第PAGEI頁共34頁第1頁共4頁文檔編號版本號V1.0密級應急_HAC故障處理手冊XX信息技術有限公司版本控制編號修訂人修訂時間版本號修訂內容說明123目錄24981前言 1119171.1文檔目的 1199131.2相關文檔 1148311.3讀者對象 1327371.4約定 159002HAC排障流程 2158592.1網絡故障排除 3198992.1.1HAC網絡指示燈 3296622.1.2PINGHAC 361922.2配置故障排除 4249512.2.1訪問HAC問題 5132122.2.2用戶認證失敗 53022.2.3訪問內容不正常 588722.3運維操作故障排除 6238322.3.1Telnet/SSH協議運維故障排除 6227492.3.2FTP/SFTP協議運維操作故障排除 833922.3.3RDP/VNC/Xwindows協議運維操作故障排除 11159282.4告警功能排障 13126352.4.1告警 13134382.4.2告警郵件 1423992.5審計平臺排障 15215162.5.1軟件安裝 16111472.5.2網絡連接 1610692.5.3查看權限 1730332.5.4用戶認證 17295162.5.5命令回顯 17266232.5.6日志回放 17218743FAQ 1811214技術支持 31前言文檔目的本文檔編寫目的主要是介紹如何根據在HAC系統使用中遇到問題的現象及時定位，解決問題。相關文檔運維安全審計系統相關的文檔包括：運維安全審計系統產品使用手冊HAC審計平臺使用手冊HAC動態令牌管理員手冊HACusb_key使用手冊讀者對象本文檔適用于HAC系統管理員，HAC運維管理員。約定HAC：HostAuditControl，該產品中文名稱為運維安全審計系統，英文簡稱為HAC。RDP：RemoteDesktopProtocol,遠程桌面協議，RDP專門為運行在服務器上的、基于Windows的應用程序提供網絡連接上的遠程顯示和輸入功能。WindowsNTServer4.0支持RDP4.0，而Windows2000終端服務使用的是RDP5.0。但是這兩個版本是完全兼容的。我們常使用WindowsTerminal終端連接遠程服務器時就使用該協議。WindowsTerminal：Windows遠程訪問終端，采用微軟的RDP協議，文檔中簡稱WT協議。SSO:SignleSign-On，單點登錄功能實現用戶登錄一次HAC，再次訪問所需資源時無需再次輸入系統本身的用戶與密碼。HAC排障流程運維安全審計系統HAC（V3.5）配置和故障排除流程圖如下圖所示：說明：整個配置工作(深藍色表示)從開始到結束包括兩大部分：網絡配置、策略配置。網絡配置涉及HAC的IP地址、默認網關、靜態路由和接入網絡環境下的防火墻等安全策略的配置；策略配置包括系統配置、定義資源、定義用戶、授權和告警配置。在配置完成后，正常情況運維用戶可以正常登錄HAC、正常訪問資源和審計員能正常審計和回放等。具體配置方法參見《運維安全審計系統產品使用手冊》和《HAC審計平臺使用手冊》等。本流程涉及的不正常情況(淺藍色表示)包括：網絡不正常、運維用戶訪問不正常、告警功能不正常、審計與回放不正常等。本流程涉及的排障過程(綠色表示)包括：網絡故障排除、配置故障排除、單個代理故障、告警功能故障和審計與回放故障。每類故障對應一個故障排除方法。網絡故障排除HAC網絡指示燈HAC網絡指示燈有兩種：前面板指示燈和網口指示燈。前面板指示燈是在有網絡流量時有閃爍（A型機為綠燈、E型機為黃燈）；網口燈針對交換機接口速率不同顏色不同：10M時不亮、100M為綠色、1000M為橙色。HAC網絡接口有三個：內網、外網和HA口。在單臂模式下只接外網口；串聯模式下內網口接服務器端，外網口接運維區。檢查網絡物理連接包括檢查網線問題、連接問題及接交換機的位置。檢查交換機配置包括查看交換機對應HAC口的狀態、速率問題、雙工模式等。PINGHACPINGHAC是保證終端到HAC網絡層是否通。HAC網絡配置包括IP地址、默認網關等。