1 关于本文档
本文档介绍了用户在使用运维审计系统过程中的故障处理方法。
1.1 格式约定
格式 |
说明 |
---|
粗体
|
各类界面控件名称采用加粗字体表示,如单击确定。 |
>
|
多级菜单用 > 隔开。如选择,表示选择用户管理菜单下的用户列表子菜单。
|
2.1 一般流程
故障排查的通用流程如表2.1 故障处理一般流程所示。
表2.1 故障处理一般流程步骤 |
动作 |
动作说明 |
---|
第一步 |
了解问题 |
明确问题的现象、复现频率、复现方法、环境和影响。 对于问题现象,需要明确预期和实际结果、如果有错误提示需要记录错误提示。
|
第二步 |
确认问题 |
确认问题是否是配置问题、是否是产品的问题、是否是已知问题。- 配置问题可以查阅产品配套的相关手册,查询正确的配置。
- 产品问题可以尝试升级解决或者等待补丁发布。
若不是产品的问题,需要明确导致问题的外部组件。
- 已知问题可以在FAQ和故障排查指南中查看。
|
第三步 |
排查问题 |
确认问题后,可以参考本手册中相关的业务模块排查问题。 |
第四步 |
收集信息 |
如果参考本手册中的故障排查思路依然无法解决问题时,请收集问题相关的信息,具体包括:
- 问题描述
- 复现频率
- 复现方法
- 影响
- 环境
- 你的排查过程和结果
- 日志,关于日志收集请参考收集日志
|
第五步 |
反馈问题 |
向您的技术接口人反馈问题,寻求进一步的技术支持。 |
2.2 常用方法论
对于陌生的异常问题,很多人会感到无从下手,不知道从哪里开始。此时如果掌握一些基本的排错方法论就可以避免这种无力感。对于新手,方法论可以告诉你从什么地方开始,并列举了如何继续下去的步骤。对于专家,方法论可以作为检查清单来使用,确保没有遗漏。《性能之巅》中介绍了很多性能调优的方法论,同样适合故障排查,我们节选部分,有兴趣的可以阅读原文。
2.2.1 问题陈述法
明确问题如何陈述是技术支持人员开始反映问题时的例行工作。通过询问客户以下问题来完成:
- 是什么让你认为存在问题?
- 系统之前运行得好吗?
- 最近有什么改动?配置?网络?客户端?并发?
- 问题有什么影响?会影响普通用户吗?
- 环境是什么样的?客户端操作系统版本?浏览器版本?我们的软件版本?是否有特殊的配置?目标设备是什么版本?
询问这些问题并得到相应的回答通常会立即指向一个问题和解决方案。当你遇到一个新问题时,首先应该使用的就是这个方法。
2.2.2 Ad Hoc核对清单法
当需要检查和调试系统时,技术支持人员通常会花一点时间一步一步地过一遍核对清单。一个典型的场景,在产品环境部署新的服务器或应用时,技术支持人员会花半天的时间来检查一遍系统在真实压力下的常见问题。该类核对清单是Ad
hoc的,基于对该系统类型的经验和之前遇到的问题。
遇到问题时根据现象检查核对《FAQ》和《故障排查指南》就是使用了Ad
hoc核对清单法。
2.2.3 科学法
科学法研究未知的问题是通过假设和实验进行的。总结下来有以下步骤:
- 问题
- 假设
- 预测
- 试验
- 分析
问题就是问题的陈述,参考问题陈述法。从这点你可以假设问题的原因可能是什么。然后你进行试验,可以是观察性的也可以是实验性的,看看基于假设的预测是否正确。最后是分析收集的试验数据。
举个例子,你可能发现某个应用程序在迁移到一个内存较小的系统时其性能会下降,你假设导致性能不好的原因是较小的文件系统缓存。你可以使用观测的试验方法分别测量两个系统的缓存失效率,预测内存较小的系统缓存失效率更高。用实验的方法可以增加缓存大小(加内存),预测性能将会有所提升。另外,还可以更简单,实验性的测试可以人为地减少缓存的大小(利用可调参数),预计性能将会变差。
3.1 无法访问运维审计系统的对外服务
无法访问运维审计系统对外的服务,例如Web服务(80、443端口)、字符服务(22端口)、RDP服务(3389端口)、图形会话回放(5899端口)、后台管理(8022端口)。
3.1.1 客户端到运维审计系统的网络异常
-
检查本地PC的网络配置是否正常。
-
通过ping命令检查本地PC到运维审计系统的连通性。
-
通过traceroute、tracert等命令,进行路由路径检测。
3.1.2 客户端到运维审计系统的端口不通
-
通过telnet命令,进行端口测试。
-
查看本地PC到运维审计系统之间,是否有防火墙拦截。
-
通过tcpdump命令进行抓包,查看故障原因。管理员可以在进行运维审计系统的tcpdump抓包。
-
查看是否修改了运维审计系统相关服务的端口。管理员可以在中查看。
3.1.4 运维审计系统IP地址冲突
如果其它设备的IP地址和运维审计系统的IP地址冲突可能导致部分端口通,部分不通。
检查运维审计系统所在网段的交换机ARP表,确认是否存在冲突。
3.2 运维审计系统无法访问外部设备的服务
运维审计系统无法访问外部设备的服务,既包括操作员访问的目标设备的对外服务,也包括管理员配置的运维审计系统与外部系统的对接服务,例如邮件服务、LDAP认证等。
3.2.1 运维审计系统到外部设备的网络异常
-
通过ping命令检查运维审计系统到外部设备的连通性。管理员可以在中进行运维审计系统发起的ping测试。
-
通过traceroute命令,进行路由路径检测。管理员可以在中进行运维审计系统发起的traceroute测试。
3.2.2 运维审计系统到外部设备的端口不通
-
通过telnet命令,进行TCP端口测试。管理员可以在中进行运维审计系统发起的telnet测试。
-
通过nmap命令,进行UDP端口测试。管理员可以在中进行运维审计系统发起的nmap测试。
-
通过tcpdump命令进行抓包,查看故障原因。管理员可以在进行运维审计系统的tcpdump抓包。
-
查看运维审计系统到外部设备之间,是否有防火墙拦截。
-
查看外部设备是否修改了默认服务端口。
-
登录外部设备系统,查看端口监听情况。
-
登录外部设备系统,查看相应服务日志。
3.3 访问数据库类型的资产连接超时
访问Oracle类型的资产,显示TNS
连接超时;访问Mysql类型的资产,显示can't
connect to mysql server on x.x.x.x。
3.3.1 网络不通导致
数据库类型的资产访问方式为:数据库客户端→运维审计系统→数据库服务器。需要保证网络通畅,端口监听正常。
-
测试应用发布服务器到运维审计系统的数据库端口是否连通;测试运维审计系统到数据库服务器的数据库端口是否连通。
-
查看运维审计系统和数据库服务器的数据库端口是否被监听。
-
查看应用发布服务器到运维审计系统之间,运维审计系统到数据库服务器之间,是否有防火墙拦截。
3.4 浮动IP无法切换
复杂多机部署场景中,如果发生主节点切换,浮动IP无法切换成功。
3.4.1 MAC地址绑定导致
浮动IP地址绑定了之前主节点的MAC地址。
-
进行主节点的切换,看浮动IP是否只能存在于特定节点上。
-
询问网络管理员是否有针对运维审计系统配置了MAC地址绑定。
3.5 活跃的字符、图形会话异常断开
3.5.1 网络震荡
由于网络震荡,丢包率高等问题,造成活跃的字符、图形会话异常断开。
-
复现问题,并进行长ping测试。查看异常时间段内,网络是否出现震荡、丢包率高、延迟高等现象。
-
切换网络或者直连运维审计系统进行测试,看能否复现问题。
-
复现问题,并在客户端、运维审计系统、目标资产处分别抓包,将抓包结果发送给技术人员分析。
3.5.2 安全设备拦截
活跃会话异常断开问题可能是安全设备拦截导致。
-
询问客户的网络管理员或安全管理员,近期是否有网络变更或新增安全设备。
-
切换网络或者直连运维审计系统进行测试,看能否复现问题。
-
复现问题,并在客户端、运维审计系统、目标资产处分别抓包,将抓包结果发送给技术人员分析。
3.6 RDP会话操作,画面卡顿严重
进行RDP会话时,图像刷新缓慢,鼠标移动有卡顿感。
3.6.1 网络带宽过低
RDP图形会话在传输时会传输图像的变动部分,当遇见图像高频率或大批量刷新时,会导致网络带宽占用率过高。如果传输链路中的带宽有限,会出现画面卡顿现象。
-
图形会话操作时,打开任务管理器,观察网络出口的流量变化。
-
尝试访问偏静态的画面,看操作是否流畅。
-
尝试更换网络环境,看操作是否流畅。
4.1 补丁包安装失败,显示“Exception creating connection to x.x.x.x”
安装补丁包出现Exception creating connection to x.x.x.x错误提示,导致安装无法成功。
4.1.1 没有在运维审计系统的标准入口处修改IP
修改运维审计系统 IP地址的标准入口只有Web页面的处和Console控制台菜单处,其他方式均不正确。
-
请联系技术支持人员,重启common和elasticsearch服务。
-
重新安装补丁包。
4.2 补丁包安装失败,显示“FileAlreadyExistException”
安装补丁包出现FileAlreadyExistException错误提示,导致安装无法成功。
4.2.1 补丁包之前安装失败,导致安装文件被占用
-
联系技术支持,手工删除被占用的文件。
-
重新安装补丁包。
4.3 补丁包安装失败,显示“补丁版本不一致”
在Web页面升级,显示补丁版本不一致。
在Console控制台升级,显示The QZP package does not support upgrading from the current
version。
4.3.1 没有按照发布说明的补丁包安装顺序进行升级
补丁包在安装前,会检测系统当前的软件包版本,只有满足要求,才会进行升级。
4.4 补丁包上传失败,显示“文件上传失败,服务器出错”
上传补丁包时,显示
文件上传失败,服务器出错的错误提示。
4.4.1 使用了360浏览器
运维审计系统不支持使用360浏览器访问,当使用360浏览器上传补丁包时,会有此报错信息。
4.5 上传授权文件时,提示“文件格式或内容不正确”
上传授权文件时,提示文件格式或内容不正确的错误提示。
4.5.1 解压了授权文件
授权文件是一个tar文件,不需要解压。
4.6 授权期内提示授权已过期
运维审计系统已上传了授权文件且授权实际未过期,但登录后页面上方提示授权已过期,且部分情况下只能访问更新授权界面。
4.6.1 运维审计系统的系统时间和本地时间不一致
如果运维审计系统的系统时间和本地时间不一致,且早于授权开始时间,或晚于结束时间,就会出现授权失效的情况。
-
检查运维审计系统的系统时间和本地时间是否一致。
由于授权过期后不能使用Web界面的功能,请登录Console控制台,并选择Date and
Time检查系统时间。
-
如系统时间与本地时间不一致,请将系统时间修改为与本地时间一致。
- 部署在CAS云平台且安装了Cas Tools的场景:联系CAS平台管理员检查CAS时间是否正确,不正确则修改CAS平台的时间,完成后运维审计系统将会自动同步。
Note: 对于
运维审计系统部署在CAS云平台中,且安装了CAS
Tools的场景(即使用
linux-cas或
linux-cas-ap命令安装的场景),系统时间将自动从CAS平台同步,因此在此修改系统时间无效。CAS管理员修改CAS时间的方法如下:
- 通过SSH登录CAS后台。
- 使用date命令查询当前系统时间。
- 使用date
-s命令修改系统时间,例如
date -s "2021-04-26 20:11:15"
- 使用
hwclock –w
命令将系统时间同步到硬件。
- 其他场景,在Console控制台的Date and
Time界面中,使用手工校准或配置NTP服务,将系统时间修改正确。
-
重启运维审计系统。
运维审计系统每次时间改变后就会执行授权检测。从CAS同步时间的场景,重启运维审计系统才能重新从CAS获取时间,并执行授权检测。请在Console控制台执行重启。其他场景虽然不需要重启就能使时间和授权生效,但修改系统时间后,如果不重启运维审计系统,将会影响定期任务的执行。请在Web界面或Console控制台执行重启。
5.1.1 AccessClient调用异常
通过AccessClient调用本地应用程序异常。
5.1.1.1 软件安装不完全
操作系统、安全软件可能会对AccessClient的安装过程进行拦截,导致软件安装不完全。
-
尝试以管理员身份重装AccessClient,观察安装过程有没有被拦截。
-
打开安全软件的管理页面,查看黑名单列表中是否有AccessClient相关程序。
-
更换另外环境的一台PC,尝试使用,查看是否正常。
5.1.1.2 客户端关联错误
在第一次使用AccessClient关联客户端应用时,关联了错误的客户端应用,使之后的每一次访问都是请求错误的客户端应用。
-
移走文件,使AccessClient重新关联应用。
-
找到关联错误的客户端的EXE文件,将其移到其他目录。
-
通过Web页面访问该资产。在出现的选择客户端的弹窗中,选择正确的客户端应用。
-
将1中移走的错误客户端文件,还原回之前目录。
-
删除注册表中关联错误的键值。
Note: 删除程序相关的注册表时,可能造成程序运行时因为路径丢失,缺少扩展支持组件,出现错误;删除系统关键部位的注册表时,可能导致计算机出现致命错误,甚至导致整个系统损毁。因此,请谨慎操作。
-
打开运行窗口。输入regedit,进入注册表管理。
-
分别在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Paths和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App
Paths路径下,寻找客户端程序名的键值。如果找到,删除该键值。
-
通过Web页面访问该资产。在出现的选择客户端的弹窗中,选择正确的客户端应用。
5.1.1.3 Filefox浏览器关联AccessClient协议错误
浏览器使用URL为accessclient://xxx的方式调用本地的AccessClient。一般浏览器不允许修改此URL调用的应用,但是Firefox可以修改。如果关联错误了,会造成所有打开的会话,都调用一个错误的应用。
-
修改Firefox的配置,调用AccessClient。
-
进入。
-
在应用程序中找到内容类型为accessclient的条目,选择打开方式为使用
访问客户端 处理(默认)。
-
移走文件,使Firefox重新关联AccessClient。
-
找到关联错误的应用程序的EXE文件,将其移到其他目录。
-
通过Web页面访问任一资产,在出现的选择应用程序的弹窗中,选择访问客户端,并且勾选记住我对AccessClient链接的选择。
-
将1中移走的错误应用程序文件,还原回之前目录。
5.1.1.4 AccessClient访问时提示请求的操作需要提升
AccessClient打开相关客户端应用时,由于权限过低,无法打开该应用。需要修改客户端属性,使得打开该应用时,保持以管理员身份打开。
-
修改客户端属性。
-
右键单击应用程序,选择属性。
-
进入兼容性标签页,勾选以管理员身份运行此程序。单击更改所有用户的设置,勾选以管理员身份运行此程序。单击确定。
-
如果使用的是绿色版的客户端软件,请卸载该软件,并使用安装版本的软件。
5.1.2 操作员访问资产时,页面始终提示安装AccessClient客户端
5.1.2.1 没有单击该提示的已安装按钮
该提示不会自动清除,如需清除,需要单击已安装按钮。
-
使用操作员登录系统,进入访问资产菜单。
-
如果页面左上角出现安装AccessClient的提示,单击已安装。
5.1.3 通过Firefox启动任意会话始终打开某一个客户端
使用Firefox在设备访问页面进行资产访问时,无论打开任何会话都是用特定的客户端打开,且无法成功登录。比如始终打开Xshell或者远程桌面客户端。
5.1.3.1 首次访问时没有选择AccessClient作为客户端
Firefox中首次访问时会要求选择客户端,正常情况下应该选择访问客户端,而不是根据待访问的目标资产的类型选择特定的客户端,例如Xshell或者远程桌面客户端。
不同版本的Firefox浏览器,操作步骤有少许上的差异,此处以Firefox76为例进行介绍。
-
单击Firefox浏览器右上角的,选择选项,在常规中找到应用程序模块。
