问题1:找错网关
如果客户网络中有两台AC,就有可能出现找错网关的问题了。可以通过分析准入日志,确认是否找错了网关。解决办法就是把其中一台AC的准入策略关闭(或者后台停止进程singress)或者手动指定网关
问题2:找不到网关
下面是准入找网关原理,可以对照分析
为了保证准入在各种情况下都能正确找到网关,我们提供了多种找网关方式,按照优先级排序如下:
1. 手动设置网关IP优先(通过zrclient.exe设置);
2. TCP 1.2.3.4:82找网关(该方式保证每次找到的网关都是数据实际通过的网关),直接连接1.2.3.4的TCP 82端口,准入驱动检测到链接1.2.3.4 82端口的包,则做服务重定向到本机,然后准入后台会回复一个字符串,里面记录了AC的IP,从而一步到位找到了网关;
3. 上次连接成功的IP(记录在%appdata%/ingress/userconfig.ini文件中,不是记录1.2.3.4,而是实际的网关IP);
4. UDP 1.2.3.4:999找网关(代理环境中适用),网关收到连接后根据最佳路由返回网关ip给客户端(客户端监听udp475端口);
5. 准入检测规则的重定向页面返回的IP找网关(用户上网时,如果AC对该用户启用了准入网络准入控制而该用户PC机上又没有安装准入客户端,准入驱动会将用户请求的URL重定向到网关的sinstall.htm页面,IE打开sintall.htm页面后,会将准入安装目录下的acingress.dll作为ActiveX控件运行起来,acingress获取页面URL,并将URL中的IP通过socket发送给本地准入客户端。
注:老准入找网关顺序中1跟2的先后次序是颠倒的。
找不到网关的时候,准入日志会有下图的提示在客户环境下,注意分析,准入程序是否能否和设备通讯。
问题3:安装准入后,钉钉启动不了(20201110更新)
现象确认步骤:
1、确认rasadhlp.dll文件已注入:删除钉钉目录里的rasadhlp.dll文件,提示不能删除。
2、杀掉钉钉进程,删除钉钉目录里的rasadhlp.dll文件,再次启动钉钉确认是否正常。如正常就是准入导致。
现象一:确认系统目录是否有rasadhlp.dll文件,64位系统在c:/windows/syswow64/ (对于32位系统则在c:/windows/system32/)目录下查找是否有“msimg32.dll”(或者“rasadhlp.dll”)文件,如果没有,那就是系统缺少dll导致的。
解决方案: | 【KB FOR 13.0.7】KB-AC-20200720-201-03 |
现象二:确认系统目录里有rasadhlp.dll文件
问题4:电脑休眠后再启动,准入服务异常
查看日志,能看到如下记录
![]()
或者
![]()
休眠场景下,PC网络会关闭,准入通信异常会退出,该场景部分版本有KB包解决。建议设置电脑不要休眠
问题5:PAC脚本方式代理上网,准入找不到网关
单臂代理环境下,如果1.2.3.4的数据不经过设备,代理配置只支持填写IP端口这种格式,填写IP的话,准入会直接在代理的IP作为网关。不支持pac脚本方式的代理,如果需要配置pac脚本代理方式,需要把1.2.3.4的数据引流到单臂的SG
问题6:微信等软件打不开
现象:安装准入后,微信、QQ等软件打不开,无法登录。
排查:首先,把准入停掉,把软件安装目录里的“msimg32.dll”(或者“rasadhlp.dll”)文件删掉,再尝试打开软件。如果可以正常打开登录界面,说明是准入导致的,否则就不是准入的问题;
判断是准入的原因后,再查看系统是否有对应的dll文件:64位系统在c:/windows/syswow64/ (对于32位系统则在c:/windows/system32/)目录下查找是否有“msimg32.dll”(或者“rasadhlp.dll”)文件,如果没有,那就是系统缺少dll导致的。
解决方案:找正常的PC,在window系统目录里复制相应dll文件复制到问题PC上
问题7:准入规则设置检测PC的补丁包,PC更新了KB包但是PC上还是有提示违规
排查:准入取PC的补丁包是使用systeminfo命令取的。通过在PC上运行systeminfo(建议重定向到一个文件里),和添加删除程序里的KB包总数核对,确认是否有完整获取到KB包
如果确认是获取不全,则为此问题
解决方案:打KB包,换成wmic的方式取PC的KB信息、
KB-AC-20190605-201-01 适用于AC12.0.14 SG12.0.14 IAM12.0.14
KB-AC-20190605-201-02 适用于AC12.0.40 SG12.0.40 IAM12.0.40
问题8,准入导致chrome崩溃、PC重启(20200417更新)
解决方案:打KB包
KB-AC-20200109-201-05 适用于12.0.40
问题9,13.0.4 旁路模式,PC安装了准入,但是在线用户处显示未安装 (20200521更新)
原因:旁路模式下准入心跳包方向识别错误
解决方案:KB-AC-20200330-201-02
问题10,13.0.4 准入连不上网关(20200521更新)
原因:准入程序堆栈
现象:准入连不上网关,但用设备后台运行命令lsof -i:82可以看到singress在监听这个端口。直接在设备上telnet 127.0.0.1 82也不通。
解决方案:KB-AC-20200330-201-01
问题11:打KB包后,准入客户端自动更新失败 (20200804更新)最近推送了SP_igs14包,这个包修改了准入客户端更新机制,强制校验二进制文件的签名。
由于正式版本中的nac_client.zip中有少数dll没有签名,导致基于版本出KB时(或打老KB时),也可能没有签名(因为没有改动),导致更新失败,日志如下:
![]()
可能的场景:
设备先打上SP_igsx包,然后又打了未签名的KB包。 解决方案:联系研发重新出包
设备先打上SP_igsx包,然后升级设备版本,但新版本没有打SP_igsx包。 解决方案:升级之后,重新打SP_igsx包。
问题12:准入策略不生效后台查看准入状态,关注两个字段
Enable ingress: 1 -----准入功能是否生效,值为1为生效,0为不生效
g_nDisableIngress:0 -----是否需要禁用准入功能 ,值为0表示不需要禁用,1为需要禁用
如上图,Enable ingress: 1 而g_nDisableIngress值也为1,此时准入功能不生效
一般重启准入服务后能恢复正常。
原因可能是凌晨重启的时候,策略后台没有启动好,导致准入后台以为没有开启准入功能。
解决方案:【KB for 13.0.7 12.0.42】KB-AC-20201211-201-01
问题14:网桥部署下,准入找网关为0.0.0.0
网桥部署,查看准入日志,发现回复的server ip为0.0.0.0,导致后续连接这个IP失败,无法正常工作,如下图:
这种情况,很可能是因为在重定向配置那里,虚拟地址那里没有设置虚拟IP(默认显示为1.1.1.2,但实际配置文件中并没有记录),如下图:
在重定向配置那里,提交一下,就会将IP写入配置,准入就可以读取并回复此IP。
![]()
