1、SANGFOR AC&SG常见问题排错指导,常见问题排错指导,1. 所有用户上网断网,3. 端口映射不成功,5. 域新组件模式单点登录不成功,4. 内网收发邮件异常,2.上网策略导致访问异常,6. 查不到上网行为日志,7.外置数据中心无法建立索引,所有用户上网断网,所有用户上网断网,首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。,4. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是否恢复正常,如果仍然未恢复
2、,则再开启拦截日志,跟据拦截日志修改策略,直到故障修复。,3. 如果PC与AC/SG设备之间跨三层设备,需要检查AC/SG设备上的防DOS攻击设置,是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没有跨越任何的三层交换设备”(三层环境下不能勾选),DOS防御的参数是否设置过低导致的断网。,2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。,上网策略导致访问异常,上网策略导致访问异常,如果用户只有部分应用访问异常,例如MSN登录不了,登录不了网银,某些网站打不开,那么这些现象有可能和AC/S
3、G上设置的策略有关系。 1. 首先检查下用户管理的上网策略,是否有设置可能拦截数据的策略。 2. 设置条件,填入测试电脑的IP,开启拦截日志并直通,测试故障是否修复。 (虽然也可以把测试电脑的IP地址填到设备的排除IP里,看故障是否修复,但是防火墙规则对排除IP还是生效的,所以还是建议用开启拦截日志并直通来排除和定位问题),上网策略导致访问异常,3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块,修改策略。 4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则重复第2,3步,直到故障修复。,端口映射不成
4、功,WAN-LAN 端口映射不成功,3. 服务器返回客户端的数据要回应给AC/SG,通过AC/SG再转发回应给客户端,WAN-LAN端口映射整个过程分为三个部分:,1. 客户端访问服务器的数据到达AC/SG 设备,2. AC/SG设备做DNAT转换,再经过防火墙的过滤发给内网真实的服务器,Internet,PC,服务器,WAN-LAN 端口映射不成功,一般情况下,只要PC能访问公网,AC/SG设备本身设置了公网IP地址,PC访问设备上的公网IP地址,这个请求是能到达设备上的。设备 WAN口接光纤,有多个IP地址的情况下,可能出现某个IP不可用的情况,这种情况就会导致第一个阶段失败,端口映射不成
5、功,或者服务器的访问端口被运营商封堵了的情况,也同样会导致访问数据到不了设备。,WAN-LAN端口映射不成功过程分析和排查思路:,我们根据端口映射整个过程分三个阶段来分析:,第一个阶段,客户端的访问数据到达AC/SG设备。,WAN-LAN 端口映射不成功,判断客户端访问的数据是否到达了AC/SG设备,最直接和最好的方法就是使用设备控制台上的抓包工具,使用高级抓包抓取WAN口的数据,过滤条件填写客户端的公网IP和访问的应用服务器的端口。 分析抓包结果,如果没有数据包过来,可以尝试换下应用服务器的端口,或者用另外一个公网IP试下,判断是公网IP不可用还是端口的问题。,WAN-LAN端口映射不成功过
6、程分析和排查思路:,WAN-LAN 端口映射不成功,如果端口映射规则设置错误,或者防火墙WAN-LAN规则没有放通,那么端口映射也是不成功的。 这一步可以通过检查AC/SG设备上的端口映射规则是否有勾选“防火墙自动放行数据”和是否手动配置防火墙过滤规则来排查。,WAN-LAN端口映射不成功过程分析和排查思路:,第二个阶段,AC/SG设备按照设置的端口映射规则进行DNAT转换,通过防火墙过滤后,数据再转发到服务器上。,WAN-LAN 端口映射不成功,第二阶段也可以通过设备控制台的抓包工具(高级抓包)来进行判断。需要抓取设备WAN口和LAN口的数据,查看客户端访问服务器的数据的目标IP和端口。如果
