iMC iNode中常见用户下线原因分析

iMCNidoe中见用户下常原因分析1线概述.......................................................................................................................................................1-22常见下原因分线及总结......析................................................................................................................22-.21证认失，败户端提客服务器示无应响...................................................................错误.未！义定书签。22.用不存户或者在户用没申有该服务请...................................................................错误.！定未义签。书23安.全查检理代务器没有回应，即服强行下线将......................................................误！错未义书签。定24.安全检查和代理服务器通发生错信误，前当连接即将强行被中.断........................错.误未！定义书签2。.5PI或MA地址绑C定检失查败................................................................................错误！.定未义签书。26域统.认一证败，服务侧查看失认证败记失录示为“显LDPA户用密错误”码.........错！未误义书定。签27.余额足不...............................................................................................................错.！未误义定书。签28.用户密码误，您已经错被入黑加名单.....................................................................误！未错义定书。签-11概述1AAA认系证流程统中客，户下端后线，AAA认在证系统会据认根证备上传设的属性来确定具体值的下线原（具因体参考：i可MCUAM见常下线因原分析）并录认记失证败志日，样，这络管网理员可以就根用户下据的原因来定线具位体题问而对于最终来，，讲能感知就的是终的提端示息，如果使信用司i我odeN客户端证，认证认败失也会根据时AAA服务器线原下因示显关相提的信示，很息大度程客，端认户证失败提示和iM侧的认C证失败志吻日，现合i就odeN下线原因做一结总。3A终端户用份身证认协议证认备设RADUIS（UMACASM）或2常见线原下因析及分结总2.1认失证，败户端客示服提器无务响应问题象现客户端：证信息认口提窗“示RDIAUSServrNoReespnoe”s，证认失败。1确认、题问PC所连的入接交机换与MC服务i之间器否通讯是常（正除了路由达之外还可括包端是否口被蔽屏），直接的最位定方法是登服务器陆，从务服器侧ipn接入交换机g。、2登服务器陆，打部署监控开理代，查进看程选项卡i下CM各进程否运是行常（正显示色表绿运行示正常。）3、检查“业务－接业入务接－设入配备”置的配置，确中设认是否备已正经添确加以共及密享钥否是置配正确4、如果。 以上查不能检发问现，则需题要析分用户接入件组的调试日。志果如日志中在到如下看记录则表明，服器务到收自来1921.861.1.21的Raidus文报但，该IP地址未并作认为接入设备的证IP地添址到加iMC，请中认确“务－接入业业务接入－设配备置中”配置。%2008-10的14-2:115:5;8W[ANINRG2()];UAM;$YS$S;(UNLL;)(ULN)L;(NULL;2)2-IvanidSourcelIPorportunbme(rrfm1o2.916.8211.:1812)1.