• 检查本地PC的网络配置是否正常。
• 通过ping命令检查本地PC到运维审计系统的连通性。
• 通过traceroute、tracert等命令，进行路由路径检测。

• 通过telnet命令，进行端口测试。
• 查看本地PC到运维审计系统之间，是否有防火墙拦截。
• 通过tcpdump命令进行抓包，查看故障原因。管理员可以在系统设置 > 系统 > 问题诊断进行运维审计系统的tcpdump抓包。
• 查看是否修改了运维审计系统相关服务的端口。管理员可以在系统设置 > 系统 > 基本设置 > 端口配置中查看。

• 通过ping命令检查运维审计系统到外部设备的连通性。管理员可以在系统设置 > 系统 > 问题诊断中进行运维审计系统发起的ping测试。
• 通过traceroute命令，进行路由路径检测。管理员可以在系统设置 > 系统 > 问题诊断中进行运维审计系统发起的traceroute测试。

• 通过telnet命令，进行TCP端口测试。管理员可以在系统设置 > 系统 > 问题诊断中进行运维审计系统发起的telnet测试。
• 通过nmap命令，进行UDP端口测试。管理员可以在系统设置 > 系统 > 问题诊断中进行运维审计系统发起的nmap测试。
• 通过tcpdump命令进行抓包，查看故障原因。管理员可以在系统设置 > 系统 > 问题诊断进行运维审计系统的tcpdump抓包。
• 查看运维审计系统到外部设备之间，是否有防火墙拦截。
• 查看外部设备是否修改了默认服务端口。
• 登录外部设备系统，查看端口监听情况。
• 登录外部设备系统，查看相应服务日志。

• 测试应用发布服务器到运维审计系统的数据库端口是否连通；测试运维审计系统到数据库服务器的数据库端口是否连通。
• 查看运维审计系统和数据库服务器的数据库端口是否被监听。
• 查看应用发布服务器到运维审计系统之间，运维审计系统到数据库服务器之间，是否有防火墙拦截。

• 进行主节点的切换，看浮动IP是否只能存在于特定节点上。
• 询问网络管理员是否有针对运维审计系统配置了MAC地址绑定。

• 复现问题，并进行长ping测试。查看异常时间段内，网络是否出现震荡、丢包率高、延迟高等现象。
• 切换网络或者直连运维审计系统进行测试，看能否复现问题。
• 复现问题，并在客户端、运维审计系统、目标资产处分别抓包，将抓包结果发送给技术人员分析。

• 询问客户的网络管理员或安全管理员，近期是否有网络变更或新增安全设备。
• 切换网络或者直连运维审计系统进行测试，看能否复现问题。
• 复现问题，并在客户端、运维审计系统、目标资产处分别抓包，将抓包结果发送给技术人员分析。

• 图形会话操作时，打开任务管理器，观察网络出口的流量变化。
• 尝试访问偏静态的画面，看操作是否流畅。
• 尝试更换网络环境，看操作是否流畅。

1. 请联系技术支持人员，重启common和elasticsearch服务。
2. 重新安装补丁包。

1. 联系技术支持，手工删除被占用的文件。
2. 重新安装补丁包。

1. 检查运维审计系统的系统时间和本地时间是否一致。
   由于授权过期后不能使用Web界面的功能，请登录Console控制台，并选择Date and Time检查系统时间。
2. 如系统时间与本地时间不一致，请将系统时间修改为与本地时间一致。
   • 部署在CAS云平台且安装了Cas Tools的场景：联系CAS平台管理员检查CAS时间是否正确，不正确则修改CAS平台的时间，完成后运维审计系统将会自动同步。
     Note: 对于运维审计系统部署在CAS云平台中，且安装了CAS Tools的场景（即使用linux-cas或linux-cas-ap命令安装的场景），系统时间将自动从CAS平台同步，因此在此修改系统时间无效。CAS管理员修改CAS时间的方法如下：

     1. 通过SSH登录CAS后台。
     2. 使用date命令查询当前系统时间。
     3. 使用date -s命令修改系统时间，例如

        date -s "2021-04-26 20:11:15"

     4. 使用hwclock –w命令将系统时间同步到硬件。
   • 其他场景，在Console控制台的Date and Time界面中，使用手工校准或配置NTP服务，将系统时间修改正确。
3. 重启运维审计系统。
   运维审计系统每次时间改变后就会执行授权检测。从CAS同步时间的场景，重启运维审计系统才能重新从CAS获取时间，并执行授权检测。请在Console控制台执行重启。其他场景虽然不需要重启就能使时间和授权生效，但修改系统时间后，如果不重启运维审计系统，将会影响定期任务的执行。请在Web界面或Console控制台执行重启。

• 尝试以管理员身份重装AccessClient，观察安装过程有没有被拦截。
• 打开安全软件的管理页面，查看黑名单列表中是否有AccessClient相关程序。
• 更换另外环境的一台PC，尝试使用，查看是否正常。

• 移走文件，使AccessClient重新关联应用。
  1. 找到关联错误的客户端的EXE文件，将其移到其他目录。
  2. 通过Web页面访问该资产。在出现的选择客户端的弹窗中，选择正确的客户端应用。
  3. 将1中移走的错误客户端文件，还原回之前目录。
• 删除注册表中关联错误的键值。
  Note: 删除程序相关的注册表时，可能造成程序运行时因为路径丢失，缺少扩展支持组件，出现错误；删除系统关键部位的注册表时，可能导致计算机出现致命错误，甚至导致整个系统损毁。因此，请谨慎操作。
  1. 打开运行窗口。输入regedit，进入注册表管理。
  2. 分别在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths路径下，寻找客户端程序名的键值。如果找到，删除该键值。
  3. 通过Web页面访问该资产。在出现的选择客户端的弹窗中，选择正确的客户端应用。

