发布时间: 2016-06-07 | 浏览次数: 3872 | 下载次数: 31 | 作者: s00567091 | 文档编号: EKB1000118129
某VDI(V1R5C30SPC100)局点交付中,采用客户现有AD,部署完FusionAccess后,发现在重启ITA服务器后FusionAccess无法登陆。
1. 登陆ITA服务器,查看tomcat状态,发现为停止状态;
2. 尝试手动启动tomcat,结果启动失败,提示“the service did not start due to logon failure.
3. 查看tomcat启动账号信息;
4. 查看本地Administrator组,发现次账号已添加到该组中;
5. 在tomcat属性栏中将tomcat登陆账号和密码改为具有domain admin权限的VDIadmin,修改后发现该账号可正常启动tomcat;因此怀疑原tomcat账号权限存在问题;
6. 运行rsop.msc命令打开“Resultant Set of Policy”,通过路径::'Computer Configuration'-->Windwons Settings--> Security Setting--> Local Policies-->Users Rights Assignment.找到“log on as a service”.;
7. 打开log on as a service ,查看属性,发现账户列表中不包含tomcat启动账号:sp\VDIServiceUser;
8. 查看向客户申请账号信息表,确认该账号已明确是服务启动账号,至此可以确认原因为客户在AD服务器中未将该账号添加至log on as a service 策略中;
9. 再次向客户申请,请求将该账号(连同loggetter服务启动账号),一同加入到log on as a service 策略中;
10. 客户确认添加完后,登陆ITA服务器,强制更新策略:
11. 更新策略成功后,再次查看log on as a service 账号列表,此时可发现tomcat服务启动账号已存在。
12. 在tomcat服务属性中重新配置该账号和密码;然后启动tomcat,可正常启动。
确认该问题为客户未添加服务启动账号至log on as a service策略中导致。
13. 登陆FusionAccess Portal ,正常。
客户未将该服务启动账号添加到log on as a service 策略中。
1.向客户申请将tomcat启动账号在AD中添加到log on as a service策略中
2.在ita服务器中强制更新域策略
3.在ita服务器中重置tomcat账号,重启tomcat服务
在使用客户AD的VDI项目中,在向客户申请域账号时,最好明确同客户沟通清楚每个账号需要客户在AD上去开通哪些权限,以免存在误解或者漏配现象。
该项目中,客户申请账号的内容如下表中,已经很清楚的描述出了每个账号的用途,这种情况今后可以通过在同客户沟通时建议当面和邮件两种方式同时确认。