USG 授权认证为Active Directory的问题总结
2024-05-28 14:58:33
一、试验环境
| IP地址 | 备注 | |
|---|---|---|
| Win server 2019 | 2.2.2.2 | AWS上的一台Active Directory域主机 |
| USG6300 | 1.1.1.1 | 华为USG 防火墙 |
以上IP地址1.1.1.1和2.2.2.2并非真实环境中的公网IP地址
二、前提
1、USG和Active Directory域的主机之间可以ping通
2、Active Directory域主机的安全组放通了88和389端口
3、Active Directory域主机也关闭了本地防火墙
4、Active Directory域主机的安全组放通了USG防火墙所在的公网ip地址段
5、PC上telnet Active Directory域主机的2.2.2.2:88,2.2.2.2:389可以通
三、故障现象
1、防火墙上telnet -a 1.1.1.1 2.2.2.2 88 不通
2、防火墙上telnet -a 1.1.1.1 2.2.2.2 389 不通
3、使用kangbao.wu 账号进行验证,报错为:Active Directory票据授权失败
4、使用kangbao.it账号进行验证,报错为:Active Directory管理员绑定失败
四、排查思路
针对"防火墙上telnet -a 1.1.1.1 2.2.2.2 88 不通"
针对"防火墙上telnet -a 1.1.1.1 2.2.2.2 389 不通"
1、查看Active Directory域安全组和防火墙是否放通了地址和接口---->全部放通
2、查看USG防火墙的域间策略是否配置正确---->默认全部放通
我没辙了,居然内心想来一句"卧槽",
然后我拨打了华为400,结果告知我 华为的网络设备除了22 23端口可用于telnet 测试,其他的端口不能通过telnet ip:port这种测试端口可用性
针对"使用kangbao.wu 账号进行验证,报错为:Active Directory票据授权失败"
针对"使用kangbao.it账号进行验证,报错为:Active Directory管理员绑定失败"
配置如下:
通过在USG防火墙上查看
t m
t d
debugging ad allJan 14 2020 10:43:06.940.2+08:00 Office_vpn AD/7/debug:[AD(Evt):] Initialize AD server to primary.
Jan 14 2020 10:43:06.940.3+08:00 Office_vpn AD/7/debug:[AD(pkt):] Make UDP kerbores AS Request packet successfully,username: kangbao.wu
Jan 14 2020 10:43:06.940.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:06.940.5+08:00 Office_vpn AD/7/debug:send ad UDP packet success :228Jan 14 2020 10:43:06.940.6+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send UDP kerbores AS request packet successfully.
Jan 14 2020 10:43:07.60.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.wu.
Jan 14 2020 10:43:07.60.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Kerberos server's response is bad, ErrorCode: 24.
Jan 14 2020 10:43:07.60.3+08:00 Office_vpn AD/7/debug:[AD(Err):] Kerberos server's response is bad, ErrorCode: 24.
Jan 14 2020 10:43:07.60.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Pre-authentication information was invalid.
Jan 14 2020 10:43:07.60.5+08:00 Office_vpn AD/7/debug:AS-REP Parse ERROR .error is [24]! Jan 14 2020 10:43:07.60.6+08:00 Office_vpn AD/7/debug:AS-REP Parse ERROR! Jan 14 2020 10:43:07.60.7+08:00 Office_vpn AD/7/debug:[AD(Err):] Make kerbores TGS Request packet by UDP failed, so try TCP .username: kangbao.wu
Jan 14 2020 10:43:07.60.8+08:00 Office_vpn AD/7/debug:[AD(Err):] parse server As Response error,but error code is not AD_KRB5_ERROR_REPONSE_TOO_BIG(52)!
Jan 14 2020 10:43:07.60.9+08:00 Office_vpn AD/7/debug:[AD(Evt):] kerbores authenication reject.
Jan 14 2020 10:43:07.60.10+08:00 Office_vpn AD/7/debug: free AD connect success ! <Office_vpn>
Jan 14 2020 10:43:37.290.1+08:00 Office_vpn AD/7/debug:[AD(Evt):] Initialize AD server to primary.