檢查HAC網絡配置是確認其正確配置，可以通過IE登錄HAC或通過HACconsole進行查看。檢查終端（包括運維客戶端和保護資源）網絡配置是保證終端配置的正確性，可通過測試其到HAC的網關是否通來判斷。檢查網絡環境安全配置是確保終端到HAC的網絡通路中是否存在安全設置而導致網絡不通。具體終端到HAC需要開通的端口詳見《運維安全審計系統產品使用手冊》。配置故障排除訪問HAC問題檢查HAC的WEB服務是否正常通過TelnetHAC443可以看出HAC的WEB服務是否開啟，如果開啟應該能訪問。檢查網絡故障通過網絡故障排除可以定位是否是網絡問題。如果不是網絡問題，說明HAC的WEB服務沒有正常啟動，重啟HAC看是否問題解決，如果沒有，報廠家技術支持。用戶認證失敗根據用戶認證方式檢查相關配置根據流程圖中方法進行檢查，排除相應問題；檢查是否所有管理員是否都不能通過認證。Administrator是否能通過認證Administrator認證為口令認證，如果能通過認證，說明HAC系統認證工作正常。此時，一般情況是外部認證系統的問題，尤其是其他所有管理員不能通過認證，應檢查認證系統的報錯信息來定位故障，具體操作可參見《HACUsb_key使用手冊》和《HAC動態令牌使用手冊》；Administrator口令可以通過Console口重置口令；Administrator認證通過，可新建一個管理員來測試新建管理員是否能正常認證。訪問內容不正常檢查管理員角色設置，確保角色分配正確；根據界面報錯信息定位故障原因；廠商技術支持。運維操作故障排除Telnet/SSH協議運維故障排除訪問不到HAC檢查網絡環境檢查方法與網絡故障排除相同。檢查HAC服務通過telnet相關服務檢查HAC相關服務是否啟動。如果配置為安全模式的Telnet，則用TelnetHAC_ip22的方式進行檢查。注：HAC如果配置為安全模式的Telnet，需采用SSH客戶端訪問HAC。用戶認證失敗與管理員管理故障排除類似。需要注意運維用戶兩個特性：用戶是否激活和口令有效期的問題。訪問資源列表不對檢查該用戶的授權檢查該用戶是否有訪問此資源的權限和授權規則等。檢查HAC的訪問黑名單檢查該用戶訪問相關資源進入黑名單。訪問不到資源檢查HAC到資源的網絡是否可達HAC到資源的網絡可達包括網絡層可達和端口層可達；網絡層可達可通過HACping資源或資源pingHAC的方式檢查；端口層可達可查看網絡設備和安全設備上是否對此端口進行了限制，也可通過HACtelnet資源相關端口進行測試。檢查資源是否提供此服務檢查資源服務端口是否與HAC配置的資源端口一致針對SSH，檢查資源是否切換到備機由于SSH通信需要資源的公鑰，當資源切換到備機時，HAC保留的公鑰為原資源的。所以出現此情況，需重啟HAC即可。FTP/SFTP協議運維操作故障排除FTP、SFTP代理通過telnetHAC21或22端口，來檢查HAC的FTP或SFTP代理是否正常。資源狀態檢查HAC到保護資源是否網絡可達，可通過HACConsole中的網絡測試功能來檢查；檢查保護資源的FTP或SFTP服務是否正常開啟，以及該服務的相關配置。資源授權檢查運維用戶是否有此FTP或SFTP資源的授權；檢查授權規則是否對此運維用戶有限制；檢查是否設置了用戶訪問黑名單。用戶認證檢查在FTP或SFTP登錄時參數設置是否正確，正確的參數設置應為：用戶名：hac_user#host_user#資源名，如：fox#root#win2003_ftp，其中fox為運維帳號，root為ftp服務器帳號，win2003_ftp為ftp資源名。密碼：hac_pwd#host_pwd。檢查FTP認證失敗的位置在登錄時若提示為：或，則表明是在HAC認證時失敗。若提示為：或則表明是在ftp服務器認證時失敗。檢查SFTP認證失敗的位置在登錄時若提示為：（SecureFX為例）或則表明是在HAC認證時失敗。若提示為：（SecureFX為例）或長時間連接不上，最后提示，則表明是在sftp服務器認證時失敗。檢查HAC的認證方式根據流程圖中方法進行檢查，排除相應問題。如果問題沒有解決，報廠家技術支持。