网络督察域认证安装配置及故障处理方法

网络督察域认证安装配置及故障处理方法网络督察域认证安装配置及故障处理方法网络督察域验证方式有两种方式(一) 类似于本地验证的方式.a. 配置方法:pqconf_nc.cnf中LocalAuth =

网络督察域认证安装配置及故障处理方法

网络督察域认证安装配置及故障处理方法

网络督察域验证方式

有两种方式

(一) 类似于本地验证的方式.

a. 配置方法:

pqconf_nc.cnf中

LocalAuth = "NTDOMAIN"

NtDoMainServer = "域服务器IP 地址"

在网络设置中将管理的ip 范围加在本地验证中.

在用户管理中将需要管理的用户帐号添加到系统中, 登录名需要和域控制器中用户的登录名相同, 密码可以任意值.

在上网综合参数设置中将自动增加用户的选择框的v 去掉.

b. 工作原理

用户在上网时, 弹出一个验证框, 需要用户输入登录名和密码, 网络督察接收到验证信息后, 将其转发给域服务器, 由域服务器验证, 通过后网络督察返回" 您可以上网了" 的提示信息.

c. 可能出现的问题及解决方法

1) 不能弹出验证框

检查上网的电脑的ip 地址是否设在本地验证的ip 管理段.

2) 输入登录名和密码后, 很长时间没有反应

检查域控制器和网络督察验证用的通讯端口445是否开放.

检查pqconf_nc.cnf中的LocalAuth 和NtDoMainServer 参数是否设置正确.

3) 输入登录名和密码后系统提示" 用户名不存在"

检查网络督察用户管理中该用户是否存在, 域控制器中该用户是否存在.

4) 输入登录名和密码后系统提示" 密码不正确"

检查输入的用户名和密码是否正确

5) 不管输入任何的用户名和密码, 系统都提示" 您可以上网了"

检查上网综合参数设置中" 自动添加用户" 功能是否开启, 应将其关闭.

d. 典型的应用

公司域中的电脑比较多, 但很多电脑只能上局域网不能上互联网, 公司希望上

网需要授权, 帐号借用域帐号, 用户购买网络督察的licence 用户数只需要真正上

网的电脑数就可以了.

(二) 在域控制器中安装客户端的域验证方式

优点:对用户完全透明, 只要用户登录到域, 就可以对用户的上网行为完全控制.

缺点:用户没登录到域, 只能阻止其上网, 不能具体控制其上网行为, 网络督察的licence 用户数需要和域中的用户数相同, 需要在域控制器上安装客户端程序.

a. 网络督察的配置方法:

1) pqconf_nc.cnf配置

StartNtAuth = "Yes" 启动网络督察域认证服务进程, 默认不启动.

NtAuthMustSet = "No" 不管用户的ip 地址是否落在第三方验证的ip 管理段,

用户信息都要用域服务器中的用户信息同步.

NtAuthMustSet = "Yes" 域服务器中的用户信息只对ip 落在第三方验证IP 管理

网络督察域认证安装配置及故障处理方法

段的用户进行同步.

AddGroupByNt="Yes" 同步域用户时, 如果网络督察中不存在部门, 系统自动添加部门, 默认状态该功能开启.

AddGroupByNt="No"同步域用户时, 若该用户所属的部门在网络督察中存在, 将该用户自动归到该部门中, 不存在则归到未知部门中.

NtAuthCtl = "No" 当用户没有登录到域时, 网络督察对用户的上网行为不作控制. NtAuthCtl = "Yes" 用户没有登录到域时, 网络督察不允许用户上网.

默认状态NtAuthCtl = "Yes"

当用户网络中使用ISA 代理时, 用户不登录到域, ISA 可以控制不让用户上网, 在这种情况, 最好设置NtAuthCtl = "No" ,否则有可能造成ISA 不能正常工作的现象.

2) 网络督察界面上的配置

在网络设置中将管理的ip 范围加在本地验证中.

在第三方验证中点击" 高级" 添加域验证客户端帐号信息.

如果域服务器的操作系统不是简体中文, 则需要选择域服务器的操作系统的语言, 否则用户信息有可能出现乱码.

如果帐号信息没法添加, 在后台检查一下ncntserver 的表, 在mysql 交互界面下执行delete from ncntserver 清空该表, 再尝试添加.

为了保证域用户显示名, 域用户的部门正确显示在网络督察上, 必须正确选择" 域用户显示名对应于系统域用户GROUP 对应于系统域用户OU 对应于系统的值. 默认状态用户的显示名和登录名都对应域用户的登录名, 改变配置后, 需要重启网络督察.

