hcie-security內(nèi)容修訂20套提交hc ssl故障排除

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031073SVNV1R1V1.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳世杰2014-08-15王銳開發(fā)丁祖賢2015-03-29優(yōu)化本頁不打印HC13031073 SSL VPN故障排除 目標學完本課程后，您將能夠:熟悉引發(fā)故障的常見配置問題掌握故障基本定位過程掌握相關故障處理過程 目錄一般故障處理流程常見故障定位及處理登錄虛擬網(wǎng)關頁面故障認證授權故障Web代理故障網(wǎng)絡擴展故障端口轉(zhuǎn)發(fā)故障文件共享故障終端安全1、故障處理流程圖一般故障的定義及處理流程：2.1、登錄虛擬網(wǎng)關頁面故障 故障一、無法登錄虛擬網(wǎng)關Web頁面且無任何提

2、示信息?？赡茉颍?原因一：在采用證書認證后，沒有選中“需要用戶提供證書”選項，導致沒有證書驗證請求，客戶端也不會傳輸證書到虛擬網(wǎng)關，導致登錄沒有響應。 原因二：在采用證書認證后，使用Firefox瀏覽器進行客戶端證書認證登錄，證書驗證失敗，SSL連接斷開，頁面沒有響應。2.1、登錄虛擬網(wǎng)關頁面故障 故障二、提示“無法顯示網(wǎng)頁”?？赡茉颍涸蛞唬河脩鬚C和虛擬網(wǎng)關路由不可達。原因二：虛擬網(wǎng)關的IP地址已經(jīng)被更改。原因三：沒有通過虛擬網(wǎng)關域名訪問共享型虛擬網(wǎng)關。原因四：共享型虛擬網(wǎng)關域名沒有配置為公網(wǎng)地址。2.1、登錄虛擬網(wǎng)關頁面故障 故障三、提示“您的證書驗證非法，請?zhí)峁┖戏ǖ淖C書!”可能原

3、因：原因一：客戶端證書不在有效期內(nèi)。原因二：客戶端證書已經(jīng)被吊銷。原因三：客戶端證書對應的虛擬網(wǎng)關CA證書沒有正確導入。原因四：證書檢測配置錯誤：使用CRL檢測時，如果從客戶端證書中獲取CDP信息時，CDP服務器路由不可達。使用OCSP檢測時，OCSP選項配置錯誤或OCSP響應器路由不可達。原因五：在證書鏈中，CA證書的上級證書被吊銷或檢測錯誤。2.1、登錄虛擬網(wǎng)關頁面故障 故障三、提示“您的證書驗證非法，請?zhí)峁┖戏ǖ淖C書!”2.1、登錄虛擬網(wǎng)關頁面故障 故障四、提示“visit limit，your IP address is not security”。可能原因： 管理員配置了限制該終端源

4、IP地址的策略。2.1、登錄虛擬網(wǎng)關頁面故障 故障五、提示“用戶連接數(shù)已達到上限，請稍后再試”?？赡茉颍涸蛞唬赫，F(xiàn)象。在線用戶達到上限。原因二：允許一個賬號在多處同時登錄的情況下，會話超時時間設置過長。2.1、登錄虛擬網(wǎng)關頁面故障 故障六、提示“錯誤的用戶名或密碼”?？赡茉颍涸蛞唬河脩裘兔艽a輸入錯誤。原因二：用戶或組過濾字段配置錯誤。原因三：證書過濾字段配置錯誤。原因四：AD服務器和SVN系統(tǒng)的時間、時區(qū)不一致。原因五：SecurID令牌和SecurID服務器的時間差大于設定的值。2.2、認證授權故障 故障一、LDAP或AD的組搜索失敗?？赡茉颍涸蛞唬篖DAP服務器不存在或路由