果在如志中日看到如下录记则，表明入设接的共备享密钥配与置备上设置配不的一致请，认“确业－接务业入－接务设备入配置”的配置中设或配备。置%200-1081-42:13529;[:ERRR(O1)];UMA;$SYS;$(UNLL);(UNL);L(NLLU);ChecMksAgttr(:)IvnlidMaesasg-eAtuehticatonrecrivedefor1m9.126812.11.,retunrHWRFAIL._如果在日中志到如下看记，录则表服明器务用于上听认监请求证报文的端（口省缺为1128）其被应用程他序占。若用法确定是什无么程占序了用口，请在端服器的务命令窗口行中使用nettsta–on查a看占端口的用程进PID然，后在Windwso任务理器中管查该PI找所对D应的行程序执。%208-10-0141:02:413;[RRORE(1)];UMA$;SS$Y;N(ULL);(NUL);(LUNLL);FiltoaibndockStewithPrtofroReeicevhTrade.、5以上操若作不仍能位定题问请，记问录题处的过程理发生、题问的间时点用户和并名集收用接户入组调试件日志，系联3CH技术支持人处员理2.。用户2存不在或者户用有申请该没服务题问现象：客端户示“提始开行进份验身”证，之立即报后连接“断中。在服”器侧务查认证看败失录记，“认证败失因原”栏显示为一用户不存“或者在户没用有请该申服”务处理步：骤、查看1证认失败日中志“帐的名号”，先首在所“接有用户”中入查询帐号名该否是存在。确认帐号名存在的在前提下查，看证失败日认中的志录名是登与该否用户绑的定服后务缀一致。果如该用户是LAD用户，正常P情下登录名况该显应为“示户用@域名的etBINOS名”，该用户应绑定一个该域以的NetIBOS名为服务后的服务；如缀该果用户是普用通，户则登名录为户端客接属连中填写的性用户名，用该户应该定一个无服绑后务缀（务服缀后空为的）务服。2、请确是否存在认种这情，况户用登陆域时直在登陆信息窗口中用户名接栏一写成“2-3域户用@域名名，而”时“此登陆”到栏将灰选一。“陆登”到如灰果选状的态留在“停登陆到域”，则统一认证域会败失，认失证败记录示为显“户不用在或者存户没有申用请服该务”，因i为MC中的账户名允许包不含@号符。3、果经如过上操以确认作无定法问题位请记录问，题处的理程过、生发问 题的时点和间用名户收集用并户入接组件调试志日，联系3CH技支持人术处理。员.32安检全代查服理务器没有应回即，强将下线行问题象现：用户成功过通份身认，但证过数钟秒后户客提示“安端检查代全理务服没器回应有„„，”用户强制下线。被理步处：骤导致问该的直接原因是用户通过身份认题后，P证无C与法策略务器正服通常讯1、。端终过通HDC获取地址P的情下，若况户端客出错现误提时示PC仍处正于在获地址的取状，或已经态示显获地址取败，失先确认该PC的请入环接是境否启用了GusetVAL，N如果未用启GuseVtLNA请确保客，户端接属连中的性“连接断后开动自更新IP地址”没有选被。如中启果了用GesuVtLN，A确请客户保连接端属性中“连接的开断自后更动新PI地址”已被经中选此外。在，GuestVAL环境N中，若下线后还切未到G换uesVLtAN立就发即认起，证则有可能也致导该题。问以所建在Gu议etsLVAN环中境下，后线待至少1等0钟秒上以再起发证认2-4。、如2i果oNed客端参户数认没确有问，但题仍取获不地到址。则要需析D分CP获取地H址（可取在认证的消环下境尝试新重取获址并地终端在包）抓异常的原。因3、如终端果能及够获取地时址或配置者是静态I的P址地，确认该地请址否能是够与iMC服器务通讯。用常做法的是终端打开在命令窗口，行长ingp服务器地址。观的当察Noie客d端提示认户通过的证一那刻终端，是否能立够pin即g通务服。器果身份如证认通后过能pin不g通务服器则，要需排网络查原。此因，外可将以认证取后消终从端png服务器i如，认果证取消后可以pin即g通务服说明地器本址以及身网络没有题，问则要需点重排交换查侧的机题问。如果证认消取仍不能后ipng服通器务，进则一步明地址证置（配取获）误有或络本网存在身问题。