ads无法启用状态服务器,NAC ADSSO 无法工作在Microsoft 2008服务器版本
目录
技术领域
NAC, Single Sign On, Kerbose, ActiveDomain
问题描述
当客户将自己的域Server从Win2003升级到Win2008后,发现所有部署NAC的用户无法登录Windows域。
ADSSO认证流程
阶段1:
在AD server 上使用KTpass命令创建CAS的认证账户
CAS 首先发起一个认证请求用于开启ADSSO服务
AD server 响应认证请求,成功建立
阶段2:
CAS 通过SSO服务协助用户获得SSO服务通行凭证
CAS 发送通行凭证给用户
CAS 执行SSO认证放行用户
故障排除思路
因为这是一个 ADSSO 认证不能通过的问题,我们首先讲解了一下 ADSSO 认证过程,大家也很清楚的明白了认证的详细步骤,通过上述的认证过程进行排错思路将会很清晰。我们这里采用自下而上的步骤开始排错。
故障诊断步骤
检测Agent 和 CAS 是否可达
通过Ping 操作或抓包进行检测,如果正常跳到下一步继续排错,如果不正常检测链路层面。
检测CAM 和 CAS 是否通讯正常
通过HTTPS 登录CAM 查看是否CAS 已经连接,也可以使用Ping 操作或抓包进行检测,,如果正常跳到下一步继续排错。如果不正常检测链路层面。
检测 CAS ADSSO 服务是否启动
通过HTTPS 登录CAM 进行查看,下图是ADSSO 正常其他,如果显示Stop 我们将进入下一步继续排错。
检查KTpass 版本 和 AD server 补丁包 ,由于win2008和win2003配置方式不同,请重新配置KTpass 命令,语法和版本对应表见下:
Windows AD Server and KTPass Version Compatibility
Windows AD Server Version
KTPass Version
Windows Server 2008 SP2 1,2
6.0.6002.18005
Windows Server 2008 R2 2
6.1.7600.16385
Windows Server 2003
5.2.3790.1830
For Windows Server 2008:
KTPASS.EXE -princ newadsso/[adserver.]domain.com@DOMAIN.COM -mapuser newadsso -pass
PasswordText -out c:\newadsso.keytab -ptype KRB5_NT_PRINCIPAL -crypto All
For Windows Server 2003:
KTPASS.EXE -princ newadsso/[adserver.]domain.com@DOMAIN.COM -mapuser newadsso -pass
PasswordText -out c:\newadsso.keytab -ptype KRB5_NT_PRINCIPAL
如果KTpass 重新执行后ADSSO 依然无法正常运行。请跳到下一步继续排错。
AD server 以太网接口进行抓包确认 Kerbose 认证是否正常,Kerbose协议在包传输过程中会把非正常行为和认证失败原因保存在包头中。抓包后发现下面的错误代码:
Error cord : KERB5KDC_ERR_C_PRINICPAL_UNKNOWN"
此错误由于下面的三个主要原因引起:
麻省理工学院 (MIT) Kerberos 客户端执行针对基于 Windows Server 2008 的域控制器的 Kerberos 身份验证。
若要创建 keytab 文件要使用 MIT Kerberos 客户机上使用 KTPass。
客户端请求票证授予票证 (TGT) 指定为客户端名称 KRB_AS_REQ 数据包中的主机的主体名称。
详见微软文档:
http://support.microsoft.com/kb/951191
解决此问题办法不能通过正常安装补丁解决。需要严格执行下面的步骤解决:
下载HotFIX 951191 , 解压缩放入 c:\temp 文件夹中
打开写字板程序, 复制下面的命令到写字板中。存储文件名为INSTALL.CMD 放入C:\temp 文件夹中。
c:
cd\temp
md msu_expand
expand -f:* c:\ temp \******.msu(the msu name) msu_expand
pkgmgr /ip /m:c:\ temp \msu_expand\*****.cab(the cab name)
echo %errorlevel% (to check the error code, it should be "0")
pause
右键点击INSTALL.CMD 程序,选择作为管理员运行此程序
我们可以通过控制面板和CBS 日志文件 c:\windows\logs\cbs\ 查看是否正确安装
执行完上述步骤成功解决问题
总结
对于安全的产品,大家要建立一个七层的排错思路,不论是自上而下的应用层到物理层,还是自下而上的物理层到应用层都是可以的。但需要把握的重点是详细了解认证的建立过程和应用的行为细节。
ads无法启用状态服务器,NAC ADSSO 无法工作在Microsoft 2008服务器版本相关推荐
- 服务器文档梳理,工作内容:配置文件服务器并整理文档
<工作内容:配置文件服务器并整理文档>由会员分享,可在线阅读,更多相关<工作内容:配置文件服务器并整理文档(8页珍藏版)>请在人人文库网上搜索. 1.工作内容:配置文件服务器, ...