-
单击accessclient对应的操作,在下拉菜单中选中使用
访问客户端 处理(默认)。
5.1.4 单击应用图标后,没有任何反应
操作员单击可访问的应用图标后,页面没有任何反应,没有报错,也没有弹出任何窗口。
5.1.4.1 浏览器没有获得到accessclient url
单击应用图标后,浏览器会请求相应的accessclient url,通过accessclient url打开本地应用。如果没有获得accessclient
url,则页面没有任何反应。
- 按F12键打开浏览器的开发者调试模式,进入network页签。重新单击该应用图标,查看网页请求中是否包含图下所示的请求。
- 如果看不到该请求,请更换PC尝试。
- 如果更换PC仍然看不到该请求,请联系技术支持人员。
5.1.4.2 Windows内置管理员机制导致权限过低
如果Windows开启内置管理员模式,用户执行某些应用可能由于权限过低而被拒绝。
查看Windows的事件日志。看相应时间段内是否存在内置管理员无法激活此应用的报错信息。如果存在,请启用内置管理员账户的管理员审批模式(具体操作请参见操作系统配套的说明书),并重启机器后再次尝试。
5.2.1 页面加载速度慢
登录运维审计系统的页面,页面能够加载成功,但是加载速度缓慢。
5.2.1.1 网络异常
网络质量差、安全设备过滤、证书等问题会导致此现象。
-
通过Ping命令,检测本地PC到运维审计系统之间的网络。可以指定Ping包的大小,来测试大包的响应。如果出现丢包率高、延迟率高等问题,则需要注意。
-
询问网络管理员或安全管理员,近期是否有网络变更或新增安全设备。
-
尝试安装运维审计系统的根证书,消除证书错误后再次访问,查看页面加载速度是否缓慢。
5.2.1.2 某个网页资源加载速度慢
网页通过加载资源来渲染页面,如果某个关键性的资源加载速度慢时,会导致整个页面加载慢。
-
尝试更换浏览器访问,查看加载速度是否有提升。
-
按下F12激活开发者调试工具,选择Network页签,再次访问之前访问慢的页面,在Network中查看关于该网页的请求、响应信息,查看哪个资源的加载最占用时间。
5.2.1.3 使用了非推荐的浏览器
访问运维审计系统的Web界面需要使用推荐的浏览器。
- IE 11.0及以上版本(不推荐)
- Firefox 50及以上版本
- Chrome 49及以上版本
- Safari。建议更新到最新版本。
5.2.1.4 运维审计系统内部服务问题
涉及到页面访问的服务有Nginx和Tomcat,当出现页面访问速度慢的情况时,可以查看这两个服务的日志文件。
请联系技术支持人员,收集Nginx和Tomcat日志,排查问题。
5.2.2 页面显示不正常
通过Web登录运维审计系统,页面加载不完整,或者显示不正常。
5.2.2.1 浏览器缓存问题
如果最近进行过升级,可能是因为浏览器中的css或者js有缓存导致的。
5.2.2.2 运维审计系统返回的资源文件有问题
排除缓存问题,可能是运维审计系统返回的资源文件有问题导致的。
开启浏览器的开发者模式(F12),检查console和network中是否有错误。
5.2.2.3 运维审计系统磁盘使用率达到100%
如果运维审计系统的磁盘使用率达到100%,会造成自身各种业务异常,其中就包括Web页面显示不正常。
请联系技术支持人员,清理空间达到100%分区下可清理的数据,并重启运维审计系统。
Note: 非单机部署模式下,需进入每个节点查看磁盘使用率,并在完成数据清理后重启当前节点。
5.2.3 页面出现圆形加载图标,提示“正在加载,请稍后”
5.2.3.1 Tomcat服务异常
圆形加载图标是Nginx服务展现的。当Nginx连接Tomcat服务异常时,会出现此图标。
-
在中查看Tomcat服务是否异常。
-
联系技术支持人员搜集Tomcat的日志信息,排查并解决问题。
5.2.4 在IE 6/7/8/9下无法登录运维审计系统
5.2.4.1 IE 6/7/8/9下的兼容性问题
单击,下载GoogleChromeframeStandaloneEnterprise进行安装。
5.2.5 通过SSL VPN或外链访问运维审计系统的Web时报404
通过SSL VPN访问,首次登录可以访问,关闭应用窗口,重新通过SSL VPN访问运维审计系统,报404。
外部链接引用了运维审计系统的IP地址,点击该外部链接,Web页面报404。
5.2.5.1 运维审计系统设置了Referer的白名单
为防止跨站请求伪造,运维审计系统设置了Referer的白名单,仅允许指定的白名单作为跳转来源。
-
通过在浏览器手动输入运维审计系统的地址进行访问,看是否正常。
-
联系技术支持人员,在SSL VPN或者外链请求时,搜集
Nginx服务日志(access.log),排查并解决问题。
5.2.6 系统状态无法获取备节点的信息
HA部署下,在主节点查看系统状态菜单。当点击备节点时,提示无法获取监控数据。
5.2.6.1 配置了API的ACL规则
HA的各节点之间是通过API请求来获取数据的。如果配置了API的ACL规则,该规则可能会限制各节点之前的API请求。因此,API的ACL规则需要放通运维审计系统各个节点的IP。
5.2.7 访问运维审计系统的Web界面,显示“403 Forbidden”
5.2.7.1 开启了Nginx的Host头保护后,没有加入允许的域名或IP地址
开启了Nginx的Host头保护后,Nginx会对请求URL的主机名字段进行验证。管理员需要添加允许访问的域名或IP地址,否则会返回403报错。
进入运维审计系统的Console控制台菜单,查看是否启用。如果启用,请参考《Web配置指导》手册中Console控制台章节下的配置Host头防护(Nginx
Management),正确添加域名或IP地址。
5.2.8 HA部署下,每次进入系统设置页面,都会加载很长时间
HA部署模式,每次单击右上角用户名进入系统设置时,会加载很长时间。加载好后,再进入系统设置的其他页面就很快。
5.2.8.1 Common服务内存不足
HA部署模式,Common服务默认分配1G的内存,单个日期文件夹下的文件数量如果在250万以下,不会影响到文件同步。超过300万之后,会导致Common内存不足。
联系新华三技术支持,查看是否存在“单个日期文件夹下的文件数量大于300万”。如果存在,请调整Common内存。
5.3.1 错误的账号名或密码
登录运维审计系统的Web界面时,提示用户名或者密码错误。
5.3.1.1 用户不存在
输入的用户名错误,系统中不存在。
-
检查输入的用户名是否正确,管理员可以在中查看系统中全部用户。
-
输入正确的用户名或者向管理员申请创建新用户。
-
如果使用了第三方身份验证,请检查LDAP、AD或Radius等第三方认证服务器上是否存在对应的账号。
-
请检查输入的密码是否正确。
-
如果使用了第三方身份验证,可以检查LDAP、AD或Radius上的相关日志。
-
如果忘记密码,管理员可以在中重置该账号的密码。
-
如果超级管理员遗忘密码,可以尝试使用其他超级管理员账号在Web界面中重置。
-
如果只有一个超级管理员账号,可以在Console控制台菜单的R.Reset admin中重置。
5.3.1.3 无法连接第三方身份验证系统
使用LDAP、AD或者Radius身份验证时,系统无法连接身份验证服务器。
这种场景下,为了安全,系统不会明确提示是否是第三方身份验证系统故障。
-
管理员可以在中找到对应的身份验证方式并进行登录测试。
-
管理员也可以在中使用ping和telnet工具检查系统到身份验证服务器的连接。
-
如果管理员也无法登录时,可以在Console控制台菜单的R.Reset
admin中重置管理员密码,重置后管理员的身份验证方式将被修改为本地密码验证。
-
复杂多机部署时,需要确保所有节点均和身份验证系统的通讯正常。
-
如果故障和网络无关,请检查第三方身份验证系统本身的可用性。
5.3.1.4 一次性口令已经被使用过
使用手机令牌认证、TOTP认证或者短信认证时,每个一次性口令只能使用一次。
5.3.1.5 时间不同步
使用手机令牌认证或TOTP认证时,系统与手机或者令牌的时钟不同步。
-
管理员可以在中检查系统时间是否正确,如果不正确可以进行调整后再次尝试登录。
-
对于通过手机令牌认证的用户,需要检查手机的时间是否正确,可以调整后再次尝试登录。
-
对于TOTP令牌认证的用户,可以尝试在中同步。如果同步后依然无法使用,请考虑更换令牌。
5.3.1.6 设置了下次登录重新绑定
使用手机令牌认证,如果通过SSH和RDP方式登录将提示密码错误,因为只支持在Web页面进行绑定操作。
5.3.2 用户状态异常
通过Web或者RDP方式登录运维审计系统时,显示用户状态异常。
5.3.2.1 用户账号被禁用
管理员禁用了用户账号。
管理员可以在中通过筛选查看已禁用用户,并取消禁用状态。
5.3.2.2 用户账号过期
用户账号超过了管理员设定的有效期。
管理员可以在中通过筛选查看已过期用户,并重新修改有效期。
5.3.3 禁止登录
通过Web或者RDP登录运维审计系统时显示禁止登录,通过SSH登录运维审计系统时,显示认证失败。
5.3.3.1 来源IP或者登录时间不符合管理员设置的规则
-
使用超级管理员身份登录运维审计系统的Web界面,在查看是否设置了全局登录控制规则。
-
使用配置管理员身份登录运维审计系统的Web界面,在中单击该用户对应的编辑,在高级属性中检查用户登录控制相关的设置。
5.3.4 禁止访问,返回或联系系统管理员
非超级管理员身份的用户登录后,显示禁止访问,返回或联系系统管理员。
5.3.5 用户已经在x.x.x.x登录
管理员设置了同一用户账号同时只允许从一个IP地址访问。
-
根据提示IP,在已登录的设备上注销所有会话,包括Web、SSH和RDP会话。
-
等待已登录的Web会话自动超时退出。
-
管理员可以在中禁用同一用户账号同时只允许从一个IP地址访问。
-
管理员可以在中设置WEB超时时间,并且设置会话切断策略为切断,使得从Web页面启动的SSH或RDP会话超时后自动断开。
5.3.6 登录很慢
登录过程缓慢,输入用户名和密码后需要很久才能加载,或者加载不了。
5.3.6.1 网络延迟高
-
使用ping检查客户端到服务器之间的网络延迟。
-
在IE或者Chrome中可以按F12键打开开发者模式,重新访问一次,在network中检查页面资源的加载速度。
5.3.6.2 系统负载高
-
管理员在中查看当前系统负载。
-
如果系统负载高,请进一步排查系统负载高的原因。
可能的原因包括并发会话数高,并发登录用户多等等。
5.3.6.3 第三方身份验证系统响应慢
使用LDAP、AD或者Radius身份验证的用户登录慢可能是因为身份验证服务器响应慢。
-
管理员在中找到对应的身份验证方式并进行登录测试。
-
管理员在中使用ping工具检查系统到身份验证服务器的延迟。
5.3.6.4 SMTP服务器故障
配置了身份验证E-mail告警,但用于发送邮件的SMTP邮件服务器故障,导致登录缓慢。
-
管理员在中检查是否启用了通知邮件事件来源中的身份验证。如果启用了,取消设置即可。
-
管理员在中单击测试检查邮件服务器。
5.3.7 账号被锁定,请xx秒后重试
5.3.7.1 同一个客户端的登录错误次数过多
同一个客户端的登录错误次数过多,超过密码错误锁定次数后,将导致该IP被锁定。
-
请排查本机是否登录错误次数过多。
-
请查看本机到堡垒机的网络,是否有过源地址NAT。如果同一个NAT出口的IP被大多数内网PC使用,在内网中某台PC经常输错密码的情况下,堡垒机对于该NAT出口IP很容易达到客户端锁定次数。
5.3.8 登录控制规则不符合预期
5.3.8.1 为用户配置了动作为允许的规则,但当该用户登录条件不匹配允许时,仍然能够登录
例如下图中,用户希望1.1.1.1的IP能够登录,其他IP不能够登录。但是实际该账号使用任何IP都可以登录。
产品设计就是这样。登录控制规则有以下两个前提条件:
- 如果为用户配置了登录控制,则该用户登录只匹配用户处配置的登录控制规则,不匹配全局的登录控制规则。
- 用户处的登录控制有个最终匹配规则是默认允许。
因此,按照此逻辑,如果用户处配置一条动作为允许,则不管是否配置了时间、IP地址、MAC地址、条件等,此用户所有登录条件均允许。(因为本条允许规则和最终的全局规则都是允许。)
5.3.9 X.509证书认证失败
登录运维审计系统的Web界面时,显示X.509证书认证失败。
5.3.9.1 安装证书时存储位置选择错误
PC端安装证书时存储位置选择错误。
-
PC端安装中间证书或用户证书时,在证书导入向导页面,存储位置应选择为当前用户。
-
在选择证书存储位置页面。中间证书应选择中间证书颁发机构,用户证书应选择个人。
5.3.9.2 Web登录页面未对弹出的证书进行确认
进入Web登录页面时未弹出证书确认选择框或用户未对弹出的证书进行确认。
进入运维审计系统的Web登录页面检查浏览器。确定是否弹出选择证书的对话框,并同意了该对话框。
用户信息匹配规则*配置错误
X.509证书认证中配置的用户信息匹配规则*错误。
管理员可以在页面检查是否正确配置了用户信息匹配规则*。
5.3.9.3 根证书与用户证书不匹配
制作的用户证书与与X.509根证书不匹配。
联系X.509证书管理员检查根证书与用户证书是否匹配。
5.3.10 LDAP账号定期同步失败
中,LDAP账号同步失败,显示账号不允许包含中文字符和空格,加号(+),冒号(:),斜杠(/)。
Note: 仅支持从通用LDAP服务器中同步账号失败的排查;服务器类型为微软AD,不适用于此排查方法。
LDAP服务器中账号存在字母+空格的格式,由于运维审计系统不允许用户账号中存在空格,导致同步失败。
此时,查看LDAP服务器中账号的其他属性,如用户配置了mail字段,并且已添加mail信息符合运维审计系统账号名的要求,可折中使用mail替代账号名进行登录。
-
管理员在中,将ldap用户属性关系*的账号属性修改为mail。
-
再次执行同步操作。
-
同步账号成功后,需要在中,单击该条认证记录对应的编辑,在弹出的对话框中将用户名属性*修改为mail,才能认证成功。
5.4.1 连接被拒绝或者失败
- 通过putty建立字符会话,显示Network error:connection refused。
- 通过Xshell建立字符会话,显示Could not connect to 'x.x.x.x' (port 22): Connection
failed。
- MacOS下通过Terminal建立字符会话,显示connect to host x.x.x.x port 22: Connection
refused。
5.4.1.1 客户端到运维审计系统端口不通
该错误表示,客户端无法建立到运维审计系统的SSH连接。
-
在客户端处ping运维审计系统的IP地址,检查网络是否连通。
-
检查客户端到运维审计系统之间的防火墙设置是否允许22端口访问。
Note: 如果在中修改了运维审计系统的字符访问端口,请检查相应的端口是否连通。
-
检查运维审计系统的网络是否正常。
5.4.1.2 运维审计系统上字符服务异常
运维审计系统未监听22端口也会导致连接被拒绝或访问失败。
请联系技术支持人员采集字符访问相关服务的日志信息,排查并解决问题。
5.4.2 Connection error to x.x.x.x:22
在进行字符访问或者登录测试时显示Connection error to x.x.x.x:22。
5.4.2.1 端口不通
该错误表明运维审计系统无法建立到目标资产的TCP连接,通常是SSH或者Telnet端口不通导致的。
-
检查目标资产是否开启了相应的端口,通常在Linux上执行netstat -ntl可以查看端口的监听情况。
-
检查运维审计系统到目标资产的网络是否连通。配置管理员在中单击目标资产对应的编辑,在基本属性中通过ping检查网络连接情况。如果无法ping通,请检查路由和防火墙设置。
-
检查系统到目标资产的SSH或者Telnet端口是否连通。配置管理员在中单击目标资产对应的编辑,在访问协议中编辑对应的协议,在高级中通过连通检测可以检查端口是否开放。如果端口关闭,请检查路由或者防火墙设置。
