SANGFOR ACSG 2011年度8月渠道高级认证培训09_常见问题排错指导_LSQ.ppt

域新组件模式单点登录不成功 同时还会对域内活动有影响的服务如下，确保这些服务都是启动状态 ： DNS Client DHCP Client Remote Procedure Call (RPC) TCP/IP NetBIOS Helper 2）域服务器上，如果一个具有多个安全组及更大权限的账号，包括(Domain user组，Administrators组等)无法成功单点登录，需要在标识处添加上 Domain User组， 默认下只有Authenticated Users 查不到上网行为日志 查不到上网行为日志 具体的测试办法：以打开网页的行为来测试，查看AC/SG设备的实时连接，查询测试机的IP，看AC/SG上面对于打开网页的行为识别成何种应用。 正常情况下应该识别为HTTP，如果识别为其他的应用，说明设备上曾经被自定义过应用识别规则，导致识别错误。 需要到“对象定义”—“应用特征识别库”，禁用或者删除自定义的应用识别规则，然后再观察AC/SG设备是否能正确识别到应用。 对于查不到用户的上网行为日志的现象，需要进行的排查步骤如下： 先检查用户关联的上网策略，是否有开启相应的上网行为审计选项。 2. 如果开启了上网行为审计选项，仍然记录不到上网日志，需要测试下AC/SG设备的应用识别功能是否正常工作。 直到AC/SG设备能正确识别到应用，再检查是否能记录到上网行为日志。 查不到上网行为日志 如果AC/SG设备能正确识别到应用，但是仍然记录不到上网行为日志。需要检查下设备网桥模式下是否接反了线，这种情况下也会导致通过AC/SG上网没有问题，但是设备上记录不到上网行为日志的。 如果AC/SG设备识别应用正确，接线也是正确的，需要检查下设备的系统日志，看是否有程序异常的告警日志。 如果在AC/SG设备的内置数据中心日志选项开启了“优化审计性能”，则内置数据中心不会记录上网日志，也无法登陆，必须通过外置数据中心查询。 * * 培训内容 培训目标 所有用户上网断网 掌握所有用户断网情况下的问题排查思路 上网策略导致访问异常 掌握由于上网策略不正确导致访问异常的排查方法 端口映射不成功 掌握端口映射不成功的分析和排查方法 内网收发邮件异常 掌握内网用户收发邮件异常情况下的排查方法 域新组件模式下单点登录不成功 了解域新组件单点登录的各个环节 掌握域新组件单点登录不成功的排查方法 查不到上网行为日志 掌握查不到上网行为日志的排查方法 常见问题排错指导 1. 所有用户上网断网 3. 端口映射不成功 5. 域新组件模式单点登录不成功 4. 内网收发邮件异常 2.上网策略导致访问异常 6. 查不到上网行为日志 所有用户上网断网 所有用户上网断网 首先从内网PC上ping下网关，测试下PC和网关的网络连通性。 如果从PC上ping不通网关，则需要先检查下物理链路是否正常，有没有二层的ARP欺骗。 4. 开启拦截日志并直通，看用户上网是否恢复，如果恢复，则通过查看拦截日志，找到被拒绝数据的模块，修改策略。关闭拦截日志和直通，测试上网是否恢复正常，如果仍然未恢复，则再开启拦截日志，跟据拦截日志修改策略，直到故障修复。 3. 如果PC与AC/SG设备之间跨三层设备，需要检查AC/SG设备上的防DOS攻击设置，是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连，没有跨越任何的三层交换设备”（三层环境下不能勾选），DOS防御的参数是否设置过低导致的断网。 2. 如果PC能ping通网关，且网关是AC/SG设备，则需要检查AC/SG设备上的代理上网配置或者路由是否正确，LAN-WAN防火墙是否放通。 上网策略导致访问异常 上网策略导致访问异常 如果用户只有部分应用访问异常，例如MSN登录不了，登录不了网银，某些网站打不开，那么这些现象有可能和AC/SG上设置的策略有关系。 1. 首先检查下用户管理的上网策略，是否有设置可能拦截数据的策略。 2. 设置条件，填入测试电脑的IP，开启拦截日志并直通，测试故障是否修复。 （虽然也可以把测试电脑的IP地址填到设备的排除IP里，看故障是否修复，但是防火墙规则对排除IP还是生效的，所以还是建议用开启拦截日志并直通来排除和定位问题） 上网策略导致访问异常 3. 如果开启拦截日志并直通后故障恢复，那么可以定位问题是由于AC/SG设备的策略引起的，通过查看拦截日志，找到被拒绝数据的模块，修改策略。 4. 关闭拦截日志和直通，测试应用是否访问正常，如果仍然未恢复，则重复第2，3步，直到故障修复。 端口映射不成功 WAN-LAN 端口映射