5、不可達。原因二：沒有正確配置LDAP服務器信息。原因三：沒有正確配置組搜索的Base DN/Port DN。原因四：搜索規(guī)則不符合規(guī)范。AD組搜索失敗的原因和處理過程與LDAP類似。2.2、認證授權故障故障二、LDAP或AD組搜索需要較長時間，但是服務器上的組并不多?？赡茉颍涸蛞唬核阉饕?guī)則設置范圍太寬，導致LDAP服務器返回了大量重復的組名，在SVN上花費很多時間來過濾。原因二：配置了主備LDAP服務器，可能主LDAP服務器連接不上，而向備LDAP服務器請求。 AD組搜索失敗的原因和處理過程與LDAP類似。2.3、Web代理故障 故障一、用戶無法訪問頁面上看到的Web代理資源?？赡茉颍涸?/p>

6、因一：網(wǎng)絡連接故障。原因二：內(nèi)網(wǎng)服務器沒有開啟Web服務。原因三：虛擬網(wǎng)關策略設置錯誤。2.3、Web代理故障 故障二、打開Web代理資源頁面時，頁面顯示不完全。可能原因：正?，F(xiàn)象。該頁面包含多個鏈接，管理員沒有對這些鏈接配置相應的Web代理資源。如果需要顯示該頁面的所有內(nèi)容，請按照以下處理步驟進行配置。2.3、Web代理故障 故障三、虛擬網(wǎng)關上不能顯示配置的全部Web代理資源?？赡茉颍赫，F(xiàn)象。非門戶鏈接資源不會顯示在虛擬網(wǎng)關上。2.3、Web代理故障 故障四、在代理環(huán)境下，某些軟件啟動后，用戶無法訪問Web代理資源。可能原因：當ISA Client等會修改網(wǎng)絡瀏覽器代理設置的軟件運行時，

7、網(wǎng)絡瀏覽器的代理設置被修改，導致用戶無法訪問Web代理資源。2.4、網(wǎng)絡擴展故障 故障一、不能使用網(wǎng)絡擴展業(yè)務訪問內(nèi)網(wǎng)服務器資源?？赡茉颍涸蛞唬壕W(wǎng)絡連接故障。原因二：SVN上沒有將該內(nèi)網(wǎng)服務器配置為網(wǎng)絡擴展資源。原因三：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡擴展資源。2.4、網(wǎng)絡擴展故障 故障二、無法啟用網(wǎng)絡擴展功能?？赡茉颍篜C上不能啟動網(wǎng)絡擴展功能，可能與當前PC特定的軟硬件環(huán)境有關。啟用網(wǎng)絡擴展功能時會自動安裝虛擬網(wǎng)卡和Nemservice系統(tǒng)服 務，如果上述安裝不正確則不能成功啟用網(wǎng)絡擴展功能。原因一：啟動網(wǎng)絡擴展時安裝虛擬網(wǎng)卡失敗。原因二：啟動網(wǎng)絡擴展時安裝或者啟動Nemse

8、rvice失敗。原因三：客戶端IE代理設置的遠程pac文件地址不正確導致網(wǎng)絡擴展啟動失敗。2.4、網(wǎng)絡擴展故障 故障三、使用客戶端啟動網(wǎng)絡擴展時提示“連接網(wǎng)關失敗”?？赡茉颍禾崾尽斑B接網(wǎng)關失敗”說明網(wǎng)絡擴展客戶端和SVN虛擬網(wǎng)關之間沒有建立SSL連接。引起該故障的可能的原因如下：原因一：網(wǎng)絡擴展客戶端的代理服務器設置錯誤。原因二：PC和虛擬網(wǎng)關/代理服務器之間的路由不可達。原因三：網(wǎng)絡擴展客戶端和虛擬網(wǎng)關/代理服務器之間的TCP連接被防火墻攔截。2.4、網(wǎng)絡擴展故障 故障四、啟動網(wǎng)絡擴展后，客戶端不能獲取到IP地址?？赡茉颍涸蛞唬禾摂M網(wǎng)關和DHCP服務器網(wǎng)絡不可達。原因二：DHCP服務器

