hcie-security內(nèi)容修訂20套提交hc ssl故障排除

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031073SVNV1R1V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳世杰2014-08-15王銳開發(fā)丁祖賢2015-03-29優(yōu)化本頁不打印HC13031073 SSL VPN故障排除 目標(biāo)學(xué)完本課程后，您將能夠:熟悉引發(fā)故障的常見配置問題掌握故障基本定位過程掌握相關(guān)故障處理過程 目錄一般故障處理流程常見故障定位及處理登錄虛擬網(wǎng)關(guān)頁面故障認(rèn)證授權(quán)故障Web代理故障網(wǎng)絡(luò)擴(kuò)展故障端口轉(zhuǎn)發(fā)故障文件共享故障終端安全1、故障處理流程圖一般故障的定義及處理流程：2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障一、無法登錄虛擬網(wǎng)關(guān)Web頁面且無任何提

2、示信息?？赡茉颍?原因一：在采用證書認(rèn)證后，沒有選中“需要用戶提供證書”選項，導(dǎo)致沒有證書驗(yàn)證請求，客戶端也不會傳輸證書到虛擬網(wǎng)關(guān)，導(dǎo)致登錄沒有響應(yīng)。 原因二：在采用證書認(rèn)證后，使用Firefox瀏覽器進(jìn)行客戶端證書認(rèn)證登錄，證書驗(yàn)證失敗，SSL連接斷開，頁面沒有響應(yīng)。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障二、提示“無法顯示網(wǎng)頁”?？赡茉颍涸蛞唬河脩鬚C和虛擬網(wǎng)關(guān)路由不可達(dá)。原因二：虛擬網(wǎng)關(guān)的IP地址已經(jīng)被更改。原因三：沒有通過虛擬網(wǎng)關(guān)域名訪問共享型虛擬網(wǎng)關(guān)。原因四：共享型虛擬網(wǎng)關(guān)域名沒有配置為公網(wǎng)地址。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障三、提示“您的證書驗(yàn)證非法，請?zhí)峁┖戏ǖ淖C書!”可能原

3、因：原因一：客戶端證書不在有效期內(nèi)。原因二：客戶端證書已經(jīng)被吊銷。原因三：客戶端證書對應(yīng)的虛擬網(wǎng)關(guān)CA證書沒有正確導(dǎo)入。原因四：證書檢測配置錯誤：使用CRL檢測時，如果從客戶端證書中獲取CDP信息時，CDP服務(wù)器路由不可達(dá)。使用OCSP檢測時，OCSP選項配置錯誤或OCSP響應(yīng)器路由不可達(dá)。原因五：在證書鏈中，CA證書的上級證書被吊銷或檢測錯誤。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障三、提示“您的證書驗(yàn)證非法，請?zhí)峁┖戏ǖ淖C書!”2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障四、提示“visit limit，your IP address is not security”?？赡茉颍?管理員配置了限制該終端源

4、IP地址的策略。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障五、提示“用戶連接數(shù)已達(dá)到上限，請稍后再試”?？赡茉颍涸蛞唬赫，F(xiàn)象。在線用戶達(dá)到上限。原因二：允許一個賬號在多處同時登錄的情況下，會話超時時間設(shè)置過長。2.1、登錄虛擬網(wǎng)關(guān)頁面故障 故障六、提示“錯誤的用戶名或密碼”?？赡茉颍涸蛞唬河脩裘兔艽a輸入錯誤。原因二：用戶或組過濾字段配置錯誤。原因三：證書過濾字段配置錯誤。原因四：AD服務(wù)器和SVN系統(tǒng)的時間、時區(qū)不一致。原因五：SecurID令牌和SecurID服務(wù)器的時間差大于設(shè)定的值。2.2、認(rèn)證授權(quán)故障 故障一、LDAP或AD的組搜索失敗。可能原因：原因一：LDAP服務(wù)器不存在或路由

5、不可達(dá)。原因二：沒有正確配置LDAP服務(wù)器信息。原因三：沒有正確配置組搜索的Base DN/Port DN。原因四：搜索規(guī)則不符合規(guī)范。AD組搜索失敗的原因和處理過程與LDAP類似。2.2、認(rèn)證授權(quán)故障故障二、LDAP或AD組搜索需要較長時間，但是服務(wù)器上的組并不多?？赡茉颍涸蛞唬核阉饕?guī)則設(shè)置范圍太寬，導(dǎo)致LDAP服務(wù)器返回了大量重復(fù)的組名，在SVN上花費(fèi)很多時間來過濾。原因二：配置了主備LDAP服務(wù)器，可能主LDAP服務(wù)器連接不上，而向備LDAP服務(wù)器請求。 AD組搜索失敗的原因和處理過程與LDAP類似。2.3、Web代理故障 故障一、用戶無法訪問頁面上看到的Web代理資源?？赡茉颍涸?/p>