- 2008游戏服务器系统下,梦幻西游永恒的传奇 2008服务器一览 17173.com网络游戏:《梦幻西游》专区...
2008顾名思义,是趁着北京奥运会2008年8月8日开区的3年区.这也是梦幻西游的一个传奇,一个开区3年,永远爆满,天天爆红.在这里有着梦幻西游最高的物价,有着数不尽的装备和召唤兽,在2008服务器里 ...
- 2008服务器怎么组件共享组,Windows Server 2008服务器文件共享服务器搭建
1.工单申请 1.网络拓扑图如下 wKiom1VG247DZ4kJAABy-r5jCkU769.jpg (15.92 KB, 下载次数: 0) 2015-5-8 08:44 上传 2.利用虚拟机实现网 ...
- 服务器时间修改日志怎么查,查看云服务器的操作日志
查看云服务器的操作日志 内容精选 换一换 本节操作指导用户查看Windows弹性云服务器的登录日志.本节操作以2012操作系统云服务器为例.登录弹性云服务器.选择"开始 > 管理工具 ...
- 怎么查dns服务器记录的请求信息,linux 查询dns服务器日志
linux 查询dns服务器日志 内容精选 换一换 kubernetes除了必要的支撑组件以外,其他的组件都是以插件的形式运行,如Kubernetes DNS,Kubernetes Dashboard ...
- 【问】“1005:DBPROCESS处于不可用或未启用状态”
[问题描述] 打开软件时提示"1005:DBPROCESS处于不可用或未启用状态" 或者有时软件正在使用时报此错误 [答] 此问题主要原因由于SQL服务停止,或者是软件后台打开,重 ...
- 请确保 ASP.NET State Service (ASP.NET 状态服务)已启动,并且客户端端口与服务器端口相同...
异常详细信息: System.Web.HttpException: 无法向会话状态服务器发出会话状态请求.请确保已启动 ASP.NET State service,并且客户端和服务器端口是相同的.如果 ...
- linux启用ipmi服务,使用 ipmitool 实现 Linux 系统下对服务器的 ipmi 管理
简介: IPMI 是一种可扩展的标准,它定义了如何监控硬件和传感器.控制系统部件以及记录重大事件,随着 ipmi 技术在服务器中的应用,利用 ipmi 的众多优势就成为服务器管理特别是集群管理中不可缺 ...
- 解决QQ未启用状态,QQ留言图标未启用
最近由于腾讯升级QQ一些东西,导致QQ图标成未启用状态:如图 解决方法,到腾讯此站点登陆一下即可, http://wp.qq.com/set.html 另外设置 没有保存按钮,如果选择完全公开,到自己 ...
最新文章
- PIXI 下落文字消除(3)
- 消息云服务器,对方启用云消息服务器
- 项目进度管理:控制进度
- Java 读书笔记 (十一) Number Math 类
- LQR轨迹跟踪算法Python/Matlab算法实现_LQRmatrix推导(2)
- python函数的嵌套和递归_Python通过递归函数输出嵌套列表元素
- 折半插入排序C/C++
- 常用Docker 镜像命令(二)
- 为SQL Server 增加链接到SQL Server 的链接服务器
- 使用脚本解决fstab挂载失败不能正常启动问题
- windows 程序员计算器
- java 服务器程序部署环境搭建
- PHPWord通过docx模板替换标签,最终生成pdf文件
- Qt 开源项目收集大全
- Bootstrap 导航元素( tab导航)标签页
- 我们应该如何优雅的处理 React 中受控与非受控
- 3dsmax-uv展开
- 放置街灯(UVA 10859)
- Python代码实现飞机大战
- 局部路径规划器teb_local_planner详解3:跟随全局planner