• 修改Firefox的配置，调用AccessClient。
  1. 进入选项 > 常规。
  2. 在应用程序中找到内容类型为accessclient的条目，选择打开方式为使用 访问客户端 处理（默认）。
• 移走文件，使Firefox重新关联AccessClient。
  1. 找到关联错误的应用程序的EXE文件，将其移到其他目录。
  2. 通过Web页面访问任一资产，在出现的选择应用程序的弹窗中，选择访问客户端，并且勾选记住我对AccessClient链接的选择。
  3. 将1中移走的错误应用程序文件，还原回之前目录。

• 修改客户端属性。
  1. 右键单击应用程序，选择属性。
  2. 进入兼容性标签页，勾选以管理员身份运行此程序。单击更改所有用户的设置，勾选以管理员身份运行此程序。单击确定。
• 如果使用的是绿色版的客户端软件，请卸载该软件，并使用安装版本的软件。

1. 使用操作员登录系统，进入访问资产菜单。
2. 如果页面左上角出现安装AccessClient的提示，单击已安装。

不同版本的Firefox浏览器，操作步骤有少许上的差异，此处以Firefox76为例进行介绍。

1. 单击Firefox浏览器右上角的，选择选项，在常规中找到应用程序模块。
2. 单击accessclient对应的操作，在下拉菜单中选中使用 访问客户端 处理（默认）。

• 按F12键打开浏览器的开发者调试模式，进入network页签。重新单击该应用图标，查看网页请求中是否包含图下所示的请求。
  
  
  
  
  
• 如果看不到该请求，请更换PC尝试。
• 如果更换PC仍然看不到该请求，请联系技术支持人员。

• 通过Ping命令，检测本地PC到运维审计系统之间的网络。可以指定Ping包的大小，来测试大包的响应。如果出现丢包率高、延迟率高等问题，则需要注意。
• 询问网络管理员或安全管理员，近期是否有网络变更或新增安全设备。
• 尝试安装运维审计系统的根证书，消除证书错误后再次访问，查看页面加载速度是否缓慢。

• 尝试更换浏览器访问，查看加载速度是否有提升。
• 按下F12激活开发者调试工具，选择Network页签，再次访问之前访问慢的页面，在Network中查看关于该网页的请求、响应信息，查看哪个资源的加载最占用时间。

• 在系统设置 > 系统 > 系统状态中查看Tomcat服务是否异常。
• 联系技术支持人员搜集Tomcat的日志信息，排查并解决问题。

• 通过在浏览器手动输入运维审计系统的地址进行访问，看是否正常。
• 联系技术支持人员，在SSL VPN或者外链请求时，搜集
Nginx服务日志（access.log），排查并解决问题。

• 检查输入的用户名是否正确，管理员可以在用户 > 用户列表中查看系统中全部用户。
• 输入正确的用户名或者向管理员申请创建新用户。
• 如果使用了第三方身份验证，请检查LDAP、AD或Radius等第三方认证服务器上是否存在对应的账号。

• 请检查输入的密码是否正确。
• 如果使用了第三方身份验证，可以检查LDAP、AD或Radius上的相关日志。
• 如果忘记密码，管理员可以在用户 > 用户列表中重置该账号的密码。
• 如果超级管理员遗忘密码，可以尝试使用其他超级管理员账号在Web界面中重置。
• 如果只有一个超级管理员账号，可以在Console控制台菜单的R.Reset admin中重置。

• 管理员可以在系统设置 > 用户 > 登录认证中找到对应的身份验证方式并进行登录测试。
• 管理员也可以在系统设置 > 系统 > 问题诊断中使用ping和telnet工具检查系统到身份验证服务器的连接。
• 如果管理员也无法登录时，可以在Console控制台菜单的R.Reset admin中重置管理员密码，重置后管理员的身份验证方式将被修改为本地密码验证。
• 复杂多机部署时，需要确保所有节点均和身份验证系统的通讯正常。
• 如果故障和网络无关，请检查第三方身份验证系统本身的可用性。

• 管理员可以在系统设置 > 系统 > 系统时间中检查系统时间是否正确，如果不正确可以进行调整后再次尝试登录。
• 对于通过手机令牌认证的用户，需要检查手机的时间是否正确，可以调整后再次尝试登录。
• 对于TOTP令牌认证的用户，可以尝试在系统设置 > 用户 > 动态令牌中同步。如果同步后依然无法使用，请考虑更换令牌。

• 使用超级管理员身份登录运维审计系统的Web界面，在系统设置 > 用户 > 登录控制查看是否设置了全局登录控制规则。
• 使用配置管理员身份登录运维审计系统的Web界面，在用户 > 用户列表中单击该用户对应的编辑，在高级属性中检查用户登录控制相关的设置。

• 根据提示IP，在已登录的设备上注销所有会话，包括Web、SSH和RDP会话。
• 等待已登录的Web会话自动超时退出。
• 管理员可以在系统设置 > 资产 > 访问设置 > 所有会话中禁用同一用户账号同时只允许从一个IP地址访问。
• 管理员可以在系统设置 > 资产 > 访问设置 > 所有会话中设置WEB超时时间，并且设置会话切断策略为切断，使得从Web页面启动的SSH或RDP会话超时后自动断开。

• 使用ping检查客户端到服务器之间的网络延迟。
• 在IE或者Chrome中可以按F12键打开开发者模式，重新访问一次，在network中检查页面资源的加载速度。