7、抓到数据包的目标IP是公网IP,并未根据端口映射规则设置的转换成服务器的内网IP地址,则要检查防火墙规则设置,因为WAN-LAN防火墙没放通的情况下,不会进行DNAT转换的。 抓取LAN口的数据,是验证客户端访问服务器的数据,是否被AC/SG设备转发到内网服务器,如果目标IP和端口均与服务器匹配,且LAN有转发数据,那么说明第二个阶段也是没有问题的。,WAN-LAN端口映射不成功过程分析和排查思路:,WAN-LAN 端口映射不成功,如果内网有其他的网络出口,应用服务器的网关不是指向AC/SG,服务器回应客户端的数据从另外的公网出口发给客户端,这样会导致客户端不接收数据,端口映射不成功。 如果第
8、二个阶段判断客户端访问应用服务器的数据,由AC/SG设备的LAN口转发到了内网,但是没有收到服务器的回应的数据,说明服务器的网关不是指向AC/SG设备,或者缺省路由是通过其他出口转发了数据。 这样的情况下,需要修改应用服务器上的网关或者缺省路由,让服务器上网的数据通过AC/SG设备。,WAN-LAN端口映射不成功过程分析和排查思路:,第三个阶段,服务器返回客户端的数据要回给AC/SG。,LAN-LAN端口映射不成功,1. 客户端通过AC/SG公网IP访问内网应用服务器的数据由设备LAN口进入设备,LAN-LAN端口映射整个过程分为四个部分:,2. AC/SG设备做DNAT和SNAT转换,通过L
9、AN-LAN防火墙过滤后,再从LAN口转发数据到内网服务器,3. 服务器将回应的数据转发给AC/SG设备,4. AC/SG设备将服务器将回应的数据返回给客户端,LAN-LAN端口映射不成功,LAN-LAN端口映射过程,由于客户端和应用服务器都在内网,端口映射不成功,基本上均是因为AC/SG设备上的端口映射规则和防火墙规则设置不恰当引起的。,LAN-LAN环境下的端口映射规则有两种方式实现:1)手动添加LAN-LAN端口映射,SNAT和防火墙规则。2)在WAN-LAN端口映射高级规则里,勾选“发布服务器”自动创建。(该方式仅限于AC/SG 3.0及之后的版本,且3.0及之后的版本推荐通过此方法实
10、现LAN-LAN端口映射),LAN-LAN端口映射不成功,1. LAN-LAN端口映射规则: LAN-LAN环境下的端口映射规则和WAN-LAN环境下的端口映射规则,只有一个地方不同,那就是外网接口。 WAN-LAN环境下的端口映射规则,外网接口选择的是WAN口(如WAN1或WAN2),是因为客户端访问应用服务器的数据是从公网通过WAN口进入到设备的。 LAN-LAN环境下的端口映射规则,外网接口要选择LAN或者DMZ口,因为客户端在内网,访问数据是通过LAN或者DMZ口进入到设备。,手动添加的LAN-LAN端口映射,SNAT和防火墙规则,端口映射不成功过程分析和排查思路:,LAN-LAN端口
11、映射不成功,SNAT规则,即代理上网设置: LAN-LAN端口映射环境下,需要设置代理上网,是为了进行源IP地址的转换。当客户端访问服务器时,将客户端的IP转换成AC/SG设备LAN口的IP地址,再转发给服务器。 这样做的目的是为了让服务器回给客户端的数据包时,先回给AC/SG设备。如果不做这样的转换,服务器直接通过内网回包给客户端,数据包会被内网客户端丢弃,导致端口映射不成功。 所有LAN-LAN环境下的代理上网规则,源IP地址要转换为设备LAN口的IP地址。(代理上公网的环境下,源IP地址要转换成设备的WAN口公网地址),LAN-LAN端口映射不成功,LAN-LAN防火墙规则: LAN-L
12、AN防火墙规则要放通才能让客户端访问服务器的数据通过AC/SG设备的LAN口进行转发。,内网收发邮件不正常,内网收发邮件异常,如果邮件服务器在外网,客户端通过AC/SG收发邮件异常的话,需要进行以下步骤的排查:,3. 如果AC/SG本身能上外网,只要开启邮件过滤,客户端收发邮件就不正常,关闭邮件过滤又能恢复,需要检查下AC/SG设备的系统日志,看是否有程序异常的日志。,2. 如果关闭邮件过滤功能,客户端收发邮件正常,需要检查下AC/SG设备本身是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能上外网的IP和网关。,1. 检查邮件过滤功能是否有开启,如果有开启邮件过滤功能,检查是否有