4、果如iNoed户端客示认证提通过那的一，终端能刻立即够ipng服通器。则需务要分别从服务器和侧户客侧排端问查。题先确首服保器务侧部署监的代理控显中iMC示各进程行运常正（见参第章二21.节）。在此基上排除通础端口讯屏蔽被的能，可需确要保客户端的1240上以随机端与口务器服侧0919端的口UP通讯D正常某些情。下况，户客端或者服务器侧侧安装的第方三桌安全类的面件有软能将通可屏蔽讯。排查题问时议建时将安临全件软关闭。、5果如上操作仍不能以定问题，请位复现在题时问时同集客收端户试日志以调及策服略器调试日志务并联系，3HC技术支人持员处。2理-2.54和安全检代查服理器务通发信生误，错前连当即将被强接行中断题问 现象：户成用功通身份认证，过过数秒但后钟客户端上示提“安和全检代查服务器通理信生发错误„”„，户被强用制线。下理处步骤：1、iCM与思交科换配机合，当科交思机上配置换了主备iMC服务的器址地，时有则可能在该用出现户题问这次认证的程过中，交机换生发主备服了器切务（即用换认证到户iMC备）上。建议该用户可在出问题现后再次，试尝证，认常正况情第二次认下证该能够通过。应此后护维人员可登陆以备份服务器看查在用线列表，户确该用认是否认户证到备了份服器务。上、此2时要分需造析交换机成主R备adius服务器换的原因切。先首议建检查交换配置机，除排aRidsuSrvee地址r是配否置误的可能。如果主有iMC址配置有误地，户第二用会成功次证认到备上。另机还外有种情况，一主iMC服器务的址配地置正，确但主在MiC服器的地务址之前误还配了其置他RaiusdeSverr的地址也会致导该题问，只过不这种况下情二次第认证是成功时证到认主iCM服器上务3、。查交排换机主到iMC务器服认证败的失因需原综要考合虑多方面的能。可正常认的证败（如失户用码错误密）不会导交换致机发主备生Rdiua服务s切换，器有只当aRiud报s文交互完未成的情况在会导下致主Ra备dus服务器切i换。换交机与服务器主间网络之不通、络网的中丢包连（几续认个交证互报在文换机与交务服之间被器弃丢）者或服务器软硬件主故障都是有可能发的。生如此时可果从以其交他机成功换认到证主服务上，则器本基以可排除主服务器硬件软障故的可能。这种情况下如继续要查排题，建议问首先排交除换机主服务与器之间络不通的可能，稍后网可次再证验从发生主备换的切交换机是上否够成功能认到证主务服上。4、器果如续连认证然仍同报的样错，请误先首检查交机上换否是配了置“aaaaccuontignot1xddefualtsatr-sttporoguradpusi”令命，少缺命该将令致从导该换交上认机的所有用户必证该现题，始问终法无过通安全查检其。次请，检iN查ode户端的客接属性中连参数配的置。确在保与科思备配设合DHCP的环境中，没勾有“上传IP选址”。地、5若确配认置无误请，次再现该问题，同时复录问题处理的记程、过发问题的生间时点用户和，名收客集端调户试日志、户接入用件组试调志、策日服务略调试器志，联日系H3C2-6技支持人员处术。2理5.PI或AMC地址绑定检查败失题现问象：客户认证端败失从服，侧务查看认证失败记录示为显IP或“MCA地址绑定检查失败”。理处骤步：、请1看接入用户查息页信面中，绑定已的I或者MPAC与 问题账实户际的I/PAMC是否致。一如该号需帐更换已绑定的IP/要MAC址地或新增者IP/MCA定，可绑直接以改修接入用户信。息2.6统一认证域失败，务服查侧认看证失记败录示为“L显APD用密码错户”误问题象现：户端客认证败失从，务侧查看服证认败记失显示录为LDAP用“密码错误户。”理步处骤：与软微AD合配做域一认统时证iMC服，务器地本会储存不域户账的密，码次每认时证都实时验将密码的工作证由交D服A器处理务。1发、该问题生，时果如不登能陆桌，面首请用先户认是确否在陆登密码时输错误，其入次确认否有是可在能A服D务器重上了置用户该密码而未的会知终端用。若以上操作无户法定位题，问请现复问该题同时记，录问处理题程过，集收iCM服器上务的包抓息，信系联3CH技术支持员处人理2。发、该问题时生如，果能够功成登到桌面陆说，明至少户当前用输的密码曾入成经通过功认证在操作系，本统已地有缓存经那。么以判断导致可问该题最的直接的原是因AD上密码已经更，而新前当然仍使用是的老密码登。