5.4.2.2 目标资产禁止访问
目标资产可能通过TCP Wrappers技术限制了只允许特定的来源IP访问SSH或者Telnet服务。
-
检查目标资产的系统日志中是否有拒绝连接的日志。一般在Linux的/var/log/secure中有refused
connect from提示信息。
-
检查目标资产的/etc/hosts.allow和/etc/hosts.deny设置,并修改为允许运维审计系统访问。
5.4.2.3 SSH连接建立失败
用户环境中可能存在安全设备,阻止了运维审计系统到目标资产的SSH连接建立。此时通过Telnet协议可以连接,但SSH协议无法正常连接。
5.4.2.4 算法协商存在问题
SSH会话的建立需要客户端和服务器端协商出多套算法,例如:DH算法、mac算法。当协商算法失败或协商出的算法但无法使用时,SSH会话将建立失败。
请联系技术支持人员,搜集SSH会话连接过程的日志信息,排查并解决问题。
5.4.3 Invalid password for xxxx@x.x.x.x:xx.
在进行字符访问或者登录测试时,显示Invalid password for xxxx@x.x.x.x:xx.。
这是一个非常普遍的错误,导致该错误的原因很多,不一定是用户名或者密码错误导致的。该错误发生在建立TCP连接后,认证成功前。
5.4.3.1 目标资产用户名或者密码错误
检查目标资产的用户名和密码是否正确,配置管理员可以在资产中更新目标资产的密码。
5.4.3.2 运维审计系统不支持该资产的自动登录
运维审计系统内置类常见设备的提示符,比如$、#、>
等,如果目标资产登录后提示符比较特殊可能导致这种问题。
-
尝试使用Xshell或者putty直接访问目标资产,观察登录过程是否有特殊提示符。比如用户名提示、登录密码提示、登录提示、登录后的banner等等。
-
如果登录过程存在特殊提示符,请将登录过程记录下来,并发送给技术人员处理。
5.4.3.3 端口配置错误
运维审计系统中目标资产的ssh协议端口号配置错误。
-
检查目标资产在运维审计系统中设置的协议端口是否正确。
-
尝试使用运维审计系统设置的端口直接连接目标资产,查看是否能成功登录。
5.4.3.4 特权账号不允许直接登录
目标资产的特权账号不允许直接登录。
-
检查普通账号是否可以登录成功。
-
在运维审计系统中为特权账号设置切换自。
5.4.3.5 密钥交换失败
目标资产的密钥交换算法有问题,和运维审计系统进行密钥交换时失败。
请联系技术支持人员,搜集text服务的日志信息,排查并解决问题。
5.4.4 Failed to connect to xxx
字符访问或者登录测试时显示Failed
to connect to
xxx。
5.4.4.1 账号切换登录失败
该错误只发生在配置了切换自账号的登录过程中。
-
目标资产的大类不支持账号切换自。
目前运维审计系统仅支持对主机和网络设备配置账号切换自账号。
-
账号切换过程,输入密码时,目标资产明文显示了密码。
此时运维审计系统会认为密码提示符错误。请检查选择的设备类型是否正确。如果设备类型正确,请确认账号切换命令,并反馈给技术人员。
-
用户名或者密码错误。
账号切换过程代填密码后,目标设备再次返回用户名提示或者密码提示,通常意味着用户名或者密码错误。
-
其它非预期的情况导致登录失败。例如:向目标资产发送字符时,目标资产连接突然中断。
5.4.5 unexpected argument "root@ip"
使用Putty访问资产时,出现报错unexpected argument "root@10.2.3.4"。
5.4.5.1 访问的资产禁止root用户远程登录
联系管理员,开放root用户远程登录或者使用其他用户登录。
5.4.5.2 客户端关联错误
字符会话的访问方式为scrt,但字符会话关联的应用却是putty。
-
将字符会话的访问方式修改为putty。
-
参考客户端关联错误,重新关联正确的客户端。
5.4.6 身份验证被拒绝或失败
访问目标资产,自动或手动输入密码后,收到以下提示,连接失败:
- 通过putty建立字符会话,显示Access denied。
- 通过Xshell建立字符会话,反复要求输入密码,多次输入失败后,提示Too many authentication
failures。
- MacOS下通过Terminal建立字符会话,显示Permission denied, please try again。
5.4.6.2 SSH协议协商失败
请联系技术支持人员,在运维审计系统侧抓取登录测试过程中的SSH报文信息,在目标资产侧开启sshd的debug模式,搜集日志,排查并解决问题。
5.4.6.3 配置了端口映射,但字符服务端口映射配置错误
具体有以下几种可能。其中映射前的端口正常情况下即为
运维审计系统实际的端口。
-
检查是否映射了字符服务端口。如未映射则添加映射。
-
检查映射配置中映射前的端口、映射后的端口,以及运维审计系统的字符审计端口,这三者是否一致。如不一致则全部修改为一致。
Note: 运维审计系统的字符审计端口,请在界面,查看字符服务端口。
5.4.7 登录目标资产很慢
通过运维审计系统访问目标资产每次都需要等待30s以上。
5.4.7.1 目标资产启用了sshd的UseDNS选项
如果目标资产的sshd启用了UseDNS选项,运维审计系统登录时,目标资产会反向解析来源IP的主机名,如果DNS中没有正确配置主机名,将导致sshd需要等待解析失败后才开始接受登录请求。
-
将目标资产/etc/ssh/sshd_config配置文件中的UseDNS取消注释并设置为
no
。
-
重启目标资产的sshd服务。
可以通过ps命令查找sshd的pid,然后执行kill -HUP
<pid>,使配置生效。
5.4.7.2 运维审计系统到目标资产的网络质量差
少数情况下如果运维审计系统到目标资产的网络延迟高或者丢包率高也会导致登录慢。
检查系统到目标资产的网络是否连通。配置管理员可以在中,单击目标资产对应的编辑,在基本属性中通过ping检查网络连接情况。
5.4.8 命令识别错误
5.4.8.1 兼容性问题
如果审计中记录的命令和用户实际输入的命令不一致,通常是因为运维审计系统没有兼容特定的输入场景。
-
记录客户端软件类型和选择的终端类型。
可以在目标资产上执行echo $TERM命令查看终端类型。
-
记录目标资产的资产类型和shell类型。
可以通过echo $0命令查看当前使用的shell类型。
-
记录具体的操作过程,将上述信息提供给技术支持人员,排查并解决问题。
5.4.8.2 连续粘贴命令,导致审计记录不全
默认情况下运维审计系统优先保障普通用户的输入速度,对大量粘贴命令的场景可能存在命令记录不全的情况。
5.4.9 乱码
5.4.9.1 客户端编码和运维审计系统全局编码不一致
运维审计系统的默认编码为GB18030,客户端编码应该和该编码一致。
-
会话访问用户检查当前客户端的终端编码类型是否正确。
-
超级管理员在中查看运维审计系统的编码设置。
5.4.9.2 目标资产在运维审计系统中的编码参数和最终设备的不一致
-
在目标资产上执行echo
$LANG命令查看目标资产的编码设置。
-
配置管理员在运维审计系统的中,单击目标资产对应的编辑,查看资产的系统编码。
5.4.10 已连接的会话中断
5.4.10.1 网络中断
客户端到运维审计系统,或者运维审计系统到目标资产的网络中断。
-
可以在客户端尝试再次连接运维审计系统的22端口,检查是否能连接上,如果不能,说明客户端到运维审计系统的网络中断。
-
管理员可以在运维审计系统的中对目标资产进行ping和端口的连通检查。
5.4.10.2 [TERM] Session will be killed because of this command:
会话断开时显示[TERM]
Session will be killed because of this
command:。
会话访问用户执行了管理员禁止执行的命令,会话被中断。
5.4.10.3 Waiting input timeout.
会话断开时显示Waiting
input
timeout.。
会话输入超时,管理员可以在中查看配置的字符会话输入超时时间。
5.4.10.4 Max session duration exceeded.
会话断开时显示Max
session duration
exceeded.,说明会话超出了最大持续时间。
-
管理员可以在中查看配置的最大持续时间。
-
操作员可以在中查看配置的最大持续时间。
5.4.10.5 Connection closed for
Web会话超,关联的字符会话被切断。
5.4.11 云平台下字符会话连接失败
访问部署在云环境下的运维审计系统,字符会话端口连接失败。
5.4.12 使用IP地址访问资产正常,但使用域名访问失败
管理员将资产的地址配置为IP格式时,可以正常访问资产,但将地址配置为域名格式时,访问资产时连接失败。
5.4.12.1 运维审计系统未配置DNS或DNS配置不正确
运维审计系统必须配置了能够解析该域名的DNS,成功解析该域名,才能通过域名格式的地址来访问资产。
-
在中,检查是否配置了DNS。如未配置DNS,则配置能够解析该地址的DNS。
-
检查是否能ping通资产的域名地址。
可以使用以下两种方式之一进行检查:
- 编辑资产时,单击资产IP对应的ping。
- 在中,使用ping功能。
Note: 资产界面的ping功能,不支持IPv6域名。如为IPv6域名,必须使用问题诊断界面的ping功能,例如输入-6
test.example.com。
-
如ping不通域名地址,请在已配置的DNS服务器上,检查是否配置了对该域名的解析;或尝试使用其他DNS服务器。
5.4.13 批量启动会话后无反应
通过运维审计系统单独访问资产时能够正常访问,但批量启动会话时,单击启动后没有任何反应。
5.4.13.1 配置了端口映射,但映射前后的Web服务端口不一致
管理员为运维审计系统配置了IP地址转发和端口映射,对Web服务端口(443/tcp)和字符/图形访问端口(22/tcp、3389/tcp)、客户端回放端口(5899/tcp)做了映射。这些端口映射前后都必须一致。
如果Web服务端口映射前后不一致,例如映射前为443/tcp,映射后为8443/tcp。用户通过映射后的IP地址和端口(8443/tcp)访问Web界面并启动会话时,虽然单独访问时能正常访问,但批量启动时,浏览器会将映射后的IP和映射前的端口(443/tcp)发送给AccessClient并启动会话,导致访问失败。
-
确认用户是否通过映射后的地址和端口访问运维审计系统的Web界面。否则排查其他原因。
-
收集AccessClient日志,查看日志中报错的请求地址。
Note: 本例中,用户实际需通过10.10.33.130:8443来访问运维审计系统的Web界面(实际IP为10.10.33.37:443)。而日志截图中,连接的是10.10.33.130:443,因此启动会话会失败。
-
检查映射配置中映射前的Web端口、映射后的Web端口,以及运维审计系统的Web服务端口,这三者是否一致。如不一致则全部修改为一致。
Note: 运维审计系统的Web服务端口,请在界面,查看Web服务端口。
5.4.14 访问华三Comware资产时产生报错
通过SSH访问华三Comware资产时,产生报错“Invalid password for xxx”。
5.4.14.1 DSA算法不一致导致登录失败
Comware资产升级后DSA算法默认使用2048位,而OpenSSH主机密钥DSA算法只支持1024位。
需要在Comware资产上修改DSA算法为1024位。
-
执行命令system-view,进入系统视图。
-
执行命令public-key local create dsa,生成DSA密钥对。
[device] public-key local create dsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 2048]:1024 // 输入1024
Generating keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+..+................
.......+..........+..............+.............+...+.....+...............+..+...
...+.................+..........+...+....+.......+.....+............+.........+.
........................+........+..........+..............+.....+...+..........
.............+.........+..........+...........+........+....+..................
.....+++++++++++++++++++++++++++++++++++++++++++++++++++
5.5.1 访问看不到资产
5.5.1.1 没有配置访问权限
配置管理员可以在处过滤该操作员,查看是否有相应权限。
5.5.1.2 变更单或者工单超出时间范围
-
在变更单权限下,配置管理员可以在中查看相应变更单时间范围,确认没有超出时间范围。
-
在工单权限下,配置管理员可以在中查看相应工单的时间范围,确认没有超出时间范围。
-
配置管理员可以在处过滤该操作员,查看是否有相应权限。
5.5.1.3 变更单被禁用
-
配置管理员可以在处过滤该操作员,查看是否存在被禁用的变更单。
-
配置管理员可以在中,筛选状态为禁用的变更单进行查看。
5.5.1.4 规则模板开启禁用
-
在动态权限下,配置管理员可以在处查看相应权限的规则模板的控制策略是否为禁止访问。
-
在变更单权限下,配置管理员可以在中找到相应权限,查看变更单中的规则模板的控制策略是否为禁止访问。
-
在工单权限下,所有的工单的规则模板都是缺省的模板。
5.5.1.5 规则模板开启时间范围或IP范围
配置管理员可以在处,单击相应规则的规则管理,查看时间范围和IP范围。
5.5.1.6 资产没有协议,或者协议被禁用
配置管理员可以在页面,编辑相应资产,进入访问协议页面,查看是否不存在协议,或者协议被禁用。
5.5.2 访问资产时,出现“操作失败”提示
访问资产,出现操作失败”,具体内容为:失败:
无权访问资产。请从以下四个方面确认。
- 访问规则是否配置。
- 登录模板的时间和IP范围是否允许。
- 是否存在异常的会话复核。
- 当前用户状态是否异常。
5.5.2.1 访问权限已去除资产,但是访问资产页面未及时刷新
5.5.2.2 访问权限已去除该资产的账号,但是快捷登录中仍然使用该账号登录
使用非快捷登录方式,查看访问的登录选项,是否已经排除了之前的账号。
5.5.2.3 访问存在会话复核时,唯一的复核人被禁用或者被删除
配置管理员进入页面,查看相应会话中的复核人是否被禁用或者删除。
5.5.2.4 用户状态被禁用或密码、账号过期
超级管理员进入页面,通过筛选角色的属性来过滤出禁用、密码过期、账号过期的账号。
5.5.3 上传变更单,出现资产名/用户名不存在
上传变更单时,显示登录名为xxx的用户不存在的错误提示。
5.5.3.1 系统不存在相应的用户或资产
超级管理员进入用户、资产界面,查看相应用户、资产是否存在。
5.5.3.2 运维审计系统无法识别特殊的Excel换行符
一个单元格中包含多行数据时,如果换行符比较特殊,运维审计系统将无法识别该单元格中的数据,从而判断用户、资产不存在。
- 尝试将单元格的多行数据变为单行数据,查看是否正常。
- 不要使用整个单元格复制,进入单元格中,只复制其中的数据,查看是否正常。
5.5.4 访问看不到字符资产的SFTP服务
访问时,能够看到字符资产以及该资产下的SSH服务,但是看不到SFTP服务。
5.5.4.1 访问权限中关联的账号没有托管密码
登录目标资产的SFTP服务,必须以预配置账号、密码的方式。如果访问权限中关联的账号没有托管密码,则SFTP服务无法使用。
查询相关权限中关联的系统账号,并到资产配置中查看相应账号是否托管了密码。
5.5.4.2 该字符资产没有sftp协议的访问权限
动态权限、变更单和工单中,均未给该资产配置sftp协议的访问权限。
超级管理员或配置管理员在中选中该资产,查看其权限在协议列是否存在sftp。
5.5.5 权限刷新不一致或访问资产失败
集群环境下,添加权限之后,刷新访问资产页面,资产时有时无。
通过Web方式登录字符设备失败,提示Access
denied。
5.5.5.1 Tomcat服务异常,导致权限更新失败
Tomcat可能会因为某些作业导致自身的OOM,此时权限加载是异常的。
联系技术支持人员,搜集Tomcat服务的日志信息,排查并解决问题。
5.5.5.2 Rabbitmq服务异常,导致权限通知失败
Rabbitmq作为消息中间件,桥接了运维审计系统的各个模块,当Rabbitmq服务不正常时,运维审计系统的很多功能将无法使用。
联系技术支持人员,查看Rabbitmq服务的状态是否正常,同时搜集Rabbitmq服务的日志信息,排查并解决问题。
5.5.6 访问C/S资产时产生报错
本地PC访问C/S资产时产生报错“远程会话已断开连接,因为访问被拒绝导致许可证存储的创建失败,请使用提升的权限运行远程桌面客户端”。
5.5.6.1 程序权限设置问题
- 在本地PC中运行regedit,打开注册表编辑器。
- 检查“MSLicensing”注册表项。
- 选择,右键单击权限。
如果没有“MSLicensing”注册表项,请先新建。
- 检查是否给予“ALL APPLICATION
PACKAGES”读取权限;如果没有请依次单击添加、高级、依次查找,添加权限。
- 单击上图中的高级,检查所有者是否为当前登录用户。如果不是,请单击更改修改所有者。
- 检查是否已经启用继承(上图中为关闭继承状态),如果没有启用请单击启用继承。
- 注册表修改后,请检查问题是否解决。如果没有解决,请继续以下步骤。
- 检查采用非Remoteapp方式访问C/S资产是否正常。如果使用非Remoteapp方式访问正常,但是Remoteapp方式存在问题,请参考以下步骤调整RDCShell的权限。
- 选择RDCShell.exe(默认安装路径为C:\Program Files
(x86)\H3C\AccessClient),右键单击属性。
- 选择兼容性页签,单击更改所有用户的设置。
- 选择以管理员身份运行此程序,单击确定。
- 选择安全页签,单击编辑给“ALL APPLICATION
PACKAGES”授权(如下图所示)。
- 单击确定。
5.5.7 文件大小超过规则模板阈值而传输失败
在Web界面中,传输文件失败,提示:文件大小超过规则模板限制x。x表示文件传输阈值。
5.5.7.1 传输的文件大小超过规则模板中设置的阈值,导致传输失败
检查阈值设置是否合理,如果不合理,请按以下操作修改。
-
在界面,单击规则对应的编辑。
-
修改上传/下载单文件限制的阈值,单击保存。
5.6.1 命令权限不生效
5.6.1.1 设备类型选错
不同的设备类型有不同的特征值进行匹配,当选择错误设备类型时,会出现命令权限不生效的情况。
查看并更正目标设备的设备类型。思科设备请使用Cisco IOS;华为设备请使用Huawei
Quidway;华三设备请使用H3C Comware。
5.6.1.3 命令权限的匹配顺序不正确
命令权限中的多条规则按照从上至下、从高到低的优先级进行匹配,并且只执行匹配的第一个规则的动作。
5.6.1.4 命令权限的生效时间不匹配
如果命令权限中有配置生效时间,需要保证是在生效时间段内操作。
使用超级/配置管理员进入,编辑相应的高危命令,查看生效时间范围。
5.6.1.5 运维审计系统内部服务异常
如果运维审计系统内部服务异常,也会导致命令识别错误。
请联系技术支持人员搜集text服务的日志信息,排查并解决问题。
5.7.1 登录测试时,显示“安全设置错误,无法连接到远程计算机”