1. 管理员在系统设置 > 系统 > 系统状态中查看当前系统负载。
2. 如果系统负载高，请进一步排查系统负载高的原因。
   可能的原因包括并发会话数高，并发登录用户多等等。

• 管理员在系统设置 > 用户 > 登录认证中找到对应的身份验证方式并进行登录测试。
• 管理员在系统设置 > 系统 > 问题诊断中使用ping工具检查系统到身份验证服务器的延迟。

• 管理员在系统设置 > 系统 > 基本设置 > 告警事件中检查是否启用了通知邮件事件来源中的身份验证。如果启用了，取消设置即可。
• 管理员在系统设置 > 系统 > 基本设置 > 邮件服务中单击测试检查邮件服务器。

• 请排查本机是否登录错误次数过多。
• 请查看本机到堡垒机的网络，是否有过源地址NAT。如果同一个NAT出口的IP被大多数内网PC使用，在内网中某台PC经常输错密码的情况下，堡垒机对于该NAT出口IP很容易达到客户端锁定次数。

1. PC端安装中间证书或用户证书时，在证书导入向导页面，存储位置应选择为当前用户。
2. 在选择证书存储位置页面。中间证书应选择中间证书颁发机构，用户证书应选择个人。

1. 管理员在系统设置 > 系统 > 定期任务 > LDAP同步中，将ldap用户属性关系*的账号属性修改为mail。
2. 再次执行同步操作。
3. 同步账号成功后，需要在系统设置 > 用户 > 登录认证 > AD/LDAP中，单击该条认证记录对应的编辑，在弹出的对话框中将用户名属性*修改为mail，才能认证成功。

• 在客户端处ping运维审计系统的IP地址，检查网络是否连通。
• 检查客户端到运维审计系统之间的防火墙设置是否允许22端口访问。
  Note: 如果在系统设置 > 系统 > 基本设置 > 端口配置中修改了运维审计系统的字符访问端口，请检查相应的端口是否连通。
• 检查运维审计系统的网络是否正常。

• 检查目标资产是否开启了相应的端口，通常在Linux上执行netstat -ntl可以查看端口的监听情况。
• 检查运维审计系统到目标资产的网络是否连通。配置管理员在资产 > 资产清单中单击目标资产对应的编辑，在基本属性中通过ping检查网络连接情况。如果无法ping通，请检查路由和防火墙设置。
• 检查系统到目标资产的SSH或者Telnet端口是否连通。配置管理员在资产 > 资产清单中单击目标资产对应的编辑，在访问协议中编辑对应的协议，在高级中通过连通检测可以检查端口是否开放。如果端口关闭，请检查路由或者防火墙设置。

• 检查目标资产的系统日志中是否有拒绝连接的日志。一般在Linux的/var/log/secure中有refused connect from提示信息。
• 检查目标资产的/etc/hosts.allow和/etc/hosts.deny设置，并修改为允许运维审计系统访问。

• 联系技术支持人员打印客户端SSH连接的debug信息。检查debug信息是否只进行到读取本地私钥的阶段便停止，再无输出。
• 分别在运维审计系统和目标设备上抓包，查看是否客户端侧有TCP的三次握手，但是目标设备端只有两次握手。如果存在此情况，则是用户网络将客户端发出的第三次握手数据包拦截。
• 联系技术支持人员分别在运维审计系统和目标设备上抓包，在目标设备的抓包上看是否连接被运维审计系统端RST了，在运维审计系统的抓包上看连接是否被目标设备端RST了。
  如果这种现象存在，则可能运维审计系统到目标设备的网络路径中存在安全设备，安全设备阻止了运维审计系统到目标设备的SSH连接。可能的安全设备包括：IPS、防火墙、WAF。
• 询问网络管理员、安全管理员，运维审计系统和目标设备之间是否存在安全设备。

1. 尝试使用Xshell或者putty直接访问目标资产，观察登录过程是否有特殊提示符。比如用户名提示、登录密码提示、登录提示、登录后的banner等等。
2. 如果登录过程存在特殊提示符，请将登录过程记录下来，并发送给技术人员处理。

• 检查目标资产在运维审计系统中设置的协议端口是否正确。
• 尝试使用运维审计系统设置的端口直接连接目标资产，查看是否能成功登录。

• 检查普通账号是否可以登录成功。
• 在运维审计系统中为特权账号设置切换自。

• 目标资产的大类不支持账号切换自。
  目前运维审计系统仅支持对主机和网络设备配置账号切换自账号。
• 账号切换过程，输入密码时，目标资产明文显示了密码。
  此时运维审计系统会认为密码提示符错误。请检查选择的设备类型是否正确。如果设备类型正确，请确认账号切换命令，并反馈给技术人员。
• 用户名或者密码错误。
  账号切换过程代填密码后，目标设备再次返回用户名提示或者密码提示，通常意味着用户名或者密码错误。
• 其它非预期的情况导致登录失败。例如：向目标资产发送字符时，目标资产连接突然中断。

字符会话的访问方式为scrt，但字符会话关联的应用却是putty。

• 将字符会话的访问方式修改为putty。
• 参考客户端关联错误，重新关联正确的客户端。

1. 检查是否映射了字符服务端口。如未映射则添加映射。
2. 检查映射配置中映射前的端口、映射后的端口，以及运维审计系统的字符审计端口，这三者是否一致。如不一致则全部修改为一致。
   Note: 运维审计系统的字符审计端口，请在系统设置 > 系统 > 基本设置 > 端口配置界面，查看字符服务端口。