常.

3) 域验证客户端的安装

在安装域验证客户前, 以下准备工作是必须的:

a. 域验证客户端和网络督察通讯用的通讯端口是10000, 必须要保证该端口是开

放的. 界面上的最后通讯时间指的是域验证客户端和网络督察最后通讯时间, 如果这个时间和当前时间差超过5分钟, 需要检查一下当前域验证客户端和网络督察通讯是否正

b. 在网络督察上添加该客户端注册网络督察的帐号, 默认应该有一个nt001和

nt002的帐号.

c. 在域控制器中添加一个供该客户端软件访问目录服务的帐号.

d. 域控制器上策略的设置

域控制器安全策略设置:

本地策略—审核策略—审核账户登录事件和审核登录事件登录成功

设为审核.

网络督察域认证安装配置及故障处理方法

e. 安装域验证客户端程序

在安装域验证客户端程序时, 需要输入以下参数

: 事件日志设置保存方式要确保日志有适当的存储空间. ◆ 域安全策略的设置方法同上. ◆ 如果域控制器中的用户数超过1000, 还需要修改LDAP 策略. 目录服务通过LDAP 访问用户信息的默认最大记录数为1000, 当AD 中用户数超过1000时, 需要修改LDAP 策略中的MaxPageSize 参数, 否则一次查询最多只能访问1000个用户. 修改LDAP 策略的方法: 在运行中输入cmd, 进入控制台界面 输入Ntdsutil 命令 输入help 显示所有的命令 输入LDAP pllicies 输入help 显示该级菜单的所有命令 输入connections 输入help 显示该级菜单的所有命令 输入connect to domain 域名 输入q 回到前一级菜单 输入help 显示该级菜单的所有命令 输入show values 可以看到LDAP 策略中的MaxPageSize 的值 输入Set MaxPageSize to 2000 将 MaxPageSize 的值改为2000 输入commit changes 让修改生效 输入show values 检查修改后的值 输入q 输入q 退出

网络督察域认证安装配置及故障处理方法

服务器IP 地址—网络督察的IP 地址 使用端口和通讯超时时间可以取默认值. 校验键值对应于网络督察中设置的通讯密钥

登录EIM 账号对应于网络督察中的登录名 其它域控制器IP 地址, 该栏目前没有使用, 可以填0.

网络督察域认证安装配置及故障处理方法

登录域帐号和登录域密码指的是域控制器为本软件开设的供该软件访问目录服务的帐号, 特别需要注意的是帐号对应的是域用户的显示名, 而不是登录名.

4) 运行域认证客户端程序

开始—所有程序—域认证服务—StartServ

5) 停止域认证程序

开始—所有程序—域认证服务—StopServ

本程序安装后第一次需要手工启动, 以后随电脑启动而自启动.

6) 可能出现的问题及解决方法

域验证客户端运行后, 在C:/winnt/radiusserv目录下生成一个raduis.log 文件, 该文件记录了程序运行的状态, 是诊断问题的重要线索.

a) 程序启动时在raduis.log 文件中连续出现" can not registry to the system”的

信息.

检查网络督察中的域服务进程是否已经启动:在网络督察的主页左边当前进程的旁边, 点击 ”more ”的按钮, 进程表中是否有" NtAuth " 的进程.

检查10000端口是否开放.

检查安装时输入的登录EIM 帐号和通讯密码是否正确.

b) radius.log 文件中出现open ldap fail!信息, 用户信息中没有group 和ou 信息.

访问目录服务出错, 检查安装时输入的登录域帐号和登录域密码是否正确. c) login 返回-1

网络督察和域验证软件通讯中断.

d) log in 不断返回11

网络督察不断在重启, 需要排除网络督察不断重启的故障.

e) radius.log 文件没有报错, 网络督察和验证程序最近通讯时间正常, 但在线用户

只有SYSTEM 的用户

检查域控制器中的安全事件, 查询事件ID 为540,672和673的事件, 检查有没有用户登录域, 如没有, 需要检查域策略设置是否正确.

如果安全事件中有用户登录的记录, 检查一下该用户登录的域是否是软件安装时设置的域服务器名.

f) 网络督察在线用户中用户只有登录名, 没有显示名, 也没有部门名.

检查radius.log 文件中login 的用户信息是否正常, 如正常, 检查第三方验证高级设置中的设置是否正确.