6、因一：網(wǎng)絡(luò)連接故障。原因二：內(nèi)網(wǎng)服務(wù)器沒有開啟Web服務(wù)。原因三：虛擬網(wǎng)關(guān)策略設(shè)置錯誤。2.3、Web代理故障 故障二、打開Web代理資源頁面時，頁面顯示不完全?？赡茉颍赫，F(xiàn)象。該頁面包含多個鏈接，管理員沒有對這些鏈接配置相應(yīng)的Web代理資源。如果需要顯示該頁面的所有內(nèi)容，請按照以下處理步驟進(jìn)行配置。2.3、Web代理故障 故障三、虛擬網(wǎng)關(guān)上不能顯示配置的全部Web代理資源?？赡茉颍赫，F(xiàn)象。非門戶鏈接資源不會顯示在虛擬網(wǎng)關(guān)上。2.3、Web代理故障 故障四、在代理環(huán)境下，某些軟件啟動后，用戶無法訪問Web代理資源?？赡茉颍寒?dāng)ISA Client等會修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時，

7、網(wǎng)絡(luò)瀏覽器的代理設(shè)置被修改，導(dǎo)致用戶無法訪問Web代理資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障一、不能使用網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)訪問內(nèi)網(wǎng)服務(wù)器資源。可能原因：原因一：網(wǎng)絡(luò)連接故障。原因二：SVN上沒有將該內(nèi)網(wǎng)服務(wù)器配置為網(wǎng)絡(luò)擴(kuò)展資源。原因三：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡(luò)擴(kuò)展資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障二、無法啟用網(wǎng)絡(luò)擴(kuò)展功能。可能原因：PC上不能啟動網(wǎng)絡(luò)擴(kuò)展功能，可能與當(dāng)前PC特定的軟硬件環(huán)境有關(guān)。啟用網(wǎng)絡(luò)擴(kuò)展功能時會自動安裝虛擬網(wǎng)卡和Nemservice系統(tǒng)服 務(wù)，如果上述安裝不正確則不能成功啟用網(wǎng)絡(luò)擴(kuò)展功能。原因一：啟動網(wǎng)絡(luò)擴(kuò)展時安裝虛擬網(wǎng)卡失敗。原因二：啟動網(wǎng)絡(luò)擴(kuò)展時安裝或者啟動Nemse

8、rvice失敗。原因三：客戶端IE代理設(shè)置的遠(yuǎn)程pac文件地址不正確導(dǎo)致網(wǎng)絡(luò)擴(kuò)展啟動失敗。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障三、使用客戶端啟動網(wǎng)絡(luò)擴(kuò)展時提示“連接網(wǎng)關(guān)失敗”?？赡茉颍禾崾尽斑B接網(wǎng)關(guān)失敗”說明網(wǎng)絡(luò)擴(kuò)展客戶端和SVN虛擬網(wǎng)關(guān)之間沒有建立SSL連接。引起該故障的可能的原因如下：原因一：網(wǎng)絡(luò)擴(kuò)展客戶端的代理服務(wù)器設(shè)置錯誤。原因二：PC和虛擬網(wǎng)關(guān)/代理服務(wù)器之間的路由不可達(dá)。原因三：網(wǎng)絡(luò)擴(kuò)展客戶端和虛擬網(wǎng)關(guān)/代理服務(wù)器之間的TCP連接被防火墻攔截。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障四、啟動網(wǎng)絡(luò)擴(kuò)展后，客戶端不能獲取到IP地址?？赡茉颍涸蛞唬禾摂M網(wǎng)關(guān)和DHCP服務(wù)器網(wǎng)絡(luò)不可達(dá)。原因二：DHCP服務(wù)器

