神坑！上网行为管理影响SSL证书校验

   某用户出口使用上网行为管理 AC 11.8的版本；最近出现业务部门反馈多台Linux服务器连接HTTPS业务校验时，出现证书报错如下 ：(现象不一定能重现，时有时无、并不在同一台服务器上出现）。

  通过常规手段检查策略里有没有开SSL识别、甚至开启直通、查日志中心均未能解决问题，因此判断与设备无关，告诉用户肯定跟设备无关。

      经过一周的时间用户又反馈回来：网络中除了上网行为管理做出口，其它的安全设备全部没启用了；过了2天有台服务器又出此现象，用户打电话要求上门处理。

上门后采用配置《全局排除》的方式发现，针对服务器IP全局排除后现象消失、把全局排除禁用后现象重现！！！真的跟设备有关？还是偶然巧合现象？

通过在设备ETH0口抓包，未全局排除时《即现象存在》

全局排除后《现象消失、访问正常》

   通过此抓包信息：确定是跟设备有关系！！！可依然回到之前的问题、到底哪个策略引起？可疑的所有策略都已经禁用或删除了？

   经过多轮测试，发现一个现象：把《全局排除》禁用以后，服务器有问题现象的时候，去测试服务器能否正常上网：随便Ping下baidu以后，之前出现的问题就消失了；

   这时在AC的《在线用户》有该IP的信息。。。之前由于开了《全局排除》，在线用户里查不到用户是正常的，会不会因此忽略了本质问题？此服务器根本没有通过认证？但是再三检查了认证策略里已经是不需要认证了啊！

关键此时这个现象又不能重现了（访问正常了）。

不过我初步有个想法：决定把此用户注销，由于是不需要认证的用户，只有采用无流量注销的方式。

结果验证了：在不开《全局排除》的情况，服务器有问题现象时、在线用户里是没有该IP的用户信息；因此说明服务器并没通过认证，可到底是什么原因导致认证不通过呢？（明显做的认证策略是不需要认证，并且组织结构里也没有任何绑定信息）

之前有没有开直通看过呢？
直通有日志可以参考，全局排除没有日志

最后发现在《认证选项》里竟然有这样一配置信息是打上勾的：

最后解决办法：

1，  把认证选项里，如上图所示的勾取消。。。（这个勾是默认勾上的，不知道取消会不会导致什么新的问题？求解……）

2，  把无流量注销时间改大，然后有问题的linux服务器出问题时，可以选随便ping下外网触发下无需认证以后，再开始执行HTTPS应用的校验。（此方法需要用户能接受）

每天坚持打卡学习签到！！

打卡学习，感谢大佬分享！

感谢分享，学习一下~