RDP/VNC/Xwindows協議運維操作故障排除HTTPS不能訪問與管理員管理故障排除相同。用戶認證失敗與管理員管理故障排除類似。需要注意運維用戶兩個特性：用戶是否激活和口令有效期的問題。訪問資源列表不對檢查該用戶的授權檢查該用戶是否有訪問此資源的權限和授權條件等。檢查HAC的訪問黑名單檢查該用戶訪問相關資源進入黑名單。訪問不到資源根據排障流程中6項進行檢查，基本能排除相應問題。如果解決不了，需咨詢廠家技術支持。檢查HAC到資源網絡可達HAC到資源的網絡可達包括網絡層可達和端口層可達；網絡層可達可通過HACping資源或資源pingHAC的方式檢查；端口層可達可查看網絡設備和安全設備上是否對此端口進行了限制，也可通過HACtelnet資源相關端口進行測試。2、檢查IE可信站點設置IE調用遠程桌面連接需要運行控件，為了安全可將HAC設置可信站點，并對IE安全選項進行相關配置。3、檢查客戶端控件是否安裝與啟動客戶端需要安裝MicrosoftRdpClientControlActiveX控件并處在啟用狀態。4、檢查資源是否提供此服務5、檢查資源服務配置由于資源服務配置限制可能會引起無法連接，可通過標準客戶端直接訪問資源的方式來驗證資源服務配置是否存在相關限制等。6、檢查HAC相關代理服務是否工作告警功能排障告警首先要保證告警配置正確。檢查告警動作配置。包括：告警聲音、是否阻斷、告警郵件地址列表。若設置命令阻斷動作，則命令不會被執行，并提示阻斷信息、發出告警；否則命令被執行，且向審計平臺發出告警。告警郵件列表是在發生告警時，將告警信息以郵件的方式通知管理員。檢查告警規則配置。包括：阻斷提示信息、告警動作、是否啟用、適用協議、匹配命令。阻斷提示信息是在執行阻斷動作時，運維客戶端上提示的信息。適用協議包括：SSH/Telnet、FTP、SFTP，必須保證其與資源協議一致。匹配命令定義了此規則所適用的操作命令。檢查規則綁定配置。包括：規則與資源（組）綁定、有效賬戶級別設置（SSO版本）。保證規則適用的協議與資源的協議一致。有效賬戶級別設置只適用于SSO版本，詳見《運維安全審計系統產品使用手冊》。告警郵件發生命令告警時，可將告警詳細信息以郵件方式通知用戶。需保證郵件的相關配置正確。檢查告警動作中的郵件列表，保證其郵件地址為有效地址。檢查郵件服務器配置。詳見《運維安全審計系統產品使用手冊》章節。檢查DNS設置，保證DNS地址為有效地址，使其能解析到郵件服務器地址。審計平臺排障軟件安裝軟件安裝是保證審計平臺及其運行時所需的其他軟件環境被正確安裝。可通過控制面板中的“添加或刪除程序”檢查軟件是否正確安裝。HAC審計平臺是主程序。JRE是審計平臺運行所必需的Java環境。ODBC是MySQL與Windows數據服務的連接驅動，用于審計平臺與HAC的通信。若以上均安裝，但仍無法登錄，可將其刪除后重新安裝。安裝步驟詳見《HAC審計平臺使用手冊》。網絡連接網絡連接是保證終端到HAC是否連通。檢查網絡物理連接包括檢查網線問題、連接問題及接交換機的位置。檢查交換機配置包括查看交換機對應HAC口的狀態、速率問題、雙工模式等。檢查網絡環境安全配置是確保終端到HAC的網絡通路中是否存在安全設置而導致網絡不通。審計平臺與HAC之間需開通端口9999和1306（其中9999端口可修改，詳見《運維安全審計系統產品使用手冊》）。可通過telnetHAC的端口來驗證。如果仍然不能連通，重啟HAC看是否問題解決，如果沒有，報廠家技術支持。查看權限以Administrator用戶登錄HAC配置平臺，查看審計員用戶是否具有審計平臺權限。用戶認證根據流程圖中方法進行檢查，排除相應問題。如果問題沒有解決，報廠家技術支持。命令回顯首先檢查日志的有效性。如果在授權失敗、IP禁止訪問、認證失敗的情況下進行的會話，會話日志是沒有內容的。其次，檢查服務器命令提示符的有效性。HAC通過解析命令的提示符來記錄會話的命令及其回顯。必須保證服務器上的命令提示符為常規的提示符，如：。日志回放首先檢查日志的有效性。如果在授權失敗、IP禁止訪問、認證失敗的情況下進行的會話，會話日志是沒有內容的。