1. 将目标资产/etc/ssh/sshd_config配置文件中的UseDNS取消注释并设置为no。
2. 重启目标资产的sshd服务。
   可以通过ps命令查找sshd的pid，然后执行kill -HUP <pid>，使配置生效。

1. 记录客户端软件类型和选择的终端类型。
   可以在目标资产上执行echo $TERM命令查看终端类型。
2. 记录目标资产的资产类型和shell类型。
   可以通过echo $0命令查看当前使用的shell类型。
3. 记录具体的操作过程，将上述信息提供给技术支持人员，排查并解决问题。

• 会话访问用户检查当前客户端的终端编码类型是否正确。
• 超级管理员在系统设置 > 资产 > 访问设置 > 字符终端 > 终端字符编码中查看运维审计系统的编码设置。

• 在目标资产上执行echo $LANG命令查看目标资产的编码设置。
• 配置管理员在运维审计系统的资产 > 资产清单中，单击目标资产对应的编辑，查看资产的系统编码。

• 可以在客户端尝试再次连接运维审计系统的22端口，检查是否能连接上，如果不能，说明客户端到运维审计系统的网络中断。
• 管理员可以在运维审计系统的资产 > 资产清单中对目标资产进行ping和端口的连通检查。

• 管理员可以在系统设置 > 资产 > 访问设置 > 字符终端中查看配置的最大持续时间。
• 操作员可以在账号设置 > 修改信息 > 会话配置 > 字符会话中查看配置的最大持续时间。

1. 在系统设置 > 系统 > 基本设置 > 网络配置中，检查是否配置了DNS。如未配置DNS，则配置能够解析该地址的DNS。
2. 检查是否能ping通资产的域名地址。
   可以使用以下两种方式之一进行检查：

   • 编辑资产时，单击资产IP对应的ping。
   • 在系统设置 > 问题诊断中，使用ping功能。

   Note: 资产界面的ping功能，不支持IPv6域名。如为IPv6域名，必须使用问题诊断界面的ping功能，例如输入-6 test.example.com。
3. 如ping不通域名地址，请在已配置的DNS服务器上，检查是否配置了对该域名的解析；或尝试使用其他DNS服务器。

1. 确认用户是否通过映射后的地址和端口访问运维审计系统的Web界面。否则排查其他原因。
2. 收集AccessClient日志，查看日志中报错的请求地址。
   
   
   
   
   

   Note: 本例中，用户实际需通过10.10.33.130:8443来访问运维审计系统的Web界面（实际IP为10.10.33.37:443)。而日志截图中，连接的是10.10.33.130:443，因此启动会话会失败。
3. 检查映射配置中映射前的Web端口、映射后的Web端口，以及运维审计系统的Web服务端口，这三者是否一致。如不一致则全部修改为一致。
   Note: 运维审计系统的Web服务端口，请在系统设置 > 系统 > 基本设置 > 端口配置界面，查看Web服务端口。

1. 执行命令system-view，进入系统视图。
2. 执行命令public-key local create dsa，生成DSA密钥对。

   [device] public-key local create dsa
   The range of public key size is (512 ~ 2048).
   NOTES: If the key modulus is greater than 512,
          It will take a few minutes.
   Input the bits in the modulus[default = 2048]:1024 // 输入1024
   Generating keys...
   .++++++++++++++++++++++++++++++++++++++++++++++++++*
   ........+......+.....+......................................+..+................
   .......+..........+..............+.............+...+.....+...............+..+...
   ...+.................+..........+...+....+.......+.....+............+.........+.
   ........................+........+..........+..............+.....+...+..........
   .............+.........+..........+...........+........+....+..................
   .....+++++++++++++++++++++++++++++++++++++++++++++++++++

• 在变更单权限下，配置管理员可以在权限 > 权限配置 > 变更单中查看相应变更单时间范围，确认没有超出时间范围。
• 在工单权限下，配置管理员可以在工单 > 工单管理 > 已办工单中查看相应工单的时间范围，确认没有超出时间范围。
• 配置管理员可以在权限 > 权限查看 > 按用户处过滤该操作员，查看是否有相应权限。

• 配置管理员可以在权限 > 权限查看 > 按用户处过滤该操作员，查看是否存在被禁用的变更单。
• 配置管理员可以在权限 > 权限配置 > 变更单中，筛选状态为禁用的变更单进行查看。

• 在动态权限下，配置管理员可以在权限 > 权限配置 > 动态权限处查看相应权限的规则模板的控制策略是否为禁止访问。
• 在变更单权限下，配置管理员可以在权限 > 权限配置 > 变更单中找到相应权限，查看变更单中的规则模板的控制策略是否为禁止访问。
• 在工单权限下，所有的工单的规则模板都是缺省的模板。

• 尝试将单元格的多行数据变为单行数据，查看是否正常。
• 不要使用整个单元格复制，进入单元格中，只复制其中的数据，查看是否正常。

1. 在本地PC中运行regedit，打开注册表编辑器。
2. 检查“MSLicensing”注册表项。
   1. 选择HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > MSLicensing，右键单击权限。
      如果没有“MSLicensing”注册表项，请先新建。
   2. 检查是否给予“ALL APPLICATION PACKAGES”读取权限；如果没有请依次单击添加、高级、依次查找，添加权限。
      
      
      
      
      
   3. 单击上图中的高级，检查所有者是否为当前登录用户。如果不是，请单击更改修改所有者。
      
      
      