13、不恰当的邮件过滤选项,可以关闭邮件过滤功能,看收发邮件功能是否恢复。,内网收发邮件异常,4. 如果邮件过滤功能本身没有开启,但是客户端通过AC/SG收发邮件异常的话,还需要检查下是否开启了网关杀毒中的SMTP和POP3杀毒。,6. 如果AC/SG本身能上外网,只要开启SMTP和POP3杀毒,客户端收发邮件就不正常,关闭SMTP和POP3杀毒又能恢复,需要检查下AC/SG设备的系统日志,看是否有网关杀毒模块异常的告警日志。,5. 如果开启了SMTP和POP3杀毒,则关闭SMTP和POP3杀毒,再检查客户端收发邮件是否恢复正常。 如果关闭SMTP和POP3杀毒,客户端收发邮件就恢复正常的话,需要检
14、查下AC/SG设备本身是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能上外网的IP和网关。,域新组件模式单点登录不成功,域新组件模式单点登录不成功,LDAP,PC, PC请求登录域 域认证成功后,PC执行logon.exe脚本 PC运行logon.exe成功后,在PC本地的C盘共享目录生成logon.txt日志文件,并上报成功登录域的信息给AC,新组件模式需要在域服务器上配置logon.exe 和logoff.exe脚本,用户登录域或从域注销时会运行相应的脚本,并将获取的信息上报AC。,域新组件模式单点登录过程:,域新组件模式单点登录不成功,我们分析域单点登录的整个过程,可以分为
15、如下几个阶段:,第一阶段:PC请求登录域。 在使用单点登录新组件模式之前,PC本身都是登录到域进行认证的,这个过程一般不会出现什么问题,但是,如果PC是离线登录域的情况下,或者PC登录域之前有发往外网的连接,可能会导致单点登录不成功。 这种情况下,建议启用域组策略“计算机启动或者登录时总是等待网络”。域服务器更新组策略的命令是 “gpupdate.exe /force” 。,域新组件模式单点登录不成功,PC通过域认证后,即会执行logon.exe脚本。这个过程中有如下因素会导致域单点登录不成功: 1)域服务器上单点登录脚本的添加和配置是否正确 2)域组策略是否成功下发到PC 3)PC获得组策略
16、后,是否有权限执行logon.exe脚本,第二阶段: 域认证成功后,PC执行logon.exe脚本。,根据这些可能的因素,我们需要做的排查工作分别是: 1)检查域服务器上组策略的设置,是否有关联到对应的域账号。 2)在测试的PC上执行命令“gpresult” 或者“rsop.msc”, 查看PC上获得的组策略,是否和域上设置的一致。(gpresult是用命令行显示,rsop.msc是用图形化显示) 3)在测试的PC上手动执行logon.exe脚本,看是否执行成功。,域新组件模式单点登录不成功,在这个过程中,有如下因素会导致域单点登录不成功: 1) PC登录域使用的域账号没有C盘共享目录的写权限
17、 2) 域组策略设置的AC/SG单点登录的IP,端口,密钥不正确 3) PC本身与AC/SG之间相互不能通信。,第三阶段:PC运行logon.exe成功后,在PC本地的C盘共享目录( C:Documents and Settings )生成logon.txt日志文件,并上报登录域成功的消息给AC/SG设备。,根据这些可能的因素,我们需要做的排查工作如下: 1) 确保域账号有C盘共享目录的写权限。可以手动在C盘共享目录下手动创建一个文件验证。,域新组件模式单点登录不成功,如果第二阶段都没有问题,而没有生成logon.txt文件,这个目录下是有写权限的,则需要检查PC本地的防火墙或者杀毒软件是否保
18、护和阻止写入日志文件。 可以关闭本机的杀毒软件或者防火墙,再登陆域查看logon.txt文件是否生成。 如果logon.txt文件生成了,域单点登陆不成功,可以查看logon.txt文件里面的内容,看是配置问题导致的单点登陆不成功,还是PC发给AC/SG的请求没有回应。,2) 检查 “C:Documents and Settings域用户名 ”下是否有生成logon.txt 文件。,3)如果logon.txt文件显示PC发了登陆域成功的消息给AC/SG,但是AC/SG没有回应,则需要检查PC与设备之间的通信是否正常,中间是否有其他网络设备拦截了数据包。最直接的方法是在AC/SG上抓包,看设备是