9、沒有分配IP地址。原因三：DHCP服務器或IP地址池分配的網(wǎng)絡擴展虛擬IP地址和設備上其他IP地址沖突，導致分配失敗。原因四：用戶PC操作系統(tǒng)的DHCP Client服務沒有打開。原因五：IP地址池內(nèi)的IP地址已經(jīng)分配完。2.4、網(wǎng)絡擴展故障 故障五、安裝網(wǎng)絡擴展客戶端失敗。可能原因：只有操作系統(tǒng)管理員才能安裝網(wǎng)絡擴展客戶端，當前登錄PC的用戶不具有管理員權限。2.4、網(wǎng)絡擴展故障 故障六、使用NTLM認證代理,使用網(wǎng)絡擴展客戶端連接失敗?？赡茉颍篘TLM認證通過AD實現(xiàn)，Windows的域控制器只能對前20個字符進行驗證，所以當代理服務器的用戶名超過20個字符時，登錄失敗。2.4、網(wǎng)絡擴展

10、故障故障七、在代理環(huán)境下，某些軟件啟動后，用戶無法使用網(wǎng)絡擴展功能訪問Web類型的資源。可能原因：當ISA Client等會修改網(wǎng)絡瀏覽器代理設置的軟件運行時，網(wǎng)絡瀏覽器的代理設置被修改，導致用戶無法使用網(wǎng)絡擴展功能訪問Web類型的資源。2.4、網(wǎng)絡擴展故障故障八、使用網(wǎng)絡擴展客戶端啟動網(wǎng)絡擴展時，提示“建立代理環(huán)境失敗”，彈出自動重連提示框?？赡茉颍涸蛞唬河脩鬚C上安裝的防火墻軟件阻止網(wǎng)絡擴展系統(tǒng)服務程序NemService和虛擬網(wǎng)關/代理服務器之間建立SSL連接。原因二：用戶PC上安裝的防火墻軟件提示用戶“允許”或者“阻 止”網(wǎng)絡擴展系統(tǒng)服務程序NemService連接到網(wǎng)絡時，用戶沒

11、有在指定時間內(nèi)選擇“允許”或者選擇了“阻止”。2.4、網(wǎng)絡擴展故障故障九、SSL VPN終端用戶無法訪問內(nèi)網(wǎng)資源。可能原因：原因一：內(nèi)網(wǎng)服務器設置異常。原因二：SVN上配置了禁止用戶訪問內(nèi)網(wǎng)資源的策略。原因三：SVN與內(nèi)網(wǎng)服務器路由不可達。原因四：通過網(wǎng)絡擴展功能訪問內(nèi)網(wǎng)資源。原因五：SVN上配置的內(nèi)網(wǎng)資源不正確。原因六：中間防火墻配置了禁止SVN訪問內(nèi)網(wǎng)資源的ACL。2.4、網(wǎng)絡擴展故障 故障十、Mac客戶端無法啟用網(wǎng)絡擴展。可能原因：原因一：虛擬網(wǎng)關處未開啟網(wǎng)絡擴展功能。原因二：網(wǎng)絡連接故障。原因三：客戶端的代理服務器設置錯誤。原因四：SVN訪問控制策略不允許用戶訪問相關資源。2.4、網(wǎng)絡

12、擴展故障 故障十一、Android客戶端無法啟用網(wǎng)絡擴展?？赡茉颍涸蛞唬篈ndroid手機未獲得root權限。原因二：Android手機沒有安裝tun驅(qū)動。原因三：虛擬網(wǎng)關處未開啟網(wǎng)絡擴展功能。原因四：SVN上的訪問控制策略不允許用戶訪問網(wǎng)絡擴展資源。原因五：網(wǎng)絡連接故障。2.5、端口轉(zhuǎn)發(fā)故障 故障一、用戶無法訪問端口轉(zhuǎn)發(fā)資源。可能原因：原因一：網(wǎng)絡連接故障。原因二：端口轉(zhuǎn)發(fā)未啟用。原因三：用戶連接超時。原因四：內(nèi)網(wǎng)服務器沒有開啟相應的端口。原因五：虛擬網(wǎng)關策略設置錯誤。2.5、端口轉(zhuǎn)發(fā)故障 故障二、在Windows Vista和Windows 7操作系統(tǒng)下無法訪問端口轉(zhuǎn)發(fā)主機名資源。可能