请终端用陆户确是否认登在桌陆面时误地错输了入旧密。3、若码认确使已新用密登码，请陆再认登陆操作确系时是否统确正择选了陆域，登陆桌登面的过中程登，窗陆的右侧是否提示口“在进正行统一认证请稍域后。可能存在”种情况，这2-用7户陆登域时直在接陆登信息窗口中户名用一写栏成域用“户@域名名”，而时“此陆到登”栏一将选。这灰种况情下登“陆”如果灰到的状态停选留在“登陆本”机则此，不会触时发统一域证。认、4确保登在域的陆基上础，以可客户端连接在属性工重置密手，码后然接直使用该接连认证无（重需启PC发触域一认统证），证问题是否验解。5、若决以操上无作定位问题，法请复现该题，同问记录时问处理题过程，收集MC服务i上器的包信息抓，系H联C3技术支持员处人。理.72域一认证失统，服务败查侧看认失证记败显录示“为理员配管错误置”请查检L“AD业P务管理服务－器配置”中管的DN理是配置否正确如。管果理在员A上所D处的置位改变管或员理的实际码修密改了未iMC上同在更改步都造会问成。题2.8余额足不计在场景费下，证认户余用不足而额线下。29.用户码错密，误已经被加您入名黑单在用使MiC的认证功能件组UAM，有将用户时加入黑名的功单能目，有前有三方种可以将普式通号帐入加黑单名：第种一情况管：理主动将某员号帐加黑名单。这种入情下，况黑单名功能仅仅针对帐号身本，一旦该号帐加入黑名不论单在哪台客户PC端上登 录均效有。请种二情况如果：用计费功采的能话，号因帐欠加入费名黑。单这情况下，也只针对帐号种本身。第和一点情况样一第三。情种：况于由码多密输次错入误比如超（过01次），即恶登录意试加尝黑名入。单这种况和前情两有种区，它针对帐别号和户使用用那台的户端客C的MPC。A就是说，某帐也号在某台PC上多输次密入码错误而入加名黑后单，果在如他其PC上正确的用户用名密码登录和正常上线能，而受黑名单不限的制。样这的目做是：防的当止某人盗用他人其号，帐次多恶意别在PC上的录登多次而入黑名加，但帐单拥号者有身本在自的电脑己使上用正的帐号上线不受确制。限缺省情况是一下内天入输1次0错的密码误会自动被加入名黑单，即第种三情况。到第天凌晨自二动解。“除业务>接入>业>务>统系配置>系>统参数置配”中的认证“失阈败值可”整可供尝调密试码的次。数2-821.0DAL服P务器上不支持HAP认证C问现题：结象合LAP服务器D认做证时，入输用名户，码密后认上线证示提LAP服务器D不支持CHPA认证。处步理骤：由于结微软合ADLDA（P认）证，无法将户用码密同到步MC系统I，故，来端在认证上线终后认，证号的账码密需还到AD上校验如果采，C用APH证认式，那么方认证务器服和DA间之密码的校不可验逆认证失，败，此，时如是果do1xt认证，则要修需改认方式为证app者或ap（eeap方式要结需我司iNo合ed客户）端dtox1utaenhitcaitonm-etohdpap/aep，如是Por果tla认证式，方在Po则tar服l务理管>>设配置>>端备口组信配息里修改认证置方式：2.11丁补检失败问查题象：现使在用iNdo客户端进行eindowWs统补系自动更丁时，提新“补丁检示失败”查。可采以处理步骤：.查看1”添删除程序加”中W，SSU户客端插件否正确安是。装.2进在行丁补查的检时候，pin用命令测试g与WSUS务器之间的连服通，性确与WS保SU服务之间器由可路达。3.察看下的隔离A发L是C正确。确保否隔离ALC允许到中达WUSS服务器的CLA条已目生效。2-92.1用2户已效失问题现象：户客端发认起证，客户端时提示该用已户失效。理步处骤一：情般况，用户下都一有个效有期，旦一了过效期有该用户，不可用，将以可不置有效设。2.1期3入时段限制问接题现象：客户发端起认证时客户端提，接入示段时限制。处步理：骤MCiUAM者或老CMSA可设以置上时间网段制，限在定固的时间内能认才上证网具体，置配如下，配置好后在服里务引用即。可214无效.认证客户版端本题现象：客户端问发起认证，客时户端提无效认证客示户 端版本处理。步骤iMC：UMA为防了客户端被破解，止可以通过iNode的典文字件校验来户客PC的ioNde客户是否端合法客的端户如果U，AM发该现户客端不法合，终端将无法过认通证只，能装正安确的ioNde户端客。2-10