9、沒有分配IP地址。原因三：DHCP服務(wù)器或IP地址池分配的網(wǎng)絡(luò)擴(kuò)展虛擬IP地址和設(shè)備上其他IP地址沖突，導(dǎo)致分配失敗。原因四：用戶PC操作系統(tǒng)的DHCP Client服務(wù)沒有打開。原因五：IP地址池內(nèi)的IP地址已經(jīng)分配完。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障五、安裝網(wǎng)絡(luò)擴(kuò)展客戶端失敗?？赡茉颍褐挥胁僮飨到y(tǒng)管理員才能安裝網(wǎng)絡(luò)擴(kuò)展客戶端，當(dāng)前登錄PC的用戶不具有管理員權(quán)限。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障六、使用NTLM認(rèn)證代理,使用網(wǎng)絡(luò)擴(kuò)展客戶端連接失敗?？赡茉颍篘TLM認(rèn)證通過AD實(shí)現(xiàn)，Windows的域控制器只能對前20個字符進(jìn)行驗(yàn)證，所以當(dāng)代理服務(wù)器的用戶名超過20個字符時，登錄失敗。2.4、網(wǎng)絡(luò)擴(kuò)展

10、故障故障七、在代理環(huán)境下，某些軟件啟動后，用戶無法使用網(wǎng)絡(luò)擴(kuò)展功能訪問Web類型的資源。可能原因：當(dāng)ISA Client等會修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時，網(wǎng)絡(luò)瀏覽器的代理設(shè)置被修改，導(dǎo)致用戶無法使用網(wǎng)絡(luò)擴(kuò)展功能訪問Web類型的資源。2.4、網(wǎng)絡(luò)擴(kuò)展故障故障八、使用網(wǎng)絡(luò)擴(kuò)展客戶端啟動網(wǎng)絡(luò)擴(kuò)展時，提示“建立代理環(huán)境失敗”，彈出自動重連提示框?？赡茉颍涸蛞唬河脩鬚C上安裝的防火墻軟件阻止網(wǎng)絡(luò)擴(kuò)展系統(tǒng)服務(wù)程序NemService和虛擬網(wǎng)關(guān)/代理服務(wù)器之間建立SSL連接。原因二：用戶PC上安裝的防火墻軟件提示用戶“允許”或者“阻 止”網(wǎng)絡(luò)擴(kuò)展系統(tǒng)服務(wù)程序NemService連接到網(wǎng)絡(luò)時，用戶沒

11、有在指定時間內(nèi)選擇“允許”或者選擇了“阻止”。2.4、網(wǎng)絡(luò)擴(kuò)展故障故障九、SSL VPN終端用戶無法訪問內(nèi)網(wǎng)資源?？赡茉颍涸蛞唬簝?nèi)網(wǎng)服務(wù)器設(shè)置異常。原因二：SVN上配置了禁止用戶訪問內(nèi)網(wǎng)資源的策略。原因三：SVN與內(nèi)網(wǎng)服務(wù)器路由不可達(dá)。原因四：通過網(wǎng)絡(luò)擴(kuò)展功能訪問內(nèi)網(wǎng)資源。原因五：SVN上配置的內(nèi)網(wǎng)資源不正確。原因六：中間防火墻配置了禁止SVN訪問內(nèi)網(wǎng)資源的ACL。2.4、網(wǎng)絡(luò)擴(kuò)展故障 故障十、Mac客戶端無法啟用網(wǎng)絡(luò)擴(kuò)展?？赡茉颍涸蛞唬禾摂M網(wǎng)關(guān)處未開啟網(wǎng)絡(luò)擴(kuò)展功能。原因二：網(wǎng)絡(luò)連接故障。原因三：客戶端的代理服務(wù)器設(shè)置錯誤。原因四：SVN訪問控制策略不允許用戶訪問相關(guān)資源。2.4、網(wǎng)絡(luò)

12、擴(kuò)展故障 故障十一、Android客戶端無法啟用網(wǎng)絡(luò)擴(kuò)展?？赡茉颍涸蛞唬篈ndroid手機(jī)未獲得root權(quán)限。原因二：Android手機(jī)沒有安裝tun驅(qū)動。原因三：虛擬網(wǎng)關(guān)處未開啟網(wǎng)絡(luò)擴(kuò)展功能。原因四：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡(luò)擴(kuò)展資源。原因五：網(wǎng)絡(luò)連接故障。2.5、端口轉(zhuǎn)發(fā)故障 故障一、用戶無法訪問端口轉(zhuǎn)發(fā)資源?？赡茉颍涸蛞唬壕W(wǎng)絡(luò)連接故障。原因二：端口轉(zhuǎn)發(fā)未啟用。原因三：用戶連接超時。原因四：內(nèi)網(wǎng)服務(wù)器沒有開啟相應(yīng)的端口。原因五：虛擬網(wǎng)關(guān)策略設(shè)置錯誤。2.5、端口轉(zhuǎn)發(fā)故障 故障二、在Windows Vista和Windows 7操作系統(tǒng)下無法訪問端口轉(zhuǎn)發(fā)主機(jī)名資源。可能