Jan 14 2020 10:43:37.290.2+08:00 Office_vpn AD/7/debug:[AD(pkt):] Make UDP kerbores AS Request packet successfully,username: kangbao.it
Jan 14 2020 10:43:37.290.3+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:37.290.4+08:00 Office_vpn AD/7/debug:send ad UDP packet success :226Jan 14 2020 10:43:37.290.5+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send UDP kerbores AS request packet successfully.
Jan 14 2020 10:43:37.400.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.it.
Jan 14 2020 10:43:37.400.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.400.3+08:00 Office_vpn AD/7/debug:AD Make Tgs Req OK! Jan 14 2020 10:43:37.400.4+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.400.5+08:00 Office_vpn AD/7/debug:AD Make Tgs Req OK! Jan 14 2020 10:43:37.400.6+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Make UDP kerbores TGS Request packet successfully,username: kangbao.it
Jan 14 2020 10:43:37.400.7+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send packet to AD-server(ServerIP:18.162.178.138,Port:88)
Jan 14 2020 10:43:37.400.8+08:00 Office_vpn AD/7/debug:send ad UDP packet success :1331Jan 14 2020 10:43:37.400.9+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Send kerbores TGS Request packet successfully.
Jan 14 2020 10:43:37.510.1+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Recevied kerbores packet successfully, username: kangbao.it.
Jan 14 2020 10:43:37.510.2+08:00 Office_vpn AD/7/debug:[AD(Pkt):] check tag 2 err, may don't have tag 2.
Jan 14 2020 10:43:37.510.3+08:00 Office_vpn AD/7/debug:[AD(Pkt):] Give the Kerberos Ticket to LDAP for verifying.Length is [1231]
Jan 14 2020 10:43:37.510.4+08:00 Office_vpn AD/7/debug:[AD(Evt):] kerbores authenication accept.
Jan 14 2020 10:43:37.510.5+08:00 Office_vpn AD/7/debug: free AD connect success !
sys
diagnose
display ad statistics error
[Office_vpn-diagnose]display ad statistics error
2020-01-14 10:43:58.630 +08:00mng-plane:Server_Down_Err_Static = 0Server_Unavailable_Err_Static = 0NoServer_Exist_Err_Static = 0Memory_Application_Err_Static = 0Memory_Free_Err_Static = 0IPC_Message_Translate_Err_Static = 0Server_Client_Time_Not_Match = 0Server_Timeout_Err_Static = 0Make_Pack_Fail_Err_Static = 1Abnormal_Err_Static = 0AS_Reject_Err_Static = 0TS_Reject_Err_Static = 1APR_Reject_Err_Static = 0ctrl-plane:Server_Down_Err_Static = 0Server_Unavailable_Err_Static = 0NoServer_Exist_Err_Static = 0Memory_Application_Err_Static = 0Memory_Free_Err_Static = 0IPC_Message_Translate_Err_Static = 0Server_Client_Time_Not_Match = 0Server_Timeout_Err_Static = 0Make_Pack_Fail_Err_Static = 0Abnormal_Err_Static = 0AS_Reject_Err_Static = 0TS_Reject_Err_Static = 0APR_Reject_Err_Static = 0
1、通过debug信息和ad erro信息得知,Active Directory认证有问题,故进一步排查
2、通过查找资料得知,USG对Active Directory密码有要求,不能有空格和?字符
注意,华为针对Active Directory用户的密码是有要求的,不能有空格和?字符出现,不然就要使用双引号
注意,这里并没有说administrator的密码也不可以包含空格和字符,然而我Active Directory的administrator的密码就碰巧有?字符的存在,我萎蔫了
更改了Active Directory域的管理员的密码后,至此,终于解决了所有的问题
USG 授权认证为Active Directory的问题总结相关推荐
- 【逗老师带你学IT】Kiwi Syslog Web Access与Active Directory集成认证
Kiwi Syslog Server是一款应用于Windows系统的系统日志守护进程,能够接收并记录系统日志,各种设备的SYSLOG消息,内置丰富的日志记录选项,能详细记录各种防火墙日志,并进行筛选分 ...