在登录时,出现
由于安全设置错误,客户端无法连接到远程计算机的错误提示。
5.7.1.1 客户端PC的安全设置问题
- 在用户本地的客户端Windows
PC中,单击开始菜单,选择运行,或直接按win+R键打开运行。
- 输入gpedit.msc,并按回车,打开本地组策略编辑器。
- 在中,禁用系统加密:将FIPS兼容算法用于加密、哈希和签名选项,并再次执行登录测试。
5.7.2 提示“远程桌面由于以下原因之一无法连接到远程计算机”
启动RDP会话时出现了以下错误:
这种情况是由于用户本地PC和
运维审计系统之间的网络不通或图形服务(RDP)端口不通。
出现这种情况,请先排查无法访问运维审计系统的对外服务。如仍不能解决请排查以下原因。
5.7.2.1 配置了端口映射,但图形服务(RDP)端口映射配置错误
具体有以下几种可能。其中映射前的端口正常情况下即为运维审计系统实际的端口。
这几种情况下,从Web界面使用Web方式启动RDP会话时都能正常访问。
-
检查是否映射了RDP端口。如未映射则添加映射。
-
检查映射配置中映射前的端口、映射后的端口,以及运维审计系统的RDP端口,这三者是否一致。如不一致则全部修改为一致。
Note: 运维审计系统的RDP端口,请在界面,查看图形服务(RDP)端口。
5.7.3 The error code from connect is PREECONNECTERROR
mstsc窗口中有红色字体报错:The error code from connect is PREECONNECTERROR。
5.7.3.1 准备会话信息时出错
这个错误发生在运维审计系统准备连接目标资产所需的IP地址、端口、应用发布程序信息和代填信息、账号和密码时发生了错误,通常意味着运维审计系统存在配置错误。
-
如果启动的是应用发布会话,请检查运维审计系统和应用发布服务器之间的账号同步是否正常。
-
运维审计系统是通过rabbitmq向webapp请求会话信息,请在中检查rabbitmq和webapp状态是否正常。
5.7.3.2 使用any或者未托管密码的账号访问了要求NLA认证的目标资产
如果目标资产要求NLA认证,运维审计系统需要先发送正确的用户名和密码才能建立RDP会话。
-
使用托管了正确密码的账号访问目标资产。
-
使用any账号访问时勾选输入账号密码参数,输入用户名和密码后单击确定访问目标资产。
-
如果无法托管密码,可以尝试关闭目标资产的NLA。以Windows
2008为例,右击计算机,然后依次单击,在远程设置中选择允许运行任意版本远程桌面的计算机连接(较不安全)。
-
如果远程设置中已经是正确的设置,请检查组策略设置。在目标资产的运行中输入
gpedit.msc
,打开本地组策略编辑器,单击确保要求使用网络级别的身份验证对远程连接的用户进行身份验证设置为未配置。
5.7.3.3 目标设备要求FIPS
检查是否开启FIPS,如果已经开启请关闭FIPS。
-
对于Windows Server 2008可以在中右击,将加密级别设置为。
-
对于Windows Server 2012/2016可以在中将设置为已禁用。
5.7.4 Error in TLS handshake
mstsc窗口中有红色字体报错:Error
in TLS
handshake。
5.7.4.1 TLS握手失败
运维审计系统和目标资产进行TLS握手时失败。
尝试使用RDP安全层方式连接,您可以在目标资产的中执行gpedit.msc
,在中将安全层设置为RDP。
5.7.5 连接突然中断
RDP会话突然中断,远程桌面客户端提示:您的远程桌面会话已结束。
5.7.5.1 运维审计系统到目标设备的连接中断
-
检查是否有其他人在目标资产的任务管理器中将您的会话断开或者注销。
-
检查是否存在网络中断。
5.7.5.3 标题栏识别导致会话中断
运维审计系统中如果开启了标题栏识别,将有一定的几率导致会话中断。
超级管理员可以在中检查是否启用了按标题切片,如果启用了可以尝试关闭。
5.7.5.4 Toad、PL/SQL或者UltraEdit等工具中特殊字体导致会话中断
使用Toad、PL/SQL或者UltraEdit等工具时有一定几率导致会话中断。
5.7.5.5 其他异常问题
请联系技术支持人员,搜集相关会话的日志信息,排查并解决问题。
5.7.6 Authentication error check you password and username
RDP访问时显示Authentication
error check you password and
username。
5.7.6.1 运维审计系统中托管的目标资产的用户名或者密码错误
如果运维审计系统连接目标资产时采用了NLA认证,一旦运维审计系统中托管目标资产的用户名或者密码不正确,就会产生这种错误。NLA认证是在获取图形画面之前就完成了身份验证。
5.7.7 Insufficent privileges on target server
访问时显示Insufficent
privileges on target
server。
5.7.7.1 登录目标资产所使用的账号无权远程访问
在Windows中通常administrators组的用户自动获得远程访问的权限,其它组的用户需要加入Remote
Desktop
Users组才能RDP远程访问。
尝试将登录所使用的用户添加到Remote
Desktop
Users组。
5.7.8 the error code from connect
is
UNDEFINEDCONNECTERROR
连接时显示以下错误:
connecting to server ...
the error code from connect is UNDEFINEDCONNECTERROR
freerdp_connect failed to destination x.x.x.x:3389
5.7.8.1 运维审计系统无法连接目标资产的3389端口
- 请检查运维审计系统是否能ping通目标资产。
- 请检查运维审计系统是否能访问目标资产的RDP端口。
- 请检查目标资产是否开放了RDP端口。
- 请检查目标资产在运维审计系统的RDP端口配置是否正确。
5.7.8.2 目标设备远程桌面授权错误
- 检查 rlg 日志中是否出现 license connection sequence aborted. 提示。
- 检查任务管理器中的会话连接数。
- 检查目标资产的事件日志中是否有远程桌面终端相关的异常错误。
- 进入RD授权诊断程序,查看是否有远程桌面会话主机服务器许可证的报错。
5.7.8.3 目标资产启用了FIPS或者SSL加密算法不支持
运维审计系统不支持高级别的FIPS和SSL1.2,如果目标设备设置了相关的策略强制使用不支持的算法将导致此问题。
- 在目标资产的中,鼠标右击RDP-tcp,然后单击属性,在常规中尝试将安全层修改为RDP。
- 在目标资产的中,鼠标右击RDP-tcp,然后单击属性,在常规中尝试将加密级别修改为高。
- 您也可以在组策略中调整相关配置,在目标资产的运行中输入
gpedit.msc
打开本地组策略编辑器,在中,查找相关设置项目。
5.7.8.4 使用any或者未托管密码的账号访问了要求NLA认证的目标资产
如果目标资产要求NLA认证,运维审计系统需要先发送正确的用户名和密码才能建立RDP会话。
- 使用托管了正确密码的账号访问目标资产。
- 使用any账号访问时勾选输入账号密码参数,输入用户名和密码后单击确定访问目标资产。
- 如果无法托管密码,可以尝试关闭目标资产的NLA。以Windows
2008为例,鼠标右击计算机,然后依次单击,在远程设置中选择允许运行任意版本远程桌面的计算机连接(较不安全)。
- 也可以在远程桌面会话主机配置中关闭NLA。路径为。
- 如果远程设置中已经是正确的设置,请检查组策略设置。在目标资产的运行中输入
gpedit.msc
打开本地组策略编辑器,单击,确保要求使用网络级别的身份验证对远程连接的用户进行身份验证设置为已禁用。
5.7.9 RDP会话建立失败,显示“recv
msg ISO_PDU_CC … failed!”
5.7.9.1 安全设备拦截
-
询问网络管理员或安全管理员,近期是否有网络变更或新增安全设备。
-
切换网络或者直连运维审计系统进行测试,看能否复现问题。
-
复现问题后,在客户端、运维审计系统和目标资产处分别抓包,将抓包结果交给技术人员分析。
5.7.10 Failed to read fork-data from xxx-backend
访问时显示Failed to read fork-data from xxx-backend。
5.7.10.1 从Webapp获取会话启动参数失败
这个错误意味着图形模块尝试从Webapp获取访问目标资产所必须的IP地址、账号和密码等参数时失败。
-
超级管理员在中检查Tomcat、Rabbitmq和Redis服务状态是否正常。
-
复现问题。
-
联系技术支持人员获取webapp、gui和xrdp的日志信息,排查并解决问题。
5.7.11 出现卡顿现象
5.7.11.1 目标资产网络异常中断
如果出现卡顿后,单击鼠标和键盘一直无影响,等待2分钟后会话自动断开,说明运维审计系统到目标资产的网络异常中断,之所以会话没有立即断开是因为对于网络异常中断的RDP会话,运维审计系统需要等待超时。
-
检查目标资产是否存在异常的关机。
-
检查运维审计系统到目标资产的网络是否存在异常。
5.7.11.2 网络带宽过小
如果客户端到运维审计系统或者运维审计系统到目标资产的网络带宽过小也会导致卡顿现象,特别是屏幕内容变化比较大的时候。
-
检查网络带宽,尝试升级。
-
尝试使用较小的分辨率访问,避免刷屏。
-
检查是否有其他用户刷屏,占用带宽。
5.7.11.3 运维审计系统负载高
检查运维审计系统的负载。超级管理员用户可以在中查看当前系统负载。
5.7.12 无法使用剪切板或者磁盘映射
RDP访问时,无法正常使用剪切板或者磁盘映射功能。
5.7.12.1 规则模板中禁止使用剪切板或者磁盘映射
运维审计系统支持管理员通过访问权限的规则模板设定是否允许使用剪切板和磁盘映射。
-
配置管理员可以在中,选择按用户或按资产,查找对应的权限及对应的规则模板。
-
在中找到对应的模板,单击编辑,检查相关设置。
5.7.12.2 目标资产禁止使用RDP磁盘映射
目标资产禁用了驱动器或剪切板,导致访问时,无法正常使用剪切板或者磁盘映射功能。
-
在目标资产的中,鼠标右击RDP-tcp,单击属性,在客户端设置中检查是否禁用驱动器和剪切板。
-
如果目标资产加入了域,请检查是否设置了相关的策略禁止使用剪切板或者磁盘映射。
5.7.13 协议错误
远程桌面客户端访问页面显示由于客户端检测到一个协议错,这个会话将被中断,请重新连接到计算机。
5.7.13.1 客户端环境问题
这种错误可能是客户端环境问题导致的。
-
尝试升级客户端mstsc版本。
-
检查客户端是否安装了RDP相关其它软件,比如VDI客户端、其它用于RDP访问的堡垒机客户端等。如果安装了多个,可以尝试卸载后,再次访问。
5.7.14 出现了内部错误
5.7.14.1 防火墙或者IDS设备导致连接中断
客户端到运维审计系统之间的防火墙或者IDC设备认为RDP连接不安全,中断了连接。
-
超级管理员在中,通过tcpdump命令抓取访问过程的报文信息。
可以看到RDP的TCP连接只能收到握手请求,但是无法完成三次握手过程。
-
检查客户端到运维审计系统之间的防火墙或者IDS设置,如果最近有更新,请检查是否新增了对RDP相关的检测。
5.7.15 提示“此计算机无法连接远程计算机”
远程桌面客户端访问页面显示
此计算机无法连接远程计算机。
5.7.15.1 运维审计系统的Xrdp服务达到了做大进程数限制
运维审计系统的Xrdp服务默认的最大进程数为500,如果达到此限制,则新的RDP会话无法启动。
联系技术支持人员,查看运维审计系统中的Xrdp进程数。如果机器的配置允许,可以请技术支持人员增大Xrdp的最大进程数。
5.7.16 只有Console模式可以访问
通过RDP协议访问Windows资产时,不勾选启用Console连接时,无法成功访问目标资产,只有勾选后,才可以访问。
5.7.16.1 连接数被占满或者终端服务器授权异常
- 没有开启远程桌面终端服务器,可能是模板设备的连接数被占满。
- 开启了远程桌面终端服务器,可能是没有可用的终端服务器授权或者授权服务器异常。
-
检查任务管理器中的会话连接数。
-
检查目标资产的事件日志中是否有远程桌面终端相关的异常错误。
-
进入RD授权诊断程序,查看是否有远程桌面会话主机服务器许可证的报错。
5.7.17 MAC访问RDP时调用了错误的应用
使用MAC电脑,在web页面单击RDP会话后,没有调用Remote
Desktop Client或者Microsoft Remote Desktop,而是调用了其他非相关应用。
5.7.17.1 rdp后缀名文件的打开方式不对
MAC电脑下,RDP会话的启动成功,需要rdp后缀名的文件的打开方式关联正确。
在MAC的任意目录下,建一个以rdp为后缀名的文件,鼠标右击该文件后,点击显示简介,查看该文件的打开方式是否为Remote
Desktop
Client或者Microsoft
Remote Desktop。
5.8.1 黑屏闪退
5.8.1.1 websocket连接失败
H5模式的图像会话是通过Websocket模式连接到运维审计系统的,如果出现黑屏闪退,说明Websocknet连接失败。
5.8.1.2 其它原因
RDP类型的会话请使用mstsc模式连接后进行故障排查。
mstsc模式的设置方法如下:
- 超级管理员在中,将RDP启动方式修改为mstsc。
- 超级管理员和其他角色的用户可以在中将图形会话访问方式修改为mstsc。
5.8.2 使用IE时黑屏
5.8.2.1 IE的渲染模式错误
运维审计系统仅支持IE11及以上的IE浏览器,因此渲染模式最好也适配为IE11。
- 打开IE的F12开发人员工具,查看当前页面的渲染模式是否被适配成了低于IE11的版本。
- 如果被适配成了低版本的IE,可以查看IE的兼容性视图,是否将运维审计系统加入了其中。如果加入其中,请将运维审计系统移除。
5.8.3 访问VNC会话出现鼠标点击失灵现象
针对某些VNC设备,操作约5、6分钟后,出现鼠标点击失灵现象。具体现象为鼠标可以拖动,但是单击时,图像没有响应。
5.8.3.1 VNC服务的商业版类型选择错误
对于Linux下的开源VNC服务,建议选择非商业版;对于Windows下的商业版VNC服务,建议选择商业版。
选择相应的目标资产,进入访问协议,查看VNC协议的enterprise商业版,勾选或者去勾选enterprise商业版后继续访问尝试。
5.9.1 访问xdmcp会话黑屏
5.9.1.1 网络异常
开启xdmcp会话,运维审计系统需要先访问目标资产的UDP177端口。随后目标资产将反向连接运维审计系统6000-6999之间的TCP端口建立xdmcp会话。
-
查看目标资产是否监听177/UDP端口。
-
联系技术支持人员查看运维审计系统是否监听6000-6999端口。
-
查看网络路径中是否有防火墙拦截。
-
xdmcp会话的双方都不能穿越NAT,请确认运维审计系统到目标设备之间没有NAT设备。
5.9.2 访问xfwd会话闪退
通过H5模式启动的xfwd会话,在新窗口启动后闪退。
5.9.2.1 SSH服务异常、账号错误
xfwd依赖于该资产的SSH服务,需要确保SSH服务能够通讯正常;用户名和密码正确,且能够使用SSH协议登录目标资产。
-
检查目标设备是否有修改SSH服务的默认端口。
-
通过telnet命令测试目标资产的SSH服务端口的连通性。
-
在运维审计系统的资产处,进行SSH协议的登录测试。
5.9.2.2 使用的xfwd命令或参数错误
使用xstart工具直连目标资产,使用相同的xfwd命令和参数,测试是否连接成功。
5.9.2.3 目标资产SSHD服务没有支持X11forwarding
使用xfwd功能,需要目标资产的SSHD服务开启X11forwarding。
-
使用xstart工具直连目标资产,测试是否连接成功。
-
查看目标资产的SSHD配置文件,查看是否有设置X11Forwarding yes。
5.9.2.4 运维审计系统内部组件异常
联系技术支持人员,在运维审计系统中搜集gui服务的日志信息,排查并解决问题。
5.9.3 访问xdmcp会话乱码
访问xdmcp会话,会话中部分或全部文字显示乱码。
5.9.3.1 运维审计系统中的X11协议不存在该字体,需要手工增加
-
获取目标资产相关的字符集。
-
根据现有的字符集安装方式进行安装。
5.10.1 VNC访问时黑屏
访问vnc会话黑屏或者显示会话连接出现错误,请稍后重试或联系管理员。
5.10.1.1 无法直接判断原因
-
参考黑屏闪退检查websocket是否正常。
-
联系技术支持人员在运维审计系统中搜集gui服务的日志信息。
-
使用tcpdump进行抓包分析。
5.10.2 VNC访问时产生报错
5.10.2.1 密码连续输错次数达到设置阈值导致被锁定,产生报错“too many security failures”
5.10.2.2 加密类型不匹配,导致产生报错“No matching security types”
- 运行VNC Server软件,单击右上角的。
本文以VNC Server 6.5.0 Windows版本为例,不同VNC软件的设置方法可能存在差异,请以软件配套的使用说明书为准。
- 选择,修改Encryption为Prefer
on。
5.11.1 看不到文件传输菜单或者没有上传下载按钮
进入文件传输后只能看到我的文件,或者没有上传下载按钮。
5.11.1.1 没有权限
如果该用户账号没有对任何资产的文件传输权限,进入页面时,就只能看到我的文件。
5.11.2 文件大小超出配置文件设定值
上传文件到网盘时提示文件大小超出配置文件设定值或文件大小不可超过xxx。
5.11.2.1 上传文件大小系统允许的最大值
系统默认允许上传10240MB的文件。
5.11.2.2 被网络设备拦截
如果没有达到设定的限制也出现这类错误,可能被WAF、IPS防火墙等设备拦截。
-
在客户端PC上的cmd中执行
tracroute <运维审计系统IP地址>
命令。
-
根据tracroute的返回结果,查看经过的网络设备是否会对http的Body Size进行限制,或者是否会拦截大流量的http请求。
5.11.2.3 网络条件差导致传输失败
在条件差的网络中上传文件,如果传输失败会提示文件传输失败或文件大小超出配置文件设定值。
检查丢包率、延时等网络参数,推荐在网络条件好的环境中传输文件。
5.11.3 原始文件不存在
5.11.3.1 文件可能被管理员删除
请联系管理员,查看是否已在运维审计系统中删除了该文件。
5.11.4 资产拒绝连接
5.11.4.1 连接目标资产的sftp端口时被拒绝
-
检查目标资产的主机防火墙设置及其它可能的黑白名单设置。
-
检查目标资产与运维审计系统之间的防火墙设置。
5.11.5 资产连接超时
5.11.5.1 目标资产异常
资产认证超时说明可以连接目标资产,但是尝试进行身份认证时超时。通常是目标资产存在异常。
-
检查目标资产的/etc/ssh/sshd_config中的
UseDNS
设置,可以尝试设置成no
,并重启sshd服务。
-
检查目标资产的系统负载。
-
检查目标资产的磁盘空间。
5.11.5.2 网络异常
网络存在丢包或者延迟高也有可能导致该问题。
5.11.6 密码或密钥错误
5.11.6.1 运维审计系统中托管的目标资产的用户名或者密码/密钥错误
5.11.7 上传或者下载时出现未知异常
5.11.7.1 出现了运维审计系统未处理的异常情况
请联系技术支持人员搜集Tomcat服务的日志信息,排查并解决问题。
5.12.1 General failure
访问时显示如下:
Warning: failed to resolve home directory: received failure with description 'General failure'
状态: 读取目录列表...