      
   4. 检查是否已经启用继承（上图中为关闭继承状态），如果没有启用请单击启用继承。
   5. 注册表修改后，请检查问题是否解决。如果没有解决，请继续以下步骤。
3. 检查采用非Remoteapp方式访问C/S资产是否正常。如果使用非Remoteapp方式访问正常，但是Remoteapp方式存在问题，请参考以下步骤调整RDCShell的权限。
   1. 选择RDCShell.exe（默认安装路径为C:\Program Files (x86)\H3C\AccessClient），右键单击属性。
   2. 选择兼容性页签，单击更改所有用户的设置。
   3. 选择以管理员身份运行此程序，单击确定。
      
      
      
      
      
   4. 选择安全页签，单击编辑给“ALL APPLICATION PACKAGES”授权（如下图所示）。
      
      
      
      
      
   5. 单击确定。

检查阈值设置是否合理，如果不合理，请按以下操作修改。

• 在权限 > 权限配置 > 规则模板界面，单击规则对应的编辑。
• 修改上传/下载单文件限制的阈值，单击保存。

1. 在用户本地的客户端Windows PC中，单击开始菜单，选择运行，或直接按win+R键打开运行。
2. 输入gpedit.msc，并按回车，打开本地组策略编辑器。
3. 在计算机配置 > Windows设置 > 安全设置 > 本地策略 > 安全选项中，禁用系统加密：将FIPS兼容算法用于加密、哈希和签名选项，并再次执行登录测试。

1. 检查是否映射了RDP端口。如未映射则添加映射。
2. 检查映射配置中映射前的端口、映射后的端口，以及运维审计系统的RDP端口，这三者是否一致。如不一致则全部修改为一致。
   Note: 运维审计系统的RDP端口，请在系统设置 > 系统 > 基本设置 > 端口配置界面，查看图形服务（RDP）端口。

• 如果启动的是应用发布会话，请检查运维审计系统和应用发布服务器之间的账号同步是否正常。
• 运维审计系统是通过rabbitmq向webapp请求会话信息，请在系统设置 > 系统 > 系统状态中检查rabbitmq和webapp状态是否正常。

• 使用托管了正确密码的账号访问目标资产。
• 使用any账号访问时勾选输入账号密码参数，输入用户名和密码后单击确定访问目标资产。
• 如果无法托管密码，可以尝试关闭目标资产的NLA。以Windows 2008为例，右击计算机，然后依次单击属性 > 远程设置，在远程设置中选择允许运行任意版本远程桌面的计算机连接(较不安全)。
• 如果远程设置中已经是正确的设置，请检查组策略设置。在目标资产的运行中输入gpedit.msc，打开本地组策略编辑器，单击计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 安全确保要求使用网络级别的身份验证对远程连接的用户进行身份验证设置为未配置。

• 对于Windows Server 2008可以在开始 > 管理工具 > 远程桌面服务 > 远程桌面主机会话配置中右击RDP-Tcp，将加密级别设置为客户端兼容。
• 对于Windows Server 2012/2016可以在控制面板 > 管理工具 > 本地安全策略中将本地策略 > 安全选项 > 系统加密：将FIPS兼容算法用于加密、哈希和签名设置为已禁用。

• 检查是否有其他人在目标资产的任务管理器中将您的会话断开或者注销。
• 检查是否存在网络中断。

• 请检查运维审计系统是否能ping通目标资产。
• 请检查运维审计系统是否能访问目标资产的RDP端口。
• 请检查目标资产是否开放了RDP端口。
• 请检查目标资产在运维审计系统的RDP端口配置是否正确。

• 检查 rlg 日志中是否出现 license connection sequence aborted. 提示。
• 检查任务管理器中的会话连接数。
• 检查目标资产的事件日志中是否有远程桌面终端相关的异常错误。
• 进入RD授权诊断程序，查看是否有远程桌面会话主机服务器许可证的报错。

• 在目标资产的管理工具 > 远程桌面服务 > 远程桌面会话主机配置中，鼠标右击RDP-tcp，然后单击属性，在常规中尝试将安全层修改为RDP。
• 在目标资产的管理工具 > 远程桌面服务 > 远程桌面会话主机配置中，鼠标右击RDP-tcp，然后单击属性，在常规中尝试将加密级别修改为高。
• 您也可以在组策略中调整相关配置，在目标资产的运行中输入gpedit.msc打开本地组策略编辑器，在计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 安全中，查找相关设置项目。

• 使用托管了正确密码的账号访问目标资产。
• 使用any账号访问时勾选输入账号密码参数，输入用户名和密码后单击确定访问目标资产。
• 如果无法托管密码，可以尝试关闭目标资产的NLA。以Windows 2008为例，鼠标右击计算机，然后依次单击属性 > 远程设置，在远程设置中选择允许运行任意版本远程桌面的计算机连接(较不安全)。
• 也可以在远程桌面会话主机配置中关闭NLA。路径为开始 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置。
  
  
  
  
  
• 如果远程设置中已经是正确的设置，请检查组策略设置。在目标资产的运行中输入gpedit.msc打开本地组策略编辑器，单击计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 安全，确保要求使用网络级别的身份验证对远程连接的用户进行身份验证设置为已禁用。

1. 询问网络管理员或安全管理员，近期是否有网络变更或新增安全设备。
2. 切换网络或者直连运维审计系统进行测试，看能否复现问题。
3. 复现问题后，在客户端、运维审计系统和目标资产处分别抓包，将抓包结果交给技术人员分析。

1. 超级管理员在系统设置 > 系统 > 系统状态中检查Tomcat、Rabbitmq和Redis服务状态是否正常。
2. 复现问题。
3. 联系技术支持人员获取webapp、gui和xrdp的日志信息，排查并解决问题。

