拟域名解析到指定IP地址，IP地址配置为AC管理地址，再次进行认证，发现仍然存在相同报错，怀疑是否AC认证虚拟域名有问题

3.将报错界面URL中的oauthservice.net手动替换为AC管理IP，发现可以认证成功，初步判断为dns问题

4.检查终端dns设置，发现客户使用的是内网dns，先手动修改终端的hosts文件，将oauthservice.net和onauthservice.com指定到AC管理地址，然后测试，发现钉钉认证可以正常认证上线

5.协调客户在内网dns服务器上增加两条dns的A记录，分别把oauthservice.net和onauthservice.com两个域名解析到AC管理地址，等客户dns生效后问题解决

根因

客户内网无法访问认证虚拟域名对应的IP地址，虽然AC可以手动修改虚拟域名对应的IP地址为AC管理地址，但客户使用的是内网dns，无法将虚拟域名解析到AC管理地址

解决方案

协调客户在内网dns服务器上增加两条dns的A记录，分别把oauthservice.net和onauthservice.com两个域名解析到AC管理地址，等dns生效

是否是临时解决方案

否

建议与总结

建议：是否AC可以加个配置选项，可选配置不使用虚拟域名的方式进行认证，直接使用IP地址重定向，减少客户侧环境对我们认证的影响

感谢分享，日常学习。。。。。

感谢分享，日常学习。。。。。

感谢分享，日常学习。。。。。

感谢分享，日常学习。。。。。

感谢楼主分享，每天日常学习一下。

每日一学，坚持打卡。

感谢分享，日常学习。。。。。

感谢分享，日常学习。。。。。

意外收获，干货满满。