其次，檢查日志是否被刪除。如果日志被刪除，HAC只在數據庫中記錄其命令及回顯，但是日志文件已經不存在HAC上了，因此也就不能回放。可通過配置平臺中查看日志是否被刪除。FAQRDP、Xwindows、VNC某一項服務無法正常訪問？答：從以下幾個方面進行排查。IE相關設置RDP、Xwindows、VNC服務是通過IE瀏覽器進行訪問。目前其他類型的瀏覽器不支持，請采用IE6或者IE7進行訪問。服務需要IE啟用”MicrosoftRdpClientControl”ActiveX控件。通過IE工具->管理加載項，查看是否加載此控件，并且屬于啟用狀態。如果沒有加載，請按照《運維安全審計系統產品使用手冊》的相關章節進行設置，對瀏覽器進行重啟。通過IE瀏覽器訪問HAC運維頁面的過程中，瀏覽器會自動從HAC中下載此控件并加載它。由于微軟最近的更新導致部分用戶rdp控件無法使用，解決方法為為客戶端應用相應版本的補丁。補丁應用參見如下web頁面：/kb/958470HAC代理問題和保護資源是否啟動相關服務訪問過程中出現如下界面：首先，檢查HAC相關服務是否可用。用客戶端直接連接到HAC外網口，telnet相關端口，（RDP端口：3389，VNC端口：5900，Xwindows端口：7000），如果連接成功，說明該服務可用。如果HAC服務可用，請檢查：真實服務器是否提供服務。如果HAC服務不可用，請檢查以下內容：檢查系統日志區是否已經沒有可用空間。日志空間已滿會導致相關進程無法寫日志而關閉。請對日志進行備份，并刪除已備份的日志。最后，重新啟動HAC，如仍不能使用，請聯系江南科友技術支持。網絡問題檢查客戶端到HAC的網絡是否正常。檢查HAC到真實服務器網絡是否正常。檢查防火墻是否配置了相關策略。IE安全級別已經設置，但是加載項中仍看不到”MicrosoftRdpClientControl”ActiveX控件答：該問題的原因是：情況默認，WindowsXPServicePack3(SP3)禁用ActiveX控件。 解決辦法：請刪除下面的注冊表項中：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7584C670-2274-4EFB-B00B-D6AABA6D3850} 刪除此項后，需重啟IE。 手動加載ActiveX控件使用IE下載控件并將其解壓（包含兩個文件：msrdp.ini和msrdp.ocx）在“開始->運行”中運行命令：regsvr32解壓文件絕對目錄\msrdp.ocx，如：regsvr32c:\msrdp\msrdp.ocxWindows主機如何開啟遠程桌面服務？答：不同操作系統的windows主機，開啟遠程桌面的方法各有不同對于WindowsXP和2003server主機，需在“我的電腦->屬性->遠程”中，將遠程桌面服務打開對于Windows2000server主機，需安裝終端服務組件開始->設置->控制面板->添加/刪除程序->添加/刪除Windows組件->選中“終端服務”->詳細信息->勾選“啟用終端服務”->確定注意安裝組件時，需用到系統光盤。對于Windows2000professional主機，系統不支持遠程桌面服務，需通過第三方的遠程桌面軟件，如VNC和PcanyWhere來實現遠程桌面服務。在RDP訪問時，鼠標移動速度較慢？答：該問題的原因是默認的RDP協議的刷新頻率是100ms，相當于10Hz。所以鼠標移動速度較慢。可以添加注冊表鍵值來解決這個問題：在HKEY_CURENT_USER\Software\Microsoft\TerminalServerClient中新建兩個dword值，名稱分別為：MinSendInterval和MinSendInterval5，他們的值都為10，也就是10ms刷新一次。Telnet、SSH、FTP、SFTP中某個協議不能訪問？答：從以下情況進行檢查。檢查客戶端到HAC的網絡是否正常；檢查HAC到保護資源網絡是否正常；檢查防火墻是否配置了相關策略；檢查保護資源是否提供服務；Telnet檢查HAC相關服務是否可用。