• 检查目标资产是否存在异常的关机。
• 检查运维审计系统到目标资产的网络是否存在异常。

• 检查网络带宽，尝试升级。
• 尝试使用较小的分辨率访问，避免刷屏。
• 检查是否有其他用户刷屏，占用带宽。

• 配置管理员可以在权限 > 权限查看中，选择按用户或按资产，查找对应的权限及对应的规则模板。
• 在权限 > 权限配置 > 规则模板中找到对应的模板，单击编辑，检查相关设置。

• 在目标资产的管理工具 > 远程桌面服务 > 远程桌面会话主机配置中，鼠标右击RDP-tcp，单击属性，在客户端设置中检查是否禁用驱动器和剪切板。
• 如果目标资产加入了域，请检查是否设置了相关的策略禁止使用剪切板或者磁盘映射。

• 尝试升级客户端mstsc版本。
• 检查客户端是否安装了RDP相关其它软件，比如VDI客户端、其它用于RDP访问的堡垒机客户端等。如果安装了多个，可以尝试卸载后，再次访问。

1. 超级管理员在系统设置 > 系统 > 问题诊断中，通过tcpdump命令抓取访问过程的报文信息。
   可以看到RDP的TCP连接只能收到握手请求，但是无法完成三次握手过程。
2. 检查客户端到运维审计系统之间的防火墙或者IDS设置，如果最近有更新，请检查是否新增了对RDP相关的检测。

• 检查任务管理器中的会话连接数。
• 检查目标资产的事件日志中是否有远程桌面终端相关的异常错误。
• 进入RD授权诊断程序，查看是否有远程桌面会话主机服务器许可证的报错。

• 检查浏览器是否支持Websocket。可以尝试更换浏览器。
  以Chrome浏览器为例进行详细介绍，其他浏览器的操作步骤与Chrome浏览器一致。
  1. 在浏览器中按F12打开开发者模式，并选择Console菜单。
  2. 输入以下内容，并按回车。

     if (typeof WebSocket != 'undefined') {
         console.log("您的浏览器支持Websocket通信协议")
     }else{
     	alert("您的浏览器不支持Websocket通信协议")
     }

     
     
     
     
     
  3. 根据命令执行的回显，判断浏览器是否支持Websocket。
• 检查客户端是否设置了代理服务器，代理服务器是否支持Websocket。
• 检查运维审计系统的Webapp服务是否正常。运维审计系统的Websocket服务由Webapp提供。

• 打开IE的F12开发人员工具，查看当前页面的渲染模式是否被适配成了低于IE11的版本。
  
  
  
  
  
• 如果被适配成了低版本的IE，可以查看IE的兼容性视图，是否将运维审计系统加入了其中。如果加入其中，请将运维审计系统移除。

• 查看目标资产是否监听177/UDP端口。
• 联系技术支持人员查看运维审计系统是否监听6000-6999端口。
• 查看网络路径中是否有防火墙拦截。
• xdmcp会话的双方都不能穿越NAT，请确认运维审计系统到目标设备之间没有NAT设备。

• 检查目标设备是否有修改SSH服务的默认端口。
• 通过telnet命令测试目标资产的SSH服务端口的连通性。
• 在运维审计系统的资产处，进行SSH协议的登录测试。

• 使用xstart工具直连目标资产，测试是否连接成功。
• 查看目标资产的SSHD配置文件，查看是否有设置X11Forwarding yes。

1. 获取目标资产相关的字符集。
2. 根据现有的字符集安装方式进行安装。

1. 参考黑屏闪退检查websocket是否正常。
2. 联系技术支持人员在运维审计系统中搜集gui服务的日志信息。
3. 使用tcpdump进行抓包分析。

• 等待一段时间（达到锁定时长）后重试。
• 通过修改参数方式快速解锁。
  本文以VNC Server 6.5.0 Windows版本为例，不同VNC软件的设置方法可能存在差异，请以软件配套的使用说明书为准。
  1. 运行VNC Server软件，单击右上角的。
  2. 选择Options > Expert，增加BlacklistThreshold（认证失败次数）或减小BlacklistTimeout（锁定时长，单位分钟）的值。
     
     
     
     
     
  3. 单击OK。

1. 运行VNC Server软件，单击右上角的。
   本文以VNC Server 6.5.0 Windows版本为例，不同VNC软件的设置方法可能存在差异，请以软件配套的使用说明书为准。
2. 选择Options > Security，修改Encryption为Prefer on。
   
   
   
   
   

1. 在客户端PC上的cmd中执行tracroute <运维审计系统IP地址>命令。
2. 根据tracroute的返回结果，查看经过的网络设备是否会对http的Body Size进行限制，或者是否会拦截大流量的http请求。

• 检查目标资产的主机防火墙设置及其它可能的黑白名单设置。
• 检查目标资产与运维审计系统之间的防火墙设置。

• 检查目标资产的/etc/ssh/sshd_config中的UseDNS设置，可以尝试设置成no，并重启sshd服务。
• 检查目标资产的系统负载。
• 检查目标资产的磁盘空间。

• 在任务管理器中检查是否存在所提示的进程，如果有请杀掉。
• 在控制面板 > 管理工具 > 服务中检查winsync服务是否处于运行状态，如果是请停止。
• 检查是否有其它活跃的rdp会话，在任务管理器中将其注销。