- Active Directory 对象授权还原
对于还原对象,如果未启用回收站,在多DC得环境下,会出现刚恢复的对象,过一会有被自动删除了,那是因为该DC 1.执行对系统状态的备份,具体步骤参考:Active Directory 备份 2.删除&q ...
- 为ASP.NET MVC配置基于Active Directory的表单认证方式
为ASP.NET MVC配置基于Active Directory的表单认证方式 最近一直在研究基于Active Directory的表单认证方式,同时也在关注ASP.NET MVC的情况,同时也在应用 ...
- Blazor 应用如何使用 Azure Active Directory 认证登录
点击上方蓝字 / 关注"汪宇杰博客" 原文:Azure Tips and Tricks 翻译:汪宇杰 使用 Azure Active Directory 保护您的应用程序 您可以使 ...
- Active Directory授权还原
Technorati 标签: Active Directory,授权还原 额外域控制器有很多好处,例如可以平衡用户对AD的访问压力,有利于避免唯一的域控制器损坏所导致域的崩溃.域内所有的域控制器都有一 ...
- 转载:AD的授权还原和主还原:深入浅出Active Directory系列(六)
自:http://www.it2bug.com/htm/doc/w001/ad/p1/f3.htm 企业应用环境中,如果存在多台域控制器,标准还原就显的比较尴尬了.事实上标准还原往往需要和授权还原以及 ...
- C# AD FS实现网站单点登录 Active Directory Federation Services-活动目录联合身份认证 AD域单点登录 ADFS单点登录
一.背景 微软Active Directory域 (简称:AD域),通过C#实现AD域免登录:可采用ActiveX 获取当前登录的域用户名.或使用windows 身份验证来获取当前域用户名.根据获取到 ...
- 通过LDAP验证Active Directory服务
http://www.cnblogs.com/icuit/archive/2010/06/10/1755575.html 这一周做LDAP做得头都大了.现在终于有点头绪了,记录一下,以备后用. LDA ...
- java ldap操作实例_Java Spring Security示例教程中的2种设置LDAP Active Directory身份验证的方法...
java ldap操作实例 LDAP身份验证是世界上最流行的企业应用程序身份验证机制之一,而Active Directory (Microsoft为Windows提供的LDAP实现)是另一种广泛使用的 ...
最新文章
- TCP/IP详解--第十三章
- 【Netty】主从反应器 ( Reactor ) 多线程模型
- mooc-IDEA 调试代码--012
- SQL Server 2008获取一个表的字段,类型,长度,是否主键,是否为空,注释等信息...
- 前端开发攻城狮必须知道的开发环境和插件
- c语言math函数 sgn,常用矩阵计算C语言代码
- 中下游大学毕业如何在大城市和各种985大学生厮杀?
- PureFTP安装配置
- 华为云查询弹性云服务器规格信息,查询规格详情和规格扩展信息列表
- 积累资源,胜于一切项目
- 电脑护眼,老司机教你电脑护眼设置怎么开
- Java图片识别技术原理-只取图片像素。。。
- 什么是SPU、SKU、SKC、ARPU
- linux中的last命令,linux系统中last命令的用法
- CSS样式美化div盒子
- 【附源码】计算机毕业设计java中小学在线考试系统设计与实现
- 倾斜摄影房屋轮廓线提取思路
- IPv6技术精要--第17章双栈和隧道
- 【经典控制理论】| 自动控制原理知识点概要(上)
- 拿两千块钱的薪水要有一万块钱的范儿--蜗居编剧
热门文章
- ES6模块化(默认导入导出、按需导入导出、直接导入)
- CCNA 网络工程师
- 毕业论文指导记录Java_毕业论文指导(计算机类)
- 轻松查询多个德邦单号物流详情,并一键查看备注
- 关于公交系统中运用NFC-TSM技术进行移动支付的解决案例浅析
- 抗滑桩初始弹性系数计算_抗滑桩结构设计计算
- 读完研究生转行,研究生学历有什么用?
- java计算机毕业设计高校学生体温管理系统源码+mysql数据库+系统+lw文档+部署
- 离线强化学习(Offline RL)系列4:(数据集) 经验样本复杂度(Sample Complexity)对模型收敛的影响分析
- joomla自定义html,Joomla教程:为页面和模块添加独立的自定义Class