命令: pwd
响应: Current directory is: "."
错误: 无法解析返回的路径。
错误: 读取目录列表失败
请确保目标资产的ssh访问正常,ssh相关的故障排查可以参考字符访问
5.12.2 其它问题
如果问题发生在运维审计系统到目标资产之间,相关的错误无法直接传递给客户端,需要通过text服务的日志文件进行故障定位。这里列举了text的日志中和sftp相关的报错信息及可能的原因。
5.12.2.1 Cannot found loginInfo from serverSession
认证失败,具体需要看debug级别的webapp的日志和debug级别的text日志,可能是认证超时。
请联系技术支持人员,搜集Tomcat和text服务的日志,检查是否包含身份验证相关的信息。
5.12.2.2 Login failed
认证失败,webapp返回的信息中result
字段不是success
。
5.12.2.3 account "any" is not allowed for sftp
使用了any账号,sftp不支持使用any账号。
请通过Web方式访问,并在选定any账号后根据提示输入正确的密码。
5.12.2.4 targetServer/targetAccount is not specified
无法获取到目标设备的信息。可能是用户名中包含的地址/账号不正确,可能没有从webapp中获取到上次的SSH登录信息。
检查直连模式时输入的目标资产的IP和账号名是否正确。
5.12.2.5 licenseExceeded
超出授权限制。
5.12.2.6 Not authrized for user:
没有配置密码。
5.12.2.7 unexpected devLoginInfo null, targetServer:
获取登录目标资产的信息失败,需要查看webapp服务的日志。
请联系技术支持人员,搜集Tomcat服务的日志,检查是否包含登录目标资产的相关信息。
5.12.2.8 loginFrom/su is not supported by sftp
不支持切换自或跳转来源。
5.12.2.9 Failed to connect/auth to
运维审计系统连接目标设备失败,可能是超时,需要查看打印出来的堆栈信息。
请联系技术支持人员,搜集text服务的日志,排查并解决问题。
5.12.2.10 Failed to close SshClient
关闭运维审计系统到目标设备的连接失败,原因未知,需要查看打印出来的堆栈信息进行分析。
请联系技术支持人员,搜集text服务的日志,排查并解决问题。
5.12.2.11 Unsupported Charset.
该资产配置了Java不支持的编码。
5.12.2.12 Failed to create file system
创建文件系统失败,原因未知,需要查看打印出来的堆栈信息进行分析。
请联系技术支持人员,搜集text服务的日志,排查并解决问题。
Note: 如果日志中提示
Failed to get opertion result within specified timeout
XXX,说明是连接超时,请参考
登录目标资产很慢处理。
5.13.1 无法安装winlogon
5.13.1.1 winlogon相关的进程没有退出
如果安装之前有旧版本的winlogon,可能是相关进程没有退出导致的。
-
在任务管理器中检查是否存在所提示的进程,如果有请杀掉。
-
在中检查winsync服务是否处于运行状态,如果是请停止。
-
检查是否有其它活跃的rdp会话,在任务管理器中将其注销。
5.13.2 没有检测到发布了该应用的应用发布服务器
访问应用时Web页面提示失败:
没有检测到发布了该应用的应用发布服务器(1.请检查应用发布服务器Winsync状态是否正常。2.请检查应用发布服务器是否发布了该应用。)。
5.13.2.1 Winsync状态异常
运维审计系统与应用发布服务器的通讯异常。
-
检查运维审计系统中应用发布服务器的地址是否正确,WinSync的状态是否为正常。超级管理员可以在中检查服务器地址和WinSync状态。如果WinSync状态正常说明不是此原因导致。如果地址不正确,请修正后重新检查Winsync状态。
-
检查应用发布服务器是否开机。
-
检查应用发布服务器上的WinSync Service服务状态。您可以在应用发布服务器的中检查WinSync Service是否处于已启动状态。如果没有启动可以尝试启动。
-
检查应用发布服务器是否监听了5156端口。在应用发布服务器上执行
netstat -na|findstr
"5156"
可以确定是否监听。
-
检查运维审计系统的IP地址是否加入到WinSync允许IP中。配置方法请参见《应用发布配置指导》,修改后需要重启WinSync Service服务。
-
检查应用发布服务器的主机防火墙和运维审计系统到应用发布服务器之前的网络防火墙设置,允许运维审计系统访问应用发布服务器的TCP/5156端。
-
WinSync版本不匹配。一般来说WinSync版本需要使用运维审计系统当前版本的帮助中提供的Winsoft中的版本。
5.13.2.2 应用发布服务器上未发布应用
如果所有应用发布服务器状态都正常,说明应用发布服务器上没有发布该应用。
-
请先找到该应用在运维审计系统在的标识名。超级管理员用户可以中查找应用的标识名。
-
检查应用发布服务器上是否存在相同标识名的应用。请登录到应用发布服务器,在中可以找到对应的程序,单击后可以在右侧详情中检查标识是否正确。
-
如果找不到对应的程序,请安装并拖到AppServer配置工具,并确保标识名和运维审计系统上的一致。
-
如果能找到对应的程序,但是标识名不一致,请修改标识名,然后单击菜单栏的保存按钮,同步到运维审计系统。
5.13.2.3 应用发布服务器未参与调度
当应用发布服务器设置为不参与调度时,即使应用发布服务器上的Winsync状态正常,且已成功发布了相关客户端,用户依然无法通过该应用发布服务器访问目标资产。
-
超级管理员用户进入。
-
单击应用发布服务器对应的编辑,在弹出的对话框中将是否参与调度设置为是,完成后单击确定。
5.13.3 RDP会话打不开
应用发布基于RDP,客户端需要先通过
运维审计系统以RDP方式连接到应用发布服务器,如果在连接过程中画面只能到下图所示的界面,说明RDP会话打不开。
单击详细信息可以查看具体原因。
当然如果连上图都未出现,也说明RDP会话打不开。
5.13.3.2 用户名密码错误
如果提示Authentication error check you password and username,说明用户名或者密码错误。
超级管理员可以中检查打开应用所使用的账号。- 如果使用的是同用户账号,应用发布服务器没有使用域,说明Winsync的账号同步存在异常,请检查Winsync状态。
- 如果使用的是同用户账号,应用发布服务器使用了域,运维审计系统会通过Agent方式同步账号密码到AD域,请检查Agent状态以及应用发布服务器是否能访问运维审计系统的TCP/3301端口。
- 如果使用的是指定账号,请检查指定账号的用户名和密码是否能登录。
5.13.3.3 Chrome/Firefox路径错误、无权限或者版本错误
如果访问Chorme/Firefox模式的B/S应用后,RemoteAPP启动窗口打开后立即闪退,说明Chrome/Firefox路径错误或者无权访问。
- 检查应用发布服务器AppServer配置工具中填写的程序路径是否正确。请登录到应用发布服务器,在中可以找到对应的程序,单击后可以在右侧详情中检查程序路径是否正确。
- 在中,单击查看账号,并单击登录,通过运维审计系统登录应用发布服务器所使用的账号,尝试打开Chrome。如果无法打开,说明Chrome所在的路径该用户无法访问,请将Chrome所在的目录复制到用户可以访问的目录,并修改AppServer配置工具中的路径。
- 检查Chrome的版本是否符合兼容性列表中描述的版本号。
5.13.3.4 本地环境AccessClient损坏
如果没有弹出RemoteAPP窗口直接抛错,通常是因为本地AccessClient损坏导致。一般显示如下报错信息:无法启动此程序,因为计算机中丢失
MSVCR100.dll。尝试重新安装该程序以解决此问题。
请尝试重新安装AccessClient。可以在帮助中下载。
5.13.3.5 远程设置中未取消网络级别身份验证
如果正常访问资产时,RemoteAPP窗口弹出远程桌面连接错误提示,通常是因为应用发布服务器启用了网络级别的身份验证。一般显示如下报错信息:
此计算机无法连接到远程计算机。
请尝试重新连接。如果问题仍然存在,请联系远程计算机的所有者或网络管理员。
在应用发布服务器的远程设置中,对远程桌面选项,选择允许运行任意版本远程桌面的计算机连接,并重新访问资产。
5.13.4 B/S应用页面打不开
IE、Chrome和Firefox打开后,B/S应用没有正确打开。
5.13.4.1 网络问题
应用发布服务器和需要访问的B/S应用之间的网络问题。
-
尝试直接RDP登录到应用发布服务器后,使用浏览器访问B/S应用。
-
检查应用发布服务器和B/S应用之间的网络。
5.13.4.2 白名单控制问题
如果页面可以部分打开,但是显示异常,可能是因为B/S应用中引用了其它站点的资源,被运维审计系统阻止了。
-
使用Chrome浏览器按F12可以打开开发者模式,检查是否有错误,根据错误可以查找被阻止的资源。被阻止的资源将返回404。
-
在运维审计系统的资产中编辑该B/S资产,添加被阻止的站点到白名单,或者也可以取消URL限制。
5.13.4.3 proxy导致的问题
为了实现URL的限制,用户通过运维审计系统的应用发布访问B/S应用时需要经过一个代理程序,代理程序和B/S应用的兼容性也可能导致问题。比如说对SSL的兼容性、对非http/https协议的兼容性。
-
请尝试使用Chrome访问,并取应用发布服务器c:\winlogon\Qwa.log给技术人员。
-
尝试通过Firefox访问。
5.13.5 B/S应用的白名单未生效
B/S应用中启用了对URL的限制,并且配置了白名单,但实际未对一些IP进行限制,或不能访问白名单中的IP地址。
5.13.5.1 应用发布服务器为x64系统,但发布了32位的IE浏览器
应用发布服务器为x64系统时,必须使用64位的浏览器,否则白名单功能将失效,用户无法访问白名单中设置的地址。
-
在应用发布服务器上,右键单击这台电脑,选择属性,查看操作系统是否为x64系统。
-
查看IE浏览器是否为32位的浏览器。如是32位,请安装64位的浏览器。
Note: 浏览器是32位还是64位,有多种判断方法。可以查看浏览器的安装路径,如在Program Files
(x86)目录中,则为32位浏览器;在Program
Files目录中,则为64位浏览器。
5.13.5.3 白名单地址配置不正确
白名单必须是正则表达式。例如白名单设置为http://10.10.10.1/.*,则只能访问http://10.10.10.1或http://10.10.10.1/webui这样的地址;如设置为http://10.10.10.1.*,则也可以访问http://10.10.10.12这样的地址。
Note: 资产的URL如设置为http://10.10.10.1,则相当于已配置了白名单http://10.10.10.1/.*。
-
检查白名单是否设置为了正则表达式。如直接填写IP地址,未设置为正则表达式,将无法匹配成功。
-
检查白名单的正则表达式规则是否正确。如需要限制只能访问某IP地址,需要写成类似http://10.10.10.1/.*的形式,不能写成http://10.10.10.1.*这样的形式,否则将匹配上以此为前缀的很多个IP地址。
5.13.6 应用打不开
5.13.6.1 路径错误
如果显示如下,通常表示程序的路径错误。
启动目标程序出错:
系统找不到指定的文件。
检查应用发布服务器AppServer配置工具中填写的程序路径是否正确。请登录到应用发布服务器,在中可以找到对应的程序,单击后可以在右侧详情中检查程序路径是否正确。
5.13.6.2 权限不正确
如果显示如下,说明登录应用发布服务器的账号无权访问应用程序。
启动目标程序出错:
拒绝访问。
在中,单击查看账号,并单击登录,通过运维审计系统登录应用发布服务器的账号,尝试访问应用程序及其所在的目录。如果无法打开,请尝试将应用程序所在的目录复制到用户可以访问的目录,并修改AppServer配置工具中的路径。
5.13.6.3 找不到Java
打开Chrome模式的B/S应用时显示如下,说明找不到Java。
执行代填时发生异常,详细信息:
系统找不到指定的文件。
5.13.6.4 请求代填脚本失败
如果打开会话时显示请求代填脚本失败,会话即将结束,说明应用发布服务器无法从运维审计系统获取要启动的程序或者代填脚本。
- 检查运维审计系统的rdpextsrv服务状态是否正常。
- 检查应用发布服务器上C:\winlogon\目录下的{uuid}appauto.tmp格式命名的最新的日志文件。
- 请联系技术支持人员,检查rdpextchan.log文件。
5.13.6.5 .net framework未安装或者版本不正确
如果打开会话时显示如下,说明.net
3.5未安装,或者已安装但是版本不正确。
执行代填时发生异常,详细信息:
未能加载文件或者程序集"System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c5619e089"或他的某一个依赖项。系统找不指定的文件。
- 在应用发布服务器的检查是否安装了.net
framework。
- 如果没有安装请,单击添加功能安装。
5.13.6.6 应用自身问题
如果报错是应用程序自身抛出,通常是发布的应用存在依赖导致。
5.13.6.7 AppServer列表未配置
打开会话时显示
加载配置信息出错:未能找到文件"c:\winlogon\.data\appsrv.db"。
打开AppServer配置工具,拖入应用的exe文件,并保存。
5.13.6.8 代填脚本包含了不支持的变量名
打开会话时显示
服务器返回的数据格式错误。
- 检查页面资产,是否已填写对应参数值。
- 检查代填脚本,变量名是否支持传参。
- 联系技术支持人员,查看rdpextchan.log文件是否存在异常。
5.13.6.9 应用关联错误、应用安装目录错误
打开会话时显示
IO重定向出现错误:管道已结束。
- 没有使用运维审计系统预置的应用来调用。对于运维审计系统上已存在的应用,请勿手动创建第二个同类型的应用。否则可能会关联错误导致预置的应用无法调用。
- WebDriver的安装路径位于用户目录下,导致其他用户无法访问该用户目录,无法调起应用。
5.13.6.10 应用被提前关闭,导致执行代填时发生异常
打开会话时显示
执行代填时发生异常。
在进行应用代填时,请不要手动关闭应用。部分客户端因为自身登录就耗时较多,所以通过
运维审计系统代填登录也必然会耗时较多。
Note: 如果启动时间超过30秒,winmonitor会切断该会话。此时可以在应用发布服务器上修改配置文件(C:\Winlogon\winmonitor.ini)的init_timeout参数。init_timeout参数表示winmonitor会切断指定时间内未启动的会话,单位为毫秒,设置后无需重启服务,对下次会话生效。以上机制需要在配置Winlogon时,勾选注册WinMonitor选项才生效。
5.13.7 C/S应用代填失败
5.13.7.1 代填脚本不匹配
-
在中检查脚本是否匹配。
-
检查脚本兼容的软件版本是否与已发布软件的版本是否一致。推荐使用兼容性列表中推荐的应用。
-
如果应用发布使用2012、2016、2019的系统,请尽量使用名称中包含win2012字段的代填脚本。
-
如果是自己录制的脚本,请检查代填窗口的标题是否包含变动部分,如果有请去掉。
-
检查脚本中是否已经将用户名、密码等字段替换为模板字段。
5.13.7.3 默认输入法是中文
如果应用发布服务器上的默认输入法是中文,会导致代填程序发送的键盘序列被解析为拼音。
-
检查代填时是否有中文输入法的选词框。
-
修改应用发布服务器的默认输入法为英文。
5.13.7.4 键盘输入中有特殊字符
密码或者其他字段的输入中有特殊的字符被目标应用当作快捷键。
例如密码中包含^,会被部分应用解析为快捷键,请尝试去掉密码中的特殊字符。
5.13.7.5 Oracle密码中包含@
如果Oracle密码中包含@会被当做特殊字符处理。
5.13.8 RemoteAPP方式的C/S应用显示异常
C/S应用通过RemoteAPP方式发布出来后可以打开,但是显示异常。例如应用界面变得透明,或应用之间自动切换等。
5.13.8.1 C/S应用与RemoteAPP兼容性问题
该应用与Windows的RemoteAPP调用存在兼容性问题,通过RemoteAPP方式打开该应用就会出现。
-
通过Windows自带的RemoteAPP发布工具,发布该应用的RemoteAPP版本,尝试直接登录,看能否重现问题。
-
在中,修改该应用不使用RemoteAPP方式启动。
5.13.9 Chrome代填失败
5.13.9.1 Java版本不正确
Chrome代填要求应用发布服务器安装64位的JDK。
5.13.9.3 xpath是否正确
Chrome代填时通过xpath定位用户名、密码和登录按钮位置。对于通用代填,是通过常见的用户名、密码和登录按钮自动进行定位,对高级和自定义使用指定的xpath路径。
- 如果通用模式不代填,可以尝试高级模式指定模式。
- 使用指定模式时请确保输入了正确的xpath路径。
5.13.9.4 iframe是否正确、是否有设置
xpath路径正确,但是无法代填,可能是因为html页面中存在iframe,导致直接通过浏览器获取的xpath路径不正确。此时需要设置iframe路径。