（ftp端口：21，ssh端口：22，sftp端口：22，telnet端口：23）檢查系統日志區是否已經沒有可用空間。日志空間已滿會導致相關進程無法寫日志而關閉。請對日志進行備份，并刪除已經備份過的日志。最后，重新啟動HAC，如仍不能使用，請聯系江南科友技術支持。在RDP運維頁面中勾選磁盤映射選項，登錄后發現本地磁盤沒有映射到遠程主機？答：如果在執行rdp登錄操作時會彈出以下頁面，而用戶沒有勾選驅動器選項，則會導致本地磁盤驅動器沒有映射。注：通常客戶端在登錄的時候不需要再次勾選。此情況的產生是因為RDP對驅動器映射的提示與客戶端程序版本和安全設置有關系，屬于安全保護。如果勾選以上的選項后，仍然不能完成此功能，則請聯系服務器管理員，開啟服務器允許映射磁盤驅動器的功能。在使用RDP訪問保護資源后，通過非注銷的方式退出，若用此用戶名再次登錄時，不能進入原連接的會話？答：Windowsserver具有為同一個用戶提供多個會話的功能，采用某些版本的客戶端進行登錄的時候可以顯示讓用戶選擇需要登錄的會話，如下圖所示。如果客戶端不能提供這個功能，請在服務器終端服務配置中設置“限制每個用戶使用一個會話”。Windowstelnet服務不能設置采用自動登錄的方式？答：HACV3.5版本只支持類Unix系統的Telnet自動登錄。服務器是中文環境，telnet登錄后無法輸入中文字符？答：在Telnet服務中進行中文輸入時，請將資源的Telnet服務配置為支持8位字符。如圖：管理員在自動登錄管理->設備賬戶管理頁面中，設置RDP自動登錄帳號時，始終提示用戶名密碼錯誤？答：請將資源的服務器類型更改為Windows。采用令牌認證方式進行登錄，提示用戶名密碼無效？答：請按以下步驟檢查：首先在安盟服務器進行本地身份驗證，如果不能通過，請按照《HAC動態令牌管理員手冊》重新設置。如果能通過，請登錄安盟服務器，查看token服務器的活動日志。如果活動日志提示為：日志提示找不到代理主機，而為防火墻地址，經查看是由于在防火墻上設置了NAT策略。解決方法有兩種：在防火墻上取消NAT即可,建議將token認證服務器與HAC部署在同一網段。添加UNIX代理主機的第二節點。首先，編輯認證服務器本地的hosts文件，添加防火墻的地址。如圖：然后，編輯代理主機，添加第二節點；如果活動日志提示為：則需在認證服務器的控制面板中，打開“安盟ACE/Agent”，清除節點密文，如下圖：并且在“編輯代理主機”處，將”UNIX代理主機”和”網絡操作系統代理主機”的”發送節點密文”選項取消勾選，如圖：審計平臺無法登錄？答：從以下三個方面進行排查。確定審計平臺是否已經正確安裝。檢查審計平臺到HAC是否網絡暢通。檢查HAC相關服務是否可用。用客戶端直接連接到HAC外網口，telnet相關端口，（標準通訊端口：9999，數據端口：1306），如果連接成功，說明該服務可用。最后，重新啟動HAC，如仍不能使用，請聯系江南科友技術支持。注：審計平臺的通訊端口是可以用戶自定義的，除在HAC和審計平臺登錄配置上進行修改外，還需確認審計平臺到HAC該端口允許通過。管理員采用Usb_key登錄Web管理頁面，提示證書驗證失敗？答：HAC只對IE瀏覽器支持采用Usb_key方式進行登錄。此功能需要IE啟用“SettingClass”ActiveX控件。通過IE工具->管理加載項，查看是否加載此控件，并且處于啟用狀態。如果沒有加載，請按照《HACusb_key使用手冊》進行配置。重啟IE，進行登錄即可。用戶名與證書不匹配。請與證書管理員聯系，查看是否匹配。證書已過期。為了保證安全性，目前HAC沒有對證書過期做出明確的提示。請登錄HAC配置平臺，管理員管理->證書管理頁面查看證書是否過期。新增一臺與以前相同類型的服務器，登入配置管理平臺，自動登錄管理->設備賬戶管理，添加賬戶時，一直提示賬戶名密碼驗證失敗？答：服務器類型雖然一樣，但是由于命令提示符和歡迎信息等可以自定義，sso的配置文件可能和原有服務器不一致。登錄sso配置管理頁面（https://ip/sso）檢查操作系統類型信息是否和