• 检查运维审计系统中应用发布服务器的地址是否正确，WinSync的状态是否为正常。超级管理员可以在系统设置 > 资产 > 远程客户端 > 应用发布服务器中检查服务器地址和WinSync状态。如果WinSync状态正常说明不是此原因导致。如果地址不正确，请修正后重新检查Winsync状态。
• 检查应用发布服务器是否开机。
• 检查应用发布服务器上的WinSync Service服务状态。您可以在应用发布服务器的开始 > 管理工具 > 服务中检查WinSync Service是否处于已启动状态。如果没有启动可以尝试启动。
• 检查应用发布服务器是否监听了5156端口。在应用发布服务器上执行netstat -na|findstr "5156"可以确定是否监听。
• 检查运维审计系统的IP地址是否加入到WinSync允许IP中。配置方法请参见《应用发布配置指导》，修改后需要重启WinSync Service服务。
• 检查应用发布服务器的主机防火墙和运维审计系统到应用发布服务器之前的网络防火墙设置，允许运维审计系统访问应用发布服务器的TCP/5156端。
• WinSync版本不匹配。一般来说WinSync版本需要使用运维审计系统当前版本的帮助中提供的Winsoft中的版本。

• 请先找到该应用在运维审计系统在的标识名。超级管理员用户可以系统设置 > 资产 > 远程客户端 > 远程客户端中查找应用的标识名。
• 检查应用发布服务器上是否存在相同标识名的应用。请登录到应用发布服务器，在开始 > 所有程序 > H3C > Winlogon > AppServer配置工具中可以找到对应的程序，单击后可以在右侧详情中检查标识是否正确。
• 如果找不到对应的程序，请安装并拖到AppServer配置工具，并确保标识名和运维审计系统上的一致。
• 如果能找到对应的程序，但是标识名不一致，请修改标识名，然后单击菜单栏的保存按钮，同步到运维审计系统。

1. 超级管理员用户进入系统设置 > 资产 > 远程客户端 > 远程客户端。
2. 单击应用发布服务器对应的编辑，在弹出的对话框中将是否参与调度设置为是，完成后单击确定。

• 检查应用发布服务器AppServer配置工具中填写的程序路径是否正确。请登录到应用发布服务器，在开始 > 所有程序 > H3C > Winlogon > AppServer配置工具中可以找到对应的程序，单击后可以在右侧详情中检查程序路径是否正确。
• 在系统设置 > 资产 > 远程客户端 > 应用发布服务器中，单击查看账号，并单击登录，通过运维审计系统登录应用发布服务器所使用的账号，尝试打开Chrome。如果无法打开，说明Chrome所在的路径该用户无法访问，请将Chrome所在的目录复制到用户可以访问的目录，并修改AppServer配置工具中的路径。
• 检查Chrome的版本是否符合兼容性列表中描述的版本号。

• 尝试直接RDP登录到应用发布服务器后，使用浏览器访问B/S应用。
• 检查应用发布服务器和B/S应用之间的网络。

• 使用Chrome浏览器按F12可以打开开发者模式，检查是否有错误，根据错误可以查找被阻止的资源。被阻止的资源将返回404。
• 在运维审计系统的资产中编辑该B/S资产，添加被阻止的站点到白名单，或者也可以取消URL限制。

• 请尝试使用Chrome访问，并取应用发布服务器c:\winlogon\Qwa.log给技术人员。
• 尝试通过Firefox访问。

• 在应用发布服务器上，右键单击这台电脑，选择属性，查看操作系统是否为x64系统。
  
  
  
  
  
• 查看IE浏览器是否为32位的浏览器。如是32位，请安装64位的浏览器。
  Note: 浏览器是32位还是64位，有多种判断方法。可以查看浏览器的安装路径，如在Program Files (x86)目录中，则为32位浏览器；在Program Files目录中，则为64位浏览器。

1. 检查浏览器的版本是否为以上指定版本。如不是则重新安装指定版本的浏览器。
2. 重新安装浏览器后，关闭浏览器的自动更新。
   • IE：IE11目前不会自动升级到更高版本，无需处理。
   • Chrome：
     • 在任务计划程序中，禁用GoogleUpdate开头的两个任务计划程序。
       
       
       
       
     • 在服务中，禁用gupdate和gupdatem两个服务。右键单击，选择属性，并设置启动类型为禁用。如不存在则无需处理。
       
       
       
       
   • Firefox：在Firefox选项中，选择高级 > 更新，选中不检查更新后退出。
     
     
     
     
   • Edge：在服务中，禁用edgeupdate和edgeupdatem两个服务。右键单击，选择属性，并设置启动类型为禁用。
     
     
     
     

• 检查白名单是否设置为了正则表达式。如直接填写IP地址，未设置为正则表达式，将无法匹配成功。
• 检查白名单的正则表达式规则是否正确。如需要限制只能访问某IP地址，需要写成类似http://10.10.10.1/.*的形式，不能写成http://10.10.10.1.*这样的形式，否则将匹配上以此为前缀的很多个IP地址。

• 检查运维审计系统的rdpextsrv服务状态是否正常。
• 检查应用发布服务器上C:\winlogon\目录下的{uuid}appauto.tmp格式命名的最新的日志文件。
• 请联系技术支持人员，检查rdpextchan.log文件。

• 在应用发布服务器的开始 > 管理工具 > 服务器管理器 > 功能检查是否安装了.net framework。
• 如果没有安装请，单击添加功能安装。

• 检查页面资产，是否已填写对应参数值。
• 检查代填脚本，变量名是否支持传参。
• 联系技术支持人员，查看rdpextchan.log文件是否存在异常。

• 没有使用运维审计系统预置的应用来调用。对于运维审计系统上已存在的应用，请勿手动创建第二个同类型的应用。否则可能会关联错误导致预置的应用无法调用。
• WebDriver的安装路径位于用户目录下，导致其他用户无法访问该用户目录，无法调起应用。