13、原因：在Windows Vista和Windows 7操作系統(tǒng)下訪問端口轉(zhuǎn)發(fā)主機名資源時，如果Windows Vista和Windows 7操作系統(tǒng)查詢不到該內(nèi)網(wǎng)資源的路由，系統(tǒng)將不會嘗試和內(nèi)網(wǎng)資源建立TCP連接，從而導致用戶不能訪問內(nèi)網(wǎng)資源。通常情況下操作系統(tǒng)中會存在一條默認路由，當系統(tǒng)有默認路由時不存在上述問題。對于Windows XP系統(tǒng)，不存在對內(nèi)網(wǎng)資源查詢路由表的步驟，因此不存在上述問題。2.5、端口轉(zhuǎn)發(fā)故障 故障三、在代理環(huán)境下，在某些軟件啟動后，無法訪問需要使用網(wǎng)絡瀏覽器的端口轉(zhuǎn)發(fā)資源?？赡茉颍寒擨SA Client等會修改網(wǎng)絡瀏覽器代理設置的軟件運行時，網(wǎng)絡瀏覽器的代理設置被

14、修改，導致無法訪問需要使用網(wǎng)絡瀏覽器的端口轉(zhuǎn)發(fā)資源。2.5、端口轉(zhuǎn)發(fā)故障故障四、SSL VPN端口轉(zhuǎn)發(fā)功能不可用?？赡茉颍涸蛞唬寒斍暗卿浛蛻舳薖C操作系統(tǒng)的用戶不是Administrator組成員。原因二：當前客戶端PC的操作系統(tǒng)不是Windows 7或Windows Vista。原因三：要訪問的內(nèi)網(wǎng)資源沒有顯示在端口轉(zhuǎn)發(fā)資源列表中。原因四：端口轉(zhuǎn)發(fā)組件在殺毒軟件黑名單中。2.6、文件共享故障 故障一、提示“訪問失敗，存在網(wǎng)絡連接問題。請與管理員聯(lián)系?！笨赡茉颍涸蛞唬涸撐募蚕碣Y源對應的文件服務器不存在或文件服務器和SVN的路由不可達。原因二：該文件共享資源的主機地址為域名，而虛擬網(wǎng)關

15、沒有配置DNS服務器或配置錯誤。2.6、文件共享故障 故障二、提示“訪問失敗，服務器中此文件或目錄不存在?！笨赡茉颍何募掌魃喜淮嬖谠撃夸浕蛘弋斍百Y源對應的文件服務目錄未開啟共 享。2.6、文件共享故障 故障三、提示“訪問失敗，沒有足夠的權限進行操作?！笨赡茉颍涸蛞唬狠斎氲挠脩裘蛎艽a錯誤。原因二：用戶沒有操作該共享目錄的權限。2.6、文件共享故障 故障四、可以查看目錄和文件，但無法上傳和刪除、重命名文件?？赡茉颍涸蛞唬喝绻募掌鞯念愋蜑镹FS，說明用戶UID和GID的屬性不允許用戶進行上傳、刪除或重命名文件的操作。NFS文件服務器根據(jù)登錄用戶的UID和GID進行資源訪問的權限

16、控制。NFS類型的共享文件可設置三種用戶群：擁有者、同組用戶、其他用戶。這三種用戶群的文件權限可以設為不同，說明用戶根據(jù)UID和GID歸類到相應的用戶群以訪問文件。原因二：如果文件服務器的類型為SMB，當前登錄的用戶對該文件共享資源只具有讀操作的權限，而沒有寫操作的權限。2.6、文件共享故障 故障五、在Windows 2003 Server下無法直接打開gif、bmp、txt等類型的文 件?？赡茉颍篧indows 2003 server的操作系統(tǒng)使用較為嚴格的安全策略，如圖1所示，網(wǎng)絡瀏覽器使用的安全級是“高”。此安全級使網(wǎng)絡瀏覽器沒有權限運行新的應用程序進程，如打開txt類型文件的Notepad，bmp/jpg類型文件