19、否能收到PC发过来的单点登录的数据包。,域新组件模式单点登录不成功,第四阶段: AC/SG上收到PC发过来的单点登录认证信息,加入到在线用户列表。这个阶段导致单点登录不成功的原因一般是PC的IP/ MAC已经被AC/SG的组织结构中其他用户绑定了。,域新组件模式单点登录不成功,除了上述三个过程,PC本身的系统配置问题也有可能导致单点登录不成功: 1)PC本机的Net Logon服务必须启用。,如果Net Logon服务是禁用状态,且手动启动也启动不了,需要检查workstation服务是否是启动的,这两个服务是依存关系。,域新组件模式单点登录不成功,同时还会对域内活动有影响的服务如下,确保这些
20、服务都是启动状态 :DNS ClientDHCP ClientRemote Procedure Call (RPC)TCP/IP NetBIOS Helper2)域服务器上,如果一个具有多个安全组及更大权限的账号,包括(Domain user组,Administrators组等)无法成功单点登录,需要在标识处添加上 Domain User组, 默认只有Authenticated Users,查不到上网行为日志,查不到上网行为日志,具体的测试方法:以打开网页的行为来测试,查看AC/SG设备的实时连接,查询测试机的IP,看AC/SG上面对于打开网页的行为识别成何种应用。 正常情况下应该识别为HTT
21、P,如果识别为其他的应用,说明设备上曾经被自定义过应用识别规则,导致识别错误。 需要到“对象定义”“应用特征识别库”,禁用或者删除自定义的应用识别规则,然后再观察AC/SG设备是否能正确识别到应用。,对于查不到用户的上网行为日志的现象,需要进行的排查步骤如下:,先检查用户关联的上网策略,是否有开启相应的上网行为审计选项。,2. 如果开启了上网行为审计选项,仍然记录不到上网日志,需要测试下AC/SG设备的应用识别功能是否正常工作。,直到AC/SG设备能正确识别到应用,再检查是否能记录到上网行为日志。,查不到上网行为日志,如果AC/SG设备能正确识别到应用,但是仍然记录不到上网行为日志。需要检查下
22、设备网桥模式下是否接反了线,这种情况下也会导致通过AC/SG上网没有问题,但是设备上记录不到上网行为日志的。如果AC/SG设备识别应用正确,接线也是正确的,需要检查下设备的系统日志,看是否有程序异常的告警日志。如果在AC/SG设备的内置数据中心日志选项开启了“优化审计性能”,则内置数据中心不会记录上网日志,也无法登录,必须通过外置数据中心查询。,外置数据中心无法建立索引,外置数据中心无法建立索引,在配置外置数据中心的内容搜索时,无法建立 索引或索引到一半时卡住,可通过如下步骤进行排错:确认索引时间内的日志已同步至外置数据中心。网页内容索引需要开启网页内容审计才可以。查看数据中心服务器的系统状态
23、,如果cpu、内存过高,可能会影响索引程序。确认索引相关进程Cserver.exe ,Quickindex.exe,cindexer,mysqld-nt.exe及websvr.exe在运行。在索引状态页面查看索引进度时,建议查看搜索百分比是否有增加,来判断索引是否在正常进行,每索引100条日志,索引进度就会发生变化。索引状态,即已索引的日志条数,这个不是实时更新的,索引是先写到内存中,当内存写满时,才会从内存写到硬盘中,索引状态数是从内存写到硬盘的过程中才更新的,如果内存很大,索引策略设置为高,索引状态更新就会很慢。数据中心安装目录和索引所在目录是否可读写文件,空间是否满了。可以手动在索引所在安装目录下创建文件进行验证。,外置数据中心无法建立索引,索引是每隔半个小时执行一次,在索引的过程中,不能进行搜索,如果执行搜索了,会导致搜索中断,需要等一个“半个小时”再进行索引。查看日志http:/local host/src/contentlog.php,从打开的页面选择cindexer,从日志中可以看出在索引过程中是否进行过搜索。数据中心索引使用的是udp 802端口,检查该端口是否被其它程序占用,导致端口冲突。,,