查看目标资产的页面源代码,检查html中是否有iframe标签 ,如果有需要在运维审计系统中填写iframe的xpath路径。获取iframe的xpath路径的方法如下,此处以Chrome浏览器为例详细介绍,通过Firefox浏览器获取的操作步骤类似。
- 使用Chrome浏览器打开B/S资产,按F12进入开发者模式。
- 在开发者工具中,单击左上角的选择元素,并选中账号输入框。
- 在Elements页面中向上滑动进度条,查找
<iframe>
标记对。
- 选中
<iframe>
的内容,鼠标右击选择。
- 将复制的iframe的xpath配置到运维审计系统纳管的B/S资产中,完成后单击保存。
5.13.9.5 网页代码比较特殊,用户名或密码框由多个input标签组成
尝试将抓到的xpath属性替换为其他的input标签的id,查看能否代填。
5.13.9.6 控件不可交互
目标资产的页面使用了非标准的html控件,比如ActiveX或者其它控件。
访问目标资产是否需要安装额外的控件,如果需要通常意味着无法代填。
5.13.9.7 Chrome版本和driver是否匹配
如果应用发布服务器上安装了错误版本的Chrome也会导致无法代填。
- 请参考应用发布服务相关的文档,检查Chrome版本是否符合要求。
- 检查应用发布服务器winlogon安装目录下的Qwa.log可以查看是否是因为版本不匹配导致的问题。
5.13.9.8 无法提交
代填了用户名和密码后没有提交。
通常是因为登录按钮绑定了js事件,请提供页面源代码,并联系技术支持人员定制脚本。
5.13.9.9 无法上传大文件
目标资产用文件上传功能,通过运维审计系统时无法上传。
应用发布服务器上的Chrome是通过本地代理方式访问目标资产,目前不支持大文件上传。
5.13.9.10 不兼容
大部分B/S应用都可以代填,但是个别B/S应用无法代填。
请联系技术支持人员依次完成以下操作。
- 修改gui服务的日志级别为debug。
- 重启rdpextsrv服务。
- 复现问题。
- 搜集rdpextsrv服务的日志信息,排查并解决问题
5.13.10 IE代填失败
5.13.10.1 插件是否有启用
如果页面可以打开,但是没有代填,可能是因为IE代填插件没有启用。
-
检查配置winlogon中是否已经勾选注册IE插件。如果没有勾选,勾选后再试。
-
登录相应的同步用户,在IE的中检查AutoIE
Class是否处于启用状态。如果未启用,请启用后再试。
-
用户配置了IE的增强保护模式所致。检查IE的,确认该选项未勾选。
5.13.10.2 页面中存在资源未加载
页面有资源无法加载。
检查是否设置了白名单,将未加载资源的IP或者域名添加到白名单中。
5.13.10.3 页面不是由HTML元素组成
一些特殊的网页,并不是由标准的HTML元素组成,例如XBAP类型网页。对于这类的网页,运维审计系统无法完成代填。
使用Web的开发者模式,检查用户名、密码输入框是否由HTML元素组成。
5.13.10.4 其它原因
如果不是上述原因导致的问题,可以按照以下方法采集相关的日志。
采集应用发布服务器的winlogon日志(c:\winlogon.log),将日志信息交给技术支持人员排查定位问题。
5.13.11 Firefox代填失败
5.13.11.1 Firefox版本不正确
webdriver需要和Firefox版本匹配。
请参考《应用发布典型配置指导》检查是否使用了正确的Firefox版本。
5.13.11.2 xpath路径不正确
Firefox代填时通过xpath定位用户名、密码和登录按钮位置。对于通用代填,是通过常见的用户名、密码和登录按钮自动进行定位,对高级和自定义使用指定的xpath路径。
-
如果通用模式不代填,可以尝试高级模式指定模式。
-
使用指定模式时请确保输入了正确的xpath路径。
5.13.11.3 在AppServer中配置的文件路径不正确
Firefox使用rdpapp.bat脚本启动,因此在发布Firefox浏览器时,在AppServer中配置的文件路径和名称为WebDriver安装路径\bin\rdpapp.bat。
登录应用发布服务器,并打开AppServer配置工具,检查Firefox浏览器的路径是否配置正确。如果不正确,请将Firefox浏览器的路径修改为WebDriver安装路径\bin\rdpapp.bat,并手动将标识修改为firefox。
5.13.11.4 页面中存在资源未加载
页面有资源无法加载。
检查是否设置了白名单,将未加载资源的IP或者域名添加到白名单中。
5.13.11.5 无法上传大文件
目标资产用文件上传功能,通过运维审计系统时无法上传。
应用发布服务器上的Firefox是通过本地代理方式访问目标资产,目前不支持大文件上传。
5.13.11.6 不兼容
大部分B/S应用都可以代填,但是个别B/S应用无法代填。
请联系技术支持人员依次完成以下操作。
-
修改gui服务的日志级别为debug。
-
重启rdpextsrv服务。
-
复现问题。
-
搜集rdpextsrv服务的日志信息,排查并解决问题。
5.13.12 程序异常退出
5.13.12.1 Windows 2008
R2未安装RemoteAPP相关的补丁
如果应用发布服务器是Windows 2008 R2,需要安装下列补丁,否则将导致RetemoAPP程序异常退出。
- SP1
- KB2696020
- KB2699817
- KB2798286
-
检查是否安装了SP1补丁:右键单击计算机,选择属性,查看计算机信息中是否存在Service
Pack 1标识。如不存在,请手动更新SP1补丁。
-
检查是否安装了另外三个补丁:以管理员身份打开CMD窗口,输入以下命令,检查是否能查询到这三个补丁。如查询不到,请根据补丁序号从小到大的顺序,手动安装这三个补丁。
wmic qfe get hotfixid | findstr "KB2696020 KB2699817 KB2798286"
5.13.12.2 Chrome路径错误造成闪退
如果Chrome路径错误将导致会话启动后闪退。
-
一般用administator权限安装的Chrome,文件位于administators的家目录,其它用户无法访问,可以尝试复制到所有用户可以访问的路径,例如c:\program
files(x86)目录下。
-
检查APPServer配置工具中的Chrome路径是否正确。
5.13.12.3 应用对于单用户多开的应用会话存在特殊限制
有些应用对于操作系统用户环境存在特殊限制。例如单用户只能打开一个该应用会话、单用户多开应用时会共享该应用的会话等。
-
尝试在应用发布服务器上使用单用户,多开应用,查看应用的变化。
-
如果应用确实存在特殊的限制,在远程客户端处配置该应用的执行账号为同用户账号。同时访问该应用时需要将之前的会话注销才可继续访问。
5.13.12.4 其它原因
-
请根据程序自身的报错或者日志检查退出原因。
-
也可以检查应用发布服务器事件日志中的应用程序日志。
5.13.13 会话打开后闪断
5.13.13.1 该应用启动时需要工作目录,但是appsrv配置工具没有配置
在AppServer配置工具中,添加该应用的工作目录。
5.13.13.2 应用特殊,在启动后使用了另外的路径
可以通过procexp.exe工具来观察Windows中该应用的进程信息,需要使用应用的真实路径。
5.13.14 无法打开AppServer配置工具,提示连接失败
打开AppServer配置工具时报错,报错信息为以下之一:
Error Code:10061 由于目标计算机积极拒绝,无法连接。
127.0.0.1:3301
Error(10086)A connection attempt failed.
Error(10086)由于目标主机在一段时间内没有应答。
Error code:10060 由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。
例如:
5.13.14.1 Agent和运维审计系统之间的通讯异常
-
检查应用发布服务器的Agent状态。您可以在应用发布服务器的中检查Agent
Service是否处于已启动状态。如果没有启动可以尝试启动。无论是否处于已启动状态,都可以尝试启动。
-
检查Agent配置是否正确。您可以在应用发布服务器的中,检查服务器IP地址和端口是否正确。
-
检查应用发布服务器是否有多个IP地址。如果有多个IP地址,请在配置Agent中指定本地组IP地址。该IP将作为连接运维审计系统时的源IP。
-
检查应用发布服务器是否能连接运维审计系统的3301端口。如果不通,请检查网络防火墙设置。
-
检查运维审计系统的agentmgr服务是否正常。管理员可以在中查看Agentmgr服务的状态。
-
如果以上都没有问题,请联系技术支持人员采集debug级别的Agentmgr日志,排查并解决问题。
-
还可以采集应用发布服务器上的C:\Program Files
(x86)\H3C\Agent\log目录下的日志文件。
-
检查应用发布服务器的时间是否与运维审计系统的系统时间一致。如果不一致,需调整应用发布服务器和运维审计系统的系统时间保持一致。
5.13.14.2 其它原因
搜集应用发布服务器中C:\Winlogon\AppSrvConfig.tmp文件的日志信息,交给技术支持人员排查定位问题。
5.13.15 无法打开AppServer配置工具,提示Response Code Error
打开AppServer配置工具时报以下错误:
Response Code Error,Please Reopen The App.
response failed.
5.13.15.1 同时在Agent中填写了运维审计系统的实IP和虚IP
出现该报错,可能是因为Agent的填写有误。HA/集群/总分的部署场景下,在Agent中填写运维审计系统的虚IP即可,如同时填写了实IP和虚IP,则会导致该问题。
-
检查Agent中是否同时填写了虚IP和实IP,如果存在请删除实IP。
-
重启Agent使配置生效。
-
重新打开AppServer。
5.13.15.2 使用了克隆的应用发布服务器
运维审计系统不支持使用虚拟机克隆得到的应用发布服务器。
如确认应用发布服务器是克隆得到的,请重新部署应用发布服务器。
5.13.15.3 应用发布服务器与运维审计系统间通信不正常
应用发布服务器与运维审计系统通信不正常时,也可能导致该问题。有可能只是单次连接失败,这种情况下可以尝试重新打开AppServer,否则需要对网络做详细的排查。
5.13.16 打开AppServer配置工具时,发生未知异常
打开AppServer配置工具时报错,显示发生未知异常,详情请查看日志。尝试将程序卸载干净,重装后,再打开。
5.13.16.1 未安装.Net Framework 3.5
应用发布服务器的AppServer工具必须依赖于.Net Framework 3.5。
-
打开应用发布服务器的Power Shell,执行 dir 'HKLM:\SOFTWARE\Microsoft\NET Framework
Setup\NDP',检查是否已安装了.Net Framework 3.5。
-
如未安装.Net 3.5,请参考《应用发布配置指南》的相关章节进行安装。
5.13.16.2 其它原因
搜集应用发布服务器中C:\Winlogon\AppSrvConfig.tmp文件的日志信息,交给技术支持人员排查定位问题。
5.13.17 无法打开Winlogon配置工具
5.13.17.1 依赖的VC++未安装
如果显示应用程序无法启动,因为应用程序的并行配置不正确。有关详细信息,请参阅应用程序时间日志,或使用命令行
sxstrace.exe工具,说明说明VC++未安装。
可以在应用发布服务器的中检查是否安装了以下内容,如果没有安装,请在中下载WinSoft软件包,安装后重试。- Microsoft Visual C++ 2005
- Microsoft Visual C++ 2008 x64
- Microsoft Visual C++ 2008 x86
- Microsoft Visual C++ 2010 x64
- Microsoft Visual C++ 2010 x86
5.13.18 单击应用图标后,没有任何反应
单击SSH或者RDP会话,可以正常的调用应用,但是单击应用类型的会话,没有任何反应。
5.13.18.1 AccessClient安装目录下的RDCShell文件权限过低
-
进入AccessClient安装目录,该目录路径一般为C:\Program Files
(x86)\H3C\AccessClient。
-
找到RDCShell.exe文件,鼠标右键该文件,选择属性。
-
单击兼容性,勾选以管理员身份运行此程序,单击更改所有用户设置,勾选以管理员身份运行此程序。
5.13.18.2 Windows环境异常
查看Windows的事件日志,查看调用时间点是否有相应的报错信息。
5.13.19 在Web界面升级WinSoft时,提示不支持升级
在运维审计系统的Web界面升级WinSoft时,提示不支持升级。
5.13.20 同步用户失败
用户通过应用发布服务器访问资产时,会话启动失败,显示报错失败:同步用户失败。
5.13.20.1 用户名不满足Windows用户名规则
用户在首次使用应用发布服务器时,会将
运维审计系统中该用户的账号、密码同步到应用发布服务器上。如果
运维审计系统用户的命名不符合Windows用户的命名规则,将会导致用户同步失败。其中,Windows用户的命名规则如下:
- 长度不超过20个字符
- 不能包含以下字符:"/\[]:;|+*?<>@
- 不能只由句点.或空格组成
-
检查当前用户是否满足以上命名规则。
-
如不满足,请根据实际情况选择处理方式:
- 修改用户名:配置管理员将运维审计系统中的该用户名,修改为满足Windows命名规则的用户名。
- 更改远程客户端登录账号:超级管理员在中,修改该用户所需要使用的客户端,将客户端的执行账号修改为手工指定,指定一个满足命名规则的用户来登录应用发布服务器并启动客户端。
5.13.21 批量启动应用发布的图形会话失败或磁盘映射不生效
通过应用发布服务器发布应用,出现以下故障现象:
- 批量启动应用发布的图形会话失败,同时偶现WinSync状态和Gsessiond服务异常。
- 发布图形会话,磁盘映射不生效。
-
登录Console控制台。
-
在Enter selection中输入configconf,按回车键。
-
输入add conf对应的编号,按回车键。
-
在Please input
conf中添加配置项appServer.useAdmin=false,按回车键。
Enter selection: configconf
ConfigConf Management:
1. list all conf
2. add conf
3. del conf
0. Return
Enter selection: 2
Please input conf(kev=value): appServer.useAdmin=false
set conf success
You need restart tomcat to take effect the configuration
-
重启Tomcat服务(Console菜单:)。
Note: 重启Tomcat服务会断开当前H5访问的会话,Web界面在重启完成后才能正常访问。
5.14.1 通用网络故障排查
当用户访问数据库失败时,首先要排查运维审计系统、应用发布服务器和数据库服务器之间的网络是否连通、端口监听是否正常。
通过应用发布服务器访问数据库资产有两种方式:支持数据库审计和不支持数据库审计,其访问过程和网络故障排查步骤分别如下:
5.14.1.1 支持数据库审计
访问Oracle、MySQL和MSSQL数据库时,运维审计系统将同时记录图形会话和数据库会话审计记录,并支持提取操作过程中的SQL语句。
访问过程
- 用户使用本地PC访问运维审计系统。
- 运维审计系统调用应用发布服务器上的数据库客户端。
- 数据库客户端回连至运维审计系统。
- 运维审计系统以协议代理的方式连接数据库服务器。
网络故障排查方法
- 检查运维审计系统到应用发布服务器的3389、5156和4411端口是否连通。
- 检查应用发布服务器到运维审计系统的3301端口和数据库端口是否连通。
数据库端口包括:
- Oracle:1521
- SQL Server:1433
- MYSQL:3306
- 检查运维审计系统到数据库服务器的数据库端口是否连通。
- 查看应用发布服务器到运维审计系统之间、运维审计系统到数据库服务器之间是否有防火墙拦截。
5.14.1.2 不支持数据库审计
访问此类数据库时,运维审计系统将仅记录图形会话,不记录数据库会话,且无法提取操作过程中的SQL语句。以下以DB数据库为例,其他数据库请根据对应的端口号排查。
访问过程
- 用户使用本地PC访问运维审计系统。
- 运维审计系统调用应用发布服务器上的数据库客户端。
- 应用发布服务器发起连接,由数据库客户端直接访问数据库服务器。
网络故障排查方法
- 检查运维审计系统到应用发布服务器的3389、5156和4411端口是否连通。
- 检查应用发布服务器到运维审计系统的3301端口是否连通。
- 检查应用发布服务器到数据库服务器的数据库端口是否连通。
DB2的数据库端口为50000。
- 查看应用发布服务器到运维审计系统之间、应用发布服务器到数据库服务器之间是否有防火墙拦截。
5.14.2 PL/SQL Developer未响应
通过PL/SQL Developer访问数据库资产时,显示如下:
5.14.2.1 无法连接目标数据库
出现该错误时,单击
等待程序响应,如果显示如下:
(Not logged on) -...