13、原因：在Windows Vista和Windows 7操作系統(tǒng)下訪問端口轉(zhuǎn)發(fā)主機(jī)名資源時，如果Windows Vista和Windows 7操作系統(tǒng)查詢不到該內(nèi)網(wǎng)資源的路由，系統(tǒng)將不會嘗試和內(nèi)網(wǎng)資源建立TCP連接，從而導(dǎo)致用戶不能訪問內(nèi)網(wǎng)資源。通常情況下操作系統(tǒng)中會存在一條默認(rèn)路由，當(dāng)系統(tǒng)有默認(rèn)路由時不存在上述問題。對于Windows XP系統(tǒng)，不存在對內(nèi)網(wǎng)資源查詢路由表的步驟，因此不存在上述問題。2.5、端口轉(zhuǎn)發(fā)故障 故障三、在代理環(huán)境下，在某些軟件啟動后，無法訪問需要使用網(wǎng)絡(luò)瀏覽器的端口轉(zhuǎn)發(fā)資源?？赡茉颍寒?dāng)ISA Client等會修改網(wǎng)絡(luò)瀏覽器代理設(shè)置的軟件運(yùn)行時，網(wǎng)絡(luò)瀏覽器的代理設(shè)置被

14、修改，導(dǎo)致無法訪問需要使用網(wǎng)絡(luò)瀏覽器的端口轉(zhuǎn)發(fā)資源。2.5、端口轉(zhuǎn)發(fā)故障故障四、SSL VPN端口轉(zhuǎn)發(fā)功能不可用?？赡茉颍涸蛞唬寒?dāng)前登錄客戶端PC操作系統(tǒng)的用戶不是Administrator組成員。原因二：當(dāng)前客戶端PC的操作系統(tǒng)不是Windows 7或Windows Vista。原因三：要訪問的內(nèi)網(wǎng)資源沒有顯示在端口轉(zhuǎn)發(fā)資源列表中。原因四：端口轉(zhuǎn)發(fā)組件在殺毒軟件黑名單中。2.6、文件共享故障 故障一、提示“訪問失敗，存在網(wǎng)絡(luò)連接問題。請與管理員聯(lián)系?！笨赡茉颍涸蛞唬涸撐募蚕碣Y源對應(yīng)的文件服務(wù)器不存在或文件服務(wù)器和SVN的路由不可達(dá)。原因二：該文件共享資源的主機(jī)地址為域名，而虛擬網(wǎng)關(guān)

15、沒有配置DNS服務(wù)器或配置錯誤。2.6、文件共享故障 故障二、提示“訪問失敗，服務(wù)器中此文件或目錄不存在?！笨赡茉颍何募?wù)器上不存在該目錄或者當(dāng)前資源對應(yīng)的文件服務(wù)目錄未開啟共 享。2.6、文件共享故障 故障三、提示“訪問失敗，沒有足夠的權(quán)限進(jìn)行操作?！笨赡茉颍涸蛞唬狠斎氲挠脩裘蛎艽a錯誤。原因二：用戶沒有操作該共享目錄的權(quán)限。2.6、文件共享故障 故障四、可以查看目錄和文件，但無法上傳和刪除、重命名文件?？赡茉颍涸蛞唬喝绻募?wù)器的類型為NFS，說明用戶UID和GID的屬性不允許用戶進(jìn)行上傳、刪除或重命名文件的操作。NFS文件服務(wù)器根據(jù)登錄用戶的UID和GID進(jìn)行資源訪問的權(quán)限

16、控制。NFS類型的共享文件可設(shè)置三種用戶群：擁有者、同組用戶、其他用戶。這三種用戶群的文件權(quán)限可以設(shè)為不同，說明用戶根據(jù)UID和GID歸類到相應(yīng)的用戶群以訪問文件。原因二：如果文件服務(wù)器的類型為SMB，當(dāng)前登錄的用戶對該文件共享資源只具有讀操作的權(quán)限，而沒有寫操作的權(quán)限。2.6、文件共享故障 故障五、在Windows 2003 Server下無法直接打開gif、bmp、txt等類型的文 件?？赡茉颍篧indows 2003 server的操作系統(tǒng)使用較為嚴(yán)格的安全策略，如圖1所示，網(wǎng)絡(luò)瀏覽器使用的安全級是“高”。此安全級使網(wǎng)絡(luò)瀏覽器沒有權(quán)限運(yùn)行新的應(yīng)用程序進(jìn)程，如打開txt類型文件的Notepad，bmp/jpg類型文件