ASG2600配置单点登录,部分终端不执行登录脚本

发布时间:  2016-02-27 浏览次数:  340 下载次数:  0
问题描述

ASG2600配置单点登录,AD域控和AD watcher部署在同一台windows server 2008,部分终端不执行登录脚本。

xp和win7能单点登录成功;win8.1访问网络资源时,需要重新执行ADrelogin,才能登录成功。


告警信息
处理过程

ASG单点登录认证流程:用户采用域账号到AD服务器上认证登录,AD服务器向用户返回登录成功消息并下发登录脚本;

用户PC执行登录脚本,将用户的登录信息发送给AD监控器(AD watcher);AD监控器接收到用户登录消息后,

连接到AD服务器查询该用户的相关信息(登录时间、用户所属组织结构等),如果能查询到,

AD监控器组装报文把该用户的登录信息发送到ASG,ASG根据本地配置上线该用户。

 

1.检查PC的rsop.msc信息,AD域控已通过组策略下发登录脚本,终端不执行。

怀疑是reportlogin参数设置问题,检查配置是正确的,排除配置问题。

 

2.怀疑是程序执行时候的安全性提示阻止了程序运行,修改了组策略的文件风险定义,将exe文件定义成低风险文件,

且关闭windows防火墙,但是测试还是不会自动运行。

 

3.在AD域控和PC侧同时抓包,先重启PC,AD域控侧在PC登录之前就开启了抓包,对比抓包文件没有抓取到
PC与AD watcher的报文交互信息;查看AD watcher的log日志亦无上线日志信息。

根因

win8.1本地组策略默认有配置登录脚本延迟的选项,默认延迟5分钟执行登录脚本,所以PC加入AD域后,

在5分钟之内访问网络,会有重新认证的提示。

解决方案

使用命令gpedit.msc,在弹出的“本地组策略编辑器”中,

“计算机配置--》管理模板--》系统--》组策略--》配置登录脚本延迟”中禁用登录脚本延迟配置,

AD域控下发脚本后,终端立即执行登录脚本,问题解决。


建议与总结

单点登录注意事项及故障排查思路:


若现网服务器多台负载分担或主备,则必须对每台服务器配置对应AD watcher和reportlogin.exe;

客户端PC为win8.1或windows2012及以上版本,则登录脚本默认延时5分钟执行。

 

结合原理,排查思路就很清晰,USG和NGFW单点登录原理一致:

查看AD watcher或AD SSO的log日志,配合抓包和debug信息分析,对于USG&NGFW&ASG系列,

单点登录debug命令:<huawei>debugging user-manage ad-sso all

 

END