ORA-12537: TNS: 连接关闭
5.14.3 PL/SQL Developer TNS无法解析指定的连接标识符
通过PL/SQL Developer访问数据库资产时,显示如下:
5.14.3.1 密码中含有@字符
PL/SQL默认会以参数方式对用户名、密码等项目进行代填。当密码中含有@字符,会导致PL/SQL参数方式的代填解析错误。此时请使用AppAuto方式。
超级管理员在中单击编辑,根据应用发布操作系统将代填脚本进行更换,Windows2012和Windows2016请选择PLSQLDeveloper_auto_win2012.json;Windows2008请选择PLSQLDeveloper_auto.json。
5.14.3.2 运维审计系统、应用发布服务器和目标资产之间网络存在故障
5.14.4 PL/SQL Developer 无法代填
当使用AppAuto方式访问时,PL/SQL不代填或者代填不完整。
5.14.4.1 PL/SQL版本错误
当使用AppAuto方式代填PL/SQL时,需满足代填的兼容性列表。当前AppAuto方式的PL/SQL的代填仅支持PL/SQL
Developer
11.0英文版。
进入应用发布服务器,查看发布出的PL/SQL是否满足兼容性要求。
5.14.4.2 运维审计系统、应用发布服务器和目标资产之间网络存在故障
5.14.5 ORA-12541: TNS: 无监听程序
打开Oracle数据库客户端时显示如下,说明应用发布服务器上的数据库客户端无法连接
运维审计系统的1521端口。
ORA-12541: TNS: 无监听程序
5.14.5.1 应用发布服务器无法连接运维审计系统的1521端口
-
请参考通用网络故障排查定位并解决问题。
-
检查应用发布服务器访问运维审计系统的源IP是否和中设置的一致。
5.14.5.2 dbaudit-oracle未启动或者异常
在中,检查运维审计系统的dbaudit-oracle服务状态。
5.14.6 数据库会话连接后断开
MySQL会话连接后,显示如下:
The operation could not be completed. The system cannot find the file specified.
或
Lost connection to MySQL server at 'reading initial communication packet', system error:0
MSSQL会话连接后,显示如下:
远程主机强迫关闭了一个现有的连接
Oracle会话连接后,显示如下:
ORA-12537: TNS: 连接关闭
5.14.6.1 Gsessiond异常
可能是因为运维审计系统无法连接应用发布服务器的Gsessiond服务导致。
Gsessiond状态显示为
服务不可用可能是以下几种原因之一:
- WinSync状态为不可用
- Gsessiond服务未启动
- Gsessiond版本和运维审计系统当前版本不匹配,需要升级Winsoft组件版本
- 未正确安装.NET Framwork 3.5
- 运维审计系统到应用发布服务器的TCP/4411端口不通
- 在运维审计系统的中,查看Gsessiond状态:
- 正常:联系技术支持排查其他原因。
- 服务不可用:请执行下一步操作。
- 检查WinSync状态是否也为不可用。。
- 在应用发布服务器的服务菜单中检查GSessiond服务的状态是否为已启动。
如状态不为已启动,请尝试启动GSessiond服务。如状态已经为已启动,或尝试启动不成功,请继续执行后续步骤。
- 检查应用发布服务器中安装的GSessiond是否为运维审计系统匹配的版本。
- 在应用发布服务器上,进入GSessiond的安装目录。
默认为C:\Program Files (x86)\H3C\GSessiond。
- 右键单击uninst_GSessiond.exe查看,并记录文件版本。
- 在运维审计系统的Web界面中,选择,单击下载WinSoft。
- 解压WinSoft压缩包后,查看并记录文件名中版本号。
- 比较应用发布服务器和运维审计系统中下载的GSessiond版本是否一致。
- 是:排查后续步骤。
- 否:在应用发布服务器上的GSessiond目录下执行uninst_GSessiond.exe卸载GSessiond,并使用下载的安装包重新安装GSessiond。
- 检查应用发布服务器中是否已安装了.NET Framwork 3.5。
可以在应用发布服务器的命令行窗口中,执行以下命令进行确认:
reg query "HKLM\SOFTWARE\Microsoft\Net Framework Setup\NDP\v3.5" /s
如命令存在回显结果,则表明已安装了.NET
Framwork 3.5:
否则请参考
《应用发布典型配置指导》的
安装.NET
Framework3.5章节,为应用发布服务器安装.NET Framework3.5。
- 检查运维审计系统到应用发布服务器的TCP/4411端口是否放通。
在
运维审计系统的Web界面的中,执行
telnet命令,连接应用发布服务器的4411端口。如该端口放通,则显示以下回显:
否则请先检查应用发布服务器的主机防火墙是否添加了例外,再检查应用发布服务器到运维审计系统之间的网络防火墙设置。
5.14.7 提示对hosts文件的访问被拒绝
连接Oracle、MSSql会话时,Windows报错如图:
5.14.7.1 同步的用户账号对于hosts文件不可写
在Oracle、MSSQL会话建立过程中,AppAuto会去写hosts文件,当该同步账号对于hosts文件不可写时,会出现此报错。
5.14.7.2 运维审计系统、应用发布服务器和目标资产之间网络存在故障
5.14.8 登录、代填测试正常,但访问时连接失败
对Oracle、MySQL、SQL
Sever数据库资产进行登录测试和代填测试时均正常。但在
访问资产界面执行访问时,打开应用发布服务器上的客户端后,出现以下提示:
- Oracle:Oracle-12170:TNS:连接超时
- MySQL:Lost connection to MySQL server at 'reading initial communication
packet', system error:0或Can't connect to Mysql Server on XXXX
(10060)
- SQL Server:无法连接到XXXX
这种情况一般是由于应用发布服务器连接运维审计系统的数据库审计模块失败。因为登录/代填测试时,是运维审计系统/应用发布服务器直连访问数据库;但访问资产时,是从应用发布服务器连接到运维审计系统的数据库审计模块,再由审计模块连接数据库。
如资产为SQL Sever数据库,可以排查SQL Server登录、代填测试正常,访问提示无法连接。
5.14.8.1 应用发布服务器到运维审计系统的数据库审计模块防火墙未放通
5.14.8.2 运维审计系统做了地址或端口映射
用户将运维审计系统的地址或443端口映射到了外网,从外网地址登录Web界面并访问数据库时,出现以上问题。
这是由于运维审计系统默认不支持从映射后的地址访问数据库。代填主机名时,会填写为映射后的地址,而非运维审计系统的真实地址。必须按以下步骤进行配置。
-
登录Console控制台。
-
执行命令configconf,添加配置项audit.host=10.1.1.2。
其中audit.host填写规则如下:
- 单机部署时,填写运维审计系统真实的IP地址。
- HA部署时,填写虚IP地址。
- 集群部署时,填写对内虚IP地址。
- 总分部署时,填写管理站点的IP。管理站点非单机部署时,请参考对应部署方式的说明进行配置。
- 多站点部署时:各站点根据自己的部署方式,参考对应的说明进行配置。
Enter selection: configconf
ConfigConf Management:
1. list all conf
2. add conf
3. del conf
0. Return
Enter selection: 2
Please input conf(kev=value): audit.host=10.1.1.2
set conf success
You need restart tomcat to take effect the configuration
-
重启Tomcat服务(Console菜单:)。
5.14.9 SQL Server登录、代填测试正常,访问提示无法连接
SQL
Server数据库的登录测试、代填测试均提示正常,但访问时显示如下报错信息:
5.14.9.1 SQL Server配置了连接要求强行加密
运维审计系统不支持加密的MSSQL协议。
进入SQL
Server的服务端,打开Sql
Server Configuration Manager,进入。查看强行加密字段是否选择为是。如果配置为是,请修改为否。
5.14.9.2 运维审计系统、应用发布服务器和目标资产之间网络存在故障
5.14.10 其它未知错误或者卡顿
5.14.10.1 数据库或者客户端问题
-
请参考通用网络故障排查定位并解决问题。
-
根据错误提示,检查是否是数据库服务器或者客户端的问题。通常在搜索引擎中检索错误代码或者提示可以解决大部分问题。
5.14.10.2 运维审计系统协议代理没有正确的处理数据包
如果数据协议数据中存在运维审计系统未识别或者正确处理的包,也可能会导致卡顿或者异常。
-
请在运维审计系统的中,使用tcpdump进行抓包。抓包网卡请选择any,参数请根据数据的端口进行选择。常见的参数如下:
- Oracle:port 1521
- MSSQL:port 1433
- MYSQL:port 3306
- DB2:port 50000
-
请联系技术支持人员,在复现问题后,搜集数据升级组件的日志信息,排查并解决问题。
5.15.1 无法创建改密计划
创建改密计划时,系统提示不允许新建改密计划:系统中需存在配置ZIP文件密码或者PGP公钥和邮箱的用户。
5.15.1.1 创建改密计划前,需要配置前提条件
创建改密计划,需要系统的超级管理员或配置管理员已配置zip密码或PGP公钥,并配置该用户的邮箱。
-
使用超级管理员或配置管理员进入账号设置。
-
进入个人设置页面,配置工作邮箱。
-
进入信息加密页面,配置ZIP文件密码或PGP公钥。
5.15.2 改密计划执行失败
改密计划已经创建,但是执行后,提示改密计划执行失败。
5.15.2.1 密码备份失败
为防止密码丢失,运维审计系统在改密前,会进行密码的备份操作。如果密码备份失败,改密不会进行。
密码备份策略可以同时指定多种密码备份方式,只要任一方式备份成功,则会进行改密。如采用密码分段方式,需要保证两段密码都备份成功。
Note: 当改密计划关联的密码规则中,备份方式勾选的是邮件备份时,如果使用本地postfix转发的方式发送密码备份邮件,运维审计系统统一认为密码备份成功;如果不使用本地postfix转发的方式发送,运维审计系统将根据邮件服务器的响应来判断密码是否备份成功。
-
超级管理员在中单击测试,填写收件人的邮箱,测试邮件是否发送成功。
-
超级管理员在中单击测试,查看文件服务器是否与运维审计系统连通。
5.15.2.2 没有可改密的账号
在改密计划的关联账号处,没有指定账号,或者动态关联的规则没有匹配到账号。
超级管理员或配置管理员在中,单击改密计划对应的编辑,在关联账号页面,查看指定账号是否为空。或单击动态关联,在弹出对话框中单击查看账号,查看关联账号是否为空。
5.15.2.3 上一次改密失败,不可再改密
运维审计系统出于对密码安全的考虑,在改密失败后,不可直接进行下一次改密。如需继续进行改密,需要进行登录测试以确认密码。
-
在中,选择相应的资产类型,并在帐号列表中单击改密失败帐号对应的编辑。
-
在密码管理页面,单击登录测试。出现登录成功弹窗,代表密码确认成功,可以继续进行自动改密。
5.15.2.4 目标资产缺少相关协议或协议被禁用
字符资产的改密需要资产处拥有Telnet或者SSH协议,并且该协议没有被禁用。
使用超级管理员或配置管理员进入资产,选择相应资产,查看相应协议是否存在,或者是否被禁用。
5.15.3 Windows资产Agent方式改密失败
5.15.3.1 Agent服务没有安装或Agent配置错误
如果需要使用Agent改密,需要Windows资产安装Agent,并保证Agent配置正确。
-
进入Windows资产,打开进程管理器,查看是否存在agent.exe进程。如存在agent.exe进程,鼠标右击该进程,单击打开文件所在的位置。
-
双击运行agent.exe同目录下的AgentConf.exe,查看服务器端的IP和端口是否正确。
5.15.3.2 Agent协议网络不通
Agent协议的连接方式为Windows资产连接运维审计系统的3301端口,需要保证Windows资产到运维审计系统的3301端口连通。
-
进入Windows资产,使用Telnet工具测试Windows资产到运维审计系统的3301端口的连通性。
-
进入Windows资产,使用Ping命令测试Windows资产到运维审计系统的网络连通性。
5.15.3.3 目标资产不存在待改密账号
-
进入Windows资产,查看是否存在待改密账号。
-
查看运维审计系统改密结果中的改密记录,是否提示找不到用户名。
5.15.3.4 密码复杂度不符合要求
如果目标资产有密码复杂度要求,设置简单密码时,将改密失败。
查看运维审计系统改密结果中的改密记录,是否提示密码不满足密码策略的要求。
5.15.3.5 运维审计系统实际使用RPC方式改密,并失败
运维审计系统对于Windows资产的改密顺序为先尝试进行Agent改密,当检测到Agent协议不通时,进行RPC改密。所以当配置了Agent改密,并改密失败后,并不一定是Agent阶段失败,也有可能是RPC阶段失败。
如需确认改密失败是Agent阶段还是RPC阶段失败,可以将Windows资产的Agent工具指向运维审计系统的地址故意填错,以使Agent连接失败。重新进行改密,查看改密的报错是否一致,如果报错一致说明是RPC方式改密失败。
5.15.3.6 目标资产上存在多IP,导致运维审计系统连接IP时,Agent判断错误
运维审计系统添加的目标资产的IP地址,和目标资产使用Agent回连运维审计系统时的源IP地址不是同一个地址。造成运维审计系统不认为该资产使用了Agent方式连接。
在目标资产中配置Agent,添加本地IP地址。将目标资产上拥有的相关本地IP地址都进行填写。
5.15.3.7 其他原因
请联系技术支持人员搜集Agentmgr服务的日志信息,排查并解决问题。
5.15.4 Windows资产RPC方式改密失败
当Windows资产没有配置Agent,或配置了Agent,但Agent连接失败时,运维审计系统会进行RPC方式的改密。
5.15.4.1 没有托管特权账号、待改密账号的密码或托管密码错误
RPC改密要求运维审计系统托管了特权账号密码,或托管了待改密账号密码。
-
在中,选择相应的资产类型,并单击改密失败账号对应的编辑,单击登录测试,查看登录测试的结果是否正常。
-
查看改密报错日志,是否存在如下报错信息:User
account administrator, impacket.smbconnection.SessionError: SMB SessionError:
STATUS_LOGON_FAILURE(The attempted logon is invalid. This is either due to a bad
username or authentication
information.)。
5.15.4.2 待改密账号不存在
-
进入Windows资产中查看待改密账号是否存在。
-
查看改密报错日志,是否存在如下报错:administrator,
SAMR SessionError: code: 0xc0000073 - STATUS_NONE_MAPPED - None of the information
to be translated has been