• 在系统设置 > 资产 > 远程客户端 > 远程客户端中检查脚本是否匹配。
• 检查脚本兼容的软件版本是否与已发布软件的版本是否一致。推荐使用兼容性列表中推荐的应用。
• 如果应用发布使用2012、2016、2019的系统，请尽量使用名称中包含win2012字段的代填脚本。

• 如果是自己录制的脚本，请检查代填窗口的标题是否包含变动部分，如果有请去掉。
• 检查脚本中是否已经将用户名、密码等字段替换为模板字段。

• 检查代填时是否有中文输入法的选词框。
• 修改应用发布服务器的默认输入法为英文。

• 通过Windows自带的RemoteAPP发布工具，发布该应用的RemoteAPP版本，尝试直接登录，看能否重现问题。
• 在系统设置 > 资产 > 远程客户端 > 远程客户端中，修改该应用不使用RemoteAPP方式启动。

• 如果通用模式不代填，可以尝试高级模式指定模式。
• 使用指定模式时请确保输入了正确的xpath路径。

• 请参考应用发布服务相关的文档，检查Chrome版本是否符合要求。
• 检查应用发布服务器winlogon安装目录下的Qwa.log可以查看是否是因为版本不匹配导致的问题。

请联系技术支持人员依次完成以下操作。

1. 修改gui服务的日志级别为debug。
2. 重启rdpextsrv服务。
3. 复现问题。
4. 搜集rdpextsrv服务的日志信息，排查并解决问题

• 检查配置winlogon中是否已经勾选注册IE插件。如果没有勾选，勾选后再试。
• 登录相应的同步用户，在IE的设置 > 管理加载项中检查AutoIE Class是否处于启用状态。如果未启用，请启用后再试。
• 用户配置了IE的增强保护模式所致。检查IE的Internet选项 > 高级 > 安全 > 启用增强保护模式，确认该选项未勾选。

• 如果通用模式不代填，可以尝试高级模式指定模式。
• 使用指定模式时请确保输入了正确的xpath路径。

请联系技术支持人员依次完成以下操作。

1. 修改gui服务的日志级别为debug。
2. 重启rdpextsrv服务。
3. 复现问题。
4. 搜集rdpextsrv服务的日志信息，排查并解决问题。

• 检查是否安装了SP1补丁：右键单击计算机，选择属性，查看计算机信息中是否存在Service Pack 1标识。如不存在，请手动更新SP1补丁。
  
  
  
  
  
• 检查是否安装了另外三个补丁：以管理员身份打开CMD窗口，输入以下命令，检查是否能查询到这三个补丁。如查询不到，请根据补丁序号从小到大的顺序，手动安装这三个补丁。

  wmic qfe get hotfixid | findstr "KB2696020 KB2699817 KB2798286"

  
  
  
  
  

• 一般用administator权限安装的Chrome，文件位于administators的家目录，其它用户无法访问，可以尝试复制到所有用户可以访问的路径，例如c:\program files(x86)目录下。
• 检查APPServer配置工具中的Chrome路径是否正确。

• 尝试在应用发布服务器上使用单用户，多开应用，查看应用的变化。
• 如果应用确实存在特殊的限制，在远程客户端处配置该应用的执行账号为同用户账号。同时访问该应用时需要将之前的会话注销才可继续访问。

• 请根据程序自身的报错或者日志检查退出原因。
• 也可以检查应用发布服务器事件日志中的应用程序日志。

• 检查应用发布服务器的Agent状态。您可以在应用发布服务器的开始 > 管理工具 > 服务中检查Agent Service是否处于已启动状态。如果没有启动可以尝试启动。无论是否处于已启动状态，都可以尝试启动。
• 检查Agent配置是否正确。您可以在应用发布服务器的开始 > 所有程序 > H3C > Agent > Configure Agent中，检查服务器IP地址和端口是否正确。
• 检查应用发布服务器是否有多个IP地址。如果有多个IP地址，请在配置Agent中指定本地组IP地址。该IP将作为连接运维审计系统时的源IP。
• 检查应用发布服务器是否能连接运维审计系统的3301端口。如果不通，请检查网络防火墙设置。
• 检查运维审计系统的agentmgr服务是否正常。管理员可以在系统设置 > 系统 > 系统状态中查看Agentmgr服务的状态。
• 如果以上都没有问题，请联系技术支持人员采集debug级别的Agentmgr日志，排查并解决问题。
• 还可以采集应用发布服务器上的C:\Program Files (x86)\H3C\Agent\log目录下的日志文件。
• 检查应用发布服务器的时间是否与运维审计系统的系统时间一致。如果不一致，需调整应用发布服务器和运维审计系统的系统时间保持一致。

1. 检查Agent中是否同时填写了虚IP和实IP，如果存在请删除实IP。
2. 重启Agent使配置生效。
3. 重新打开AppServer。

1. 尝试重新打开AppServer。
2. 如重新打开AppServer，以及排查其他原因都不能解决问题，请参考无法打开AppServer配置工具，提示连接失败进行定位。

1. 打开应用发布服务器的Power Shell，执行 dir 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP'，检查是否已安装了.Net Framework 3.5。
2. 如未安装.Net 3.5，请参考《应用发布配置指南》的相关章节进行安装。

1. 进入AccessClient安装目录，该目录路径一般为C:\Program Files (x86)\H3C\AccessClient。
2. 找到RDCShell.exe文件，鼠标右键该文件，选择属性。
3. 单击兼容性，勾选以管理员身份运行此程序，单击更改所有用户设置，勾选以管理员身份运行此程序。