translated.。
5.15.4.3 网络异常
改密时,运维审计系统会根据Windows资产的版本,连接的TCP135、139、445中的其中一个端口。需要保证运维审计系统到Windows资产的以上端口通畅。
通过问题诊断功能,测试运维审计系统到目标资产的TCP135、139、445端口连通性。
5.15.4.4 RPC服务异常
Windows资产的RPC服务需要工作正常,改密才会成功。
-
在Windows资产的服务列表,查看Remote
Procedure Call是否处于运行中。
-
在Windows资产的进程列表,查看是否存在lsass.exe进程。
-
查看改密报错日志,是否存在RPC相关报错。
5.15.4.5 该Windows设备手工改密也异常
如果由于Windows设备系统异常或服务异常,导致手工在该设备上改密也失败,则通过运维审计系统也会改密失败。
通过高权限管理员以RDP方式登录到待改密Windows设备,进入用户管理。尝试对相应账号进行手工改密,查看是否有报错。
5.15.4.6 其他原因
请联系技术支持人员搜集Tomcat服务和arm服务的日志信息,排查并解决问题。
5.15.5 字符资产改密失败
5.15.5.1 不支持的设备类型
运维审计系统支持改密的主机字符资产包括Linux、AIX、HP UX。网络字符资产包括H3C Comware、Cisco、Huawei Quidway、Juniper
Netscreen。
当待改密资产不满足上述资产类型要求时,可以通过自定义改密方法解决。
5.15.5.2 改密会话登录失败
改密需要运维审计系统使用SSH/Telent协议登录到字符资产。如果改密会话登录失败,则改密也会失败。
- 可以通过运维审计系统的问题诊断功能,查看运维审计系统到字符资产的端口是否通畅。
- 在中,进行字符资产的登录测试,查看是否成功。
- 如果是因为登录过程的交互存在问题,导致登录会话失败,可以通过资产适配功能进行提示符或者命令的适配。
5.15.5.3 没有托管特权账号、待改密账号的密码或托管密码错误
字符资产改密要求运维审计系统托管了特权账号密码,或托管了待改密账号密码。
在中,选择相应的资产类型,并在账号列表中单击改密失败账号对应的编辑,在密码管理页面,单击登录测试,查看登录测试是否正常。
5.15.5.4 改密的交互步骤不一致
字符资产改密的逻辑是运维审计系统使用SSH/Telent协议登录到字符资产后,执行passwd命令进行交互式的改密操作。当目标资产的passwd的交互过程和标准Linux的不一致,则会出现改密失败。
标准Linux的特权账号改密过程:
标准Linux的普通用户改密过程:
- 访问目标资产,执行passwd命令,查看改密的具体交互过程。查看是否与标准Linux的改密过程一致。
- 查看改密日志,是否有交互步骤出错的记录。
- 如果确认改密交互步骤与标准Linux的不一致,可以使用自定义改密方法。
5.15.5.5 密码复杂度不符合要求
如果目标资产有密码复杂度要求,设置简单密码时,将改密失败。
- 查看改密日志,是否有关于密码过于简单的提示。例如:BAD PASSWORD: is too similar to the old
one。
- 尝试使用随机生成密码的策略,以使密码满足复杂度要求后,重新进行改密尝试。
- 某些Cisco设备不能设置以数字开头的密码。
5.15.5.6 改密过程交互过慢导致超时
运维审计系统改密过程中,会话的登录超时和每个步骤交互超时默认为20秒。如果会话登录或设备交互过慢会导致改密失败。
- 中,选择相应的资产类型,并在账号列表中单击改密失败账号对应的编辑,在密码管理页面,单击登录测试,查看登录测试是否过慢。
- 查看改密日志,是否有关于超时的提示。例如:timeout when matching:。
- 通过配置资产适配,修改交互超时时间。该配置影响登录超时以及每个步骤的交互超时。
5.15.5.7 目标设备编码为中文导致使用切换自方式改密失败
当目标设备编码为中文,在使用切换命令su后出现的密码提示为中文,导致匹配失败,从而改密失败。
通过资产适配,在账号切换命令前指定系统编码。例如:export LANG=C
LC_ALL=en_US.UTF-8;su - root。
5.15.5.8 英文语言环境设置失败
在使用默认脚本改密时,脚本会执行设置英文语言环境的语句,以使得当前会话的交互内容都为英文,从而匹配所有的改密步骤。如果英文语言环境设置失败,可能会导致改密失败。
- 查看目标设备是否是麒麟、凝思等国产Linux操作系统。
- 查看改密过程中是否包含中文,是否出现中文内容后提示匹配超时信息。
5.15.5.9 Linux设备改密计划中同时对个资产的多个特权账号执行改密
账号的密码被修改后,在同一个改密队列中该密码不会被及时更新,此时运维审计系统使用旧密码去修改同一队列中的其他账号,就会造成改密失败。
改密队列中,会依次按照切换自账号、普通账号、特权账号的顺序分批次进行改密。
因此,Linux设备如果托管了多个特权账号,且在改密计划中对这多个特权账号同时执行改密,虽然使用一个特权账号登录资产改密失败时,会尝试继续遍历其他所有特权账号,但如果其他所有特权账号的密码都已被修改/未托管/托管错误,则将造成遍历使用所有特权账号修改该账号的密码后依然失败。
- 查看改密结果中,是否部分特权账号已经改密成功,且其他的特权账号改密失败。
- 针对改密失败的账号再次执行改密,正常情况下将会改密成功。
5.15.6 思科设备改密失败
5.15.6.1 没有托管enable账号
思科设备的改密需要进入enable模式下才能够进行,所以一定要托管enable账号/密码。
-
给该资产托管enable账号/密码。enable需切换自别的账户。
-
enable账号/密码托管后,需要执行登录测试,且测试的结果为登录成功。
5.15.7 自定义脚本改密失败
本故障排查针对的自定义改密脚本类型包括Telnet和SSH。
5.15.7.1 需要转义的字符没有被转义
改密脚本的匹配字段可以使用正则表达式进行匹配,当遇见某些特殊字符时,需要进行转义。
转义字符包括$ ( ) . * + [ ] ? \ ^ { }
|。转义方式为待转义字符前加反斜杠。例如:$
需转义为\$
。
5.15.8 改密后用户密码丢失
改密后,通过运维审计系统使用当前密码无法登录目标设备,尝试历史密码中的所有密码进行登录,均失败。
5.15.8.1 用户改密设备具有多IP,重复修改了该相同主机的多IP
如果某台主机具有多IP地址,例如同时拥有节点IP、浮动IP的场景,对相同主机的多IP重复修改密码,会有此现象。
-
查看丢失密码的设备是否属于复杂多机部署,并且具有节点IP和浮动IP。
-
查看丢失密码的设备,是否存在多个IP地址,该多个IP地址是否在改密计划中以不同资产来体现。
5.15.9 登录测试失败
在账号管理中进行登录测试失败,但是在资产中登录测试成功。
5.15.9.1 提示问题或者运维审计系统中用于进行登录测试的客户端和目标资产不兼容
请联系技术支持人员搜集Tomcat服务和arm服务的日志信息,排查并解决问题。
5.15.10 改密时产生报错没有可改密的条目:人工直接改密
在中单击待改密帐号对应的编辑,在密码管理页签中执行自动改密,产生报错没有可改密的条目:人工直接改密。
5.15.10.1 上一次改密失败,不可再改密
运维审计系统出于对密码安全的考虑,在改密失败后,不可直接进行下一次改密。如需继续进行改密,需要进行登录测试以确认密码。
-
在中,选择相应的资产类型,并在帐号列表中单击改密失败帐号对应的编辑。
-
在密码管理页面,单击登录测试。出现登录成功弹窗,代表密码确认成功,可以继续进行自动改密。
5.16.2 使用客户端回放方式时,图形回放窗口打开后闪退
用户在中,设置采用客户端回放方式。然后在中,单击回放,出现回放窗口图标,但未开始播放回放就自动关闭。
5.16.2.1 未安装JAVA或JAVA版本不对
如需观看图形会话的回放,用户本地PC中,必须安装JRE/JDK,并且保证当前只有一个可用的JAVA环境。
5.16.2.2 配置了端口映射,但图形服务(Web方式)端口映射配置错误
具体有以下几种可能。其中映射前的端口正常情况下即为运维审计系统实际的图形服务(Web方式)端口,也就是审计回放端口。
-
检查是否映射了审计回放端口。如未映射则添加映射。
-
检查映射配置中映射前的端口、映射后的端口,以及运维审计系统的审计回放端口,这三者是否一致。如不一致则全部修改为一致。
Note: 运维审计系统的审计回放端口,请在界面,查看图形服务(Web方式)端口。
5.17.1 集群部署失败
5.17.1.1 部署脚本执行到某一步时异常
如果集群部署满足相关前提条件,并且网络层面放开所有端口,部署脚本失败可能是由于某一步执行异常,这时可以通过恢复出厂设置方式后重新部署。
-
进入各个节点的Console控制台菜单,选择,恢复出厂设置。
-
等待各个节点恢复出厂设置后,重新进行集群部署。
-
如果集群部署依然在那一步异常,请联系技术支持人员,排查并解决问题。
5.17.2 集群的Web界面无法访问
Ceph故障,导致集群的Web界面无法正常打开,字符和图形会话无法建立。
5.17.2.1 Ceph Mon Leader节点时钟跳变
运维审计系统的集群采用CephFS作为分布式共享文件系统供各节点之间进行文件共享。当集群中某个节点的系统时间发生跳变后,将导致Ceph
Mon节点间认证失败,Ceph文件系统故障,从而导致集群无法使用。
Ceph Mon Leader节点时钟发生跳变,可能有以下几种原因:
- 配置的NTP服务器的时钟发生跳变。
- 用户手动修改某节点的系统时间。
- 节点所在的虚拟机发生了热迁移,迁移到一台时钟错误的硬件上。为了减少此问题出现的频率,在使用集群时,建议如下:
- 虚拟机部署的用户将不同的节点固定在不同的物理机上,且禁止热迁移。
- 采用硬件部署的运维审计系统搭建集群。
-
检查集群中是否存在系统时间错误的节点。
-
将该节点的系统时间修改为和其他节点一致。
-
重启集群。
-
登录集群所有节点的Console控制台。
-
在任一节点的Console控制台中,选择,输入y,开启维护模式。
-
在所有节点的Console控制台中,选择,输入y,重启集群各节点。
-
再次登录任一节点的Console控制台,选择,输入y,关闭维护模式。
5.18.1 脚本执行输出显示不完全
由于Excel记录的行数有限,对于完整的输出结果需要在该表格的最后一列,获取完整输出中查看。
查看下载后的表格,访问最后一列获取完整输出中的URL。
6.1 收集客户端日志
当出现访问异常时,请根据访问环境和方法选择收集相关的客户端日志来分析问题。
6.1.1 收集浏览器日志
当访问Web页面时异常时,请收集浏览器日志来分析问题。
收集项 |
收集方法 |
---|
浏览器请求/响应信息 |
当出现页面加载不成功、页面部分元素加载异常、页面加载速度较慢等异常时,请收集浏览器的请求/响应信息,Chrome、Firefox和IE的收集方法都相同。- 打开浏览器,按下F12激活开发者调试工具。
- 选择Network页签。
- 再次访问之前出现异常的Web页面,在Network中查看关于该网页的请求/响应信息。
|
浏览器证书相关信息 |
请收集到浏览器证书信息、加密协议、密钥算法等信息,以Chrome为例。- 打开浏览器,按下F12激活开发者调试工具。
- 选择Security页签,收集证书、加密协议、密钥算法等信息。
|
6.1.2 收集SSH客户端日志
当访问SSH会话异常时,请收集SSH客户端日志来分析问题。
收集项 |
收集方法 |
---|
字符终端下SSH命令的连接日志 |
执行SSH命令时带上-v参数(-v代表verbose级别,最高为三级),例如ssh
root@1.1.1.1 -vvv。 |
Xshell SSH连接日志 |
- 打开Xshell软件,单击,在出现的新窗口,单击。
- 勾选SSH版本,算法交换和用户身份验证。
- 启动一个新的SSH会话,该SSH会话的连接日志会显示出来。
|
6.1.3 收集Windows系统日志
访问出现异常可能与Windows本身的环境有关,请收集Windows系统日志进行分析。
收集项 |
收集方法 |
---|
Windows系统信息 |
进入CMD命令行界面,输入systeminfo查看系统信息。 |
Windows事件日志 |
按下组合键WIN+R,输入eventvwr打开事件查看器,再单击查看系统事件日志。 |
6.1.4 收集AccessClient日志
通过运维审计系统的Web界面启动的会话,会调用AccessClient工具,当访问资产异常时,请收集AccessClient的日志。
收集项 |
收集方法 |
---|
AccessClient调用本地应用的日志 |
打开此电脑,在地址栏输入%temp%进入临时目录,找到AccessClient.log。 |
Web页面图形会话在线回放的日志 |
打开此电脑,在地址栏输入%temp%进入临时目录,找到GuiPlayer.***.log。 |
RemoteAPP应用打开方式的日志 |
打开此电脑,在地址栏输入%temp%进入临时目录,找到***_rdcshell.tmp.log。 |
6.1.5 收集客户端软件版本信息
当通过客户端软件访问运维审计系统出现异常时,请收集客户端软件的版本信息,以便于搭建复现问题的环境。
收集项 |
收集方法 |
---|
Windows软件版本 |
软件版本信息一般位于菜单栏中。 |
MAC软件版本 |
软件版本信息一般位于菜单栏中。 |
Linux软件版本 |
执行命令rpm -q 软件包名称
查看软件版本,例如rpm -q openssh-clients。 |
6.2 收集目标资产日志
当出现访问异常时,也可能是目标资产出现异常,请收集目标资产日志来分析问题。
6.2.1 收集Linux系统日志
当通过运维审计系统访问Linux设备异常时,请收集该Linux设备的日志来分析问题。
收集项 |
收集方法 |
---|
message日志 |
该日志记录系统服务、kernel等信息。日志路径一般为/var/log/messages,该日志一般会以周为单位进行回滚,如有必要请收集所有时间戳的messages日志。 |
secure日志 |
该日志记录用户认证相关信息。日志路径一般为/var/log/secure,该日志一般会以周为单位进行回滚,如有必要请收集所有时间戳的secure日志。 |
6.2.2 收集Windows系统日志
当通过运维审计系统访问Windows设备异常时,请收集该Windows设备的日志来分析问题。
收集项 |
收集方法 |
---|
事件日志 |
按下组合键WIN+R,输入eventvwr打开事件查看器,再单击查看系统事件日志。 |
授权信息 |
|
RDP属性 |
|
6.3 收集运维审计系统日志
当出现访问异常时,可能是运维审计系统出现异常,请收集运维审计系统日志来分析问题。
当访问目标设备出现异常时,可以通过收集会话操作日志分析问题。
收集项 |
收集方法 |
---|
字符会话 |
字符会话日志通过Web页面收集。- 进入审计页面,单击字符会话。
- 选择相应的字符会话,单击更多,单击下载。
|
图形会话 |
通过Web页面收集图形会话日志。- 进入审计页面,单击图形会话。
- 选择相应的图形会话,单击更多,单击下载。
|
6.4 收集Windows应用发布服务器日志
当访问数据库、应用系统等出现访问异常时,请收集应用发布服务器的日志来分析问题。
收集项 |
收集方法 |
---|
事件日志 |
当应用发布服务器工作异常时,请按下组合键WIN+R,输入eventvwr打开事件查看器,再单击查看系统事件日志。 |
WebDriver日志 |
当使用Chrome和Firefox浏览器时会调用WebDriver,如果网页访问异常,请收集WebDriver日志,路径为winlogon目录\qwa.log。 |
AppAuto信息 |
当使用C/S应用代填时会调用AppAuto,如果C/S应用代填异常,请收集AppAuto日志,路径为winlogon目录\appauto.tmp。 |