H3C SecPath 运维审计系统故障处理手册 Copyright 2016 杭州华三通信技术有限公司版权所有, 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播本文档中的信息可能变动, 恕不另行通知

目录 1 H3C SecPath 运维审计系统简介 1 2 运维审计异常维护指导 1 2.1 证书相关问题定位方法 1 2.2 服务器操作常见问题定位方法 6 2.3 系统页面常见问题定位方法 7 2.4 乱码常见问题定位方法 8 2.5 FTP 常见问题定位方法 8 2.6 RDP 常见问题定位方法 9 2.7 AD 域同步常见问题定位方法 9 2.8 谷歌浏览器常见问题定位方法 11 i

1 H3C SecPath 运维审计系统简介 H3C SecPath 运维审计系统是一种支持灵活部署方式, 集统一帐户管理与单点登录, 支持多种字符终端协议文件传输协议与图形终端协议的实时监控与历史查询, 全方位风险控制的统一运维安全管理与审计产品符合 4A( 认证 Authentication 账号 Account 授权 Authorization 审计 Audit) 统一安全管理平台解决方案, 广泛适用于需要统一运维安全管理与审计的政府金融运营商公安能源税务工商社保交通卫生教育电子商务等行业客户 2 运维审计异常维护指导 2.1 证书相关问题定位方法在运维审计过程中, 与证书相关的常见问题包括 : 系统所有上传模块上传文件提示失败 ; 登录系统 Web 管理端失败提示报证书无效 2.1.1 系统所有上传模块上传文件提示失败出现这种问题主要是因为证书没有导入所导致, 一般建议在登录界面下载 CA 证书, 导入证书到系统的受信任根证书颁发机构即可 1

图 1 下载根证书图 2 安装根证书 2

图 3 安装根证书向导, 点击下一步图 4 证书导入向导, 点击浏览 3

图 5 证书导入向导, 选择受信任的证书办法机构图 6 证书导入向导, 选择完成 4

图 7 证书导入向导, 完成导入 2.1.2 Firfox 浏览器登录系统 Web 管理端失败提示报证书无效这种情况是由于 Firfox 浏览器可信任服务器证书出现了冲突, 一般是由于设备更换 (IP 地址没变 ) 或升级导致的处理方法为, 点击 Firfox 的选项标签, 弹出如下对话框 5

图 8 Firfox 的选项标签点击查看证书, 在弹出的对话框中选择服务器选项卡, 删除对应 IP 的证书即可 2.2 服务器操作常见问题定位方法在服务器操作过程中, 的常见问题包括 : 使用运维账号访问服务器时, 登录窗口很快关掉 ; 访问服务器时, 提示终端服务器超出限制 2.2.1 使用运维账号访问服务器时, 登录窗口很快关掉使用运维账户在单点登录界面访问资产时, 登录时界面出现后很快关闭或者弹出密码对话框, 造成这种现象一般有三种原因 : 第一种 : 资产在网络上禁止被访问 ; 第二种 : 系统访问规则组织了该资产被访问 ; 第三种 : 资产的账户密码不对所以这样的问题需要先确认造成的原因, 使用相应的运维管理人员账号登录, 在访问规则日志里确认是否是访问规则策略阻止造成的如果不是策略规则导致, 则需要系统管理员账号登录对系统的调试日志进行分析 6

2.2.2 访问服务器时, 提示终端服务器超出限制用运维账号登录 windows 服务器时, 可能会弹出如下对话框这种情况不是运维审计系统的 RDP 协议代理的问题, 主要原因是因为 windows 服务器对 rdp 连接一般有两个连接的限制, 如果某台 windows 服务器在线同时确实有两个没有断开的 rdp 连接, 如果继续访问这台服务器就可能有这种情况出现, 还有一部分是因为 windows 对 rdp 会话进行了保持和复用, 导致断开的会话没有及时断开, 出现这种情况一般可以通过以下三种方式解决登录问题 : 第一种 : 在开始菜单运行如下命令实现 console 口登录 (192.168.1.1 是目标服务器 IP) mstsc /admin /v:192.168.1.1 第二种 : 设置 windows 组策略, 关闭 rdp 会话断开提示, 开始菜单执行 gpedit.msc, 本地计算机策略 -> 计算机配置 -> 管理模板 -> windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 会话时间限制修改设置已中断的会话时间限制为启用, 限制为 1 分钟第三种 : 通过 VGA 显示器登录服务器结束掉对应的会话 2.3 系统页面常见问题定位方法系统页面中的主要常见问题是部分菜单或控件不能显示 2.3.1 系统页面部分菜单或控件不能显示出现页面部分菜单或者控件不能显示, 这种情况一般出现在 windows 服务器操作系统上和低版本的浏览器 (IE6) 上面, 服务器上的浏览器由于默认安全级别策略设置比较高, 导致部分 js 脚本不能运行, 这种问题的解决办法一般是, 调低 IE 浏览器安全级别, 或者自定义打开 js 脚本及 activex 控件, 不同浏览器的设置可能不同, 请按照对应浏览器的帮助手册进行设置这里以 IE 浏览器为例介绍解决方法 : IE 浏览器菜单 : 工具 -> Internet 选项 -> 安全将该区域的安全级别由高调到中高或者中级别即可, 如下图所示 : 7

2.4 乱码常见问题定位方法这个问题是由于通信双方的字符编码不一致造成的在以下几种情况中会出现告警通知和串口登录设备显示乱码 ; 通过具体协议登录资产时显示乱码 ; 审计过程中会话回放显示乱码 ; 2.4.1 告警通知和串口登录设备显示乱码这种情况只需要将编码方式改为 utf-8 即可解决 2.4.2 通过具体协议登录资产时显示乱码如果碰到访问资产显示乱码有两种原因, 默认系统可能不支持中文编码, 或者其他编码, 还有一种就是需要调整会话连接的编码方式, 比如 ssh telnet ftp 等字符协议乱码, 只需要把会连接编码改为与目标资产字符集匹配即可, 同时要考虑客户端系统是否支持此种编码 2.4.3 审计过程中会话回放显示乱码如果回放显示乱码, 可以调整会话的编码格式, 目前我们支持三种 utf8 gb2312 big5 三种方式, 调整编码方式后即可解决问题 2.5 FTP 常见问题定位方法 FTP 常见问题主要是目录无法显示的问题 2.5.1 FTP 目录无法显示问题这个问题的现象特征是登录 FTP 资产时, 认证连接成功, 但目录无法显示通常是由于 FTP 防火墙路由器未支持指定的 FTP 端口, 从而导致目录文件等数据无法传送而造成的这个问题的解决方法如下 : (1) 确保防火墙路由器支持 FTP 穿透 /FTP ALG 功能 (2) 如果防火墙路由器不支持指定端口 FTP 穿透, 则把运维审计系统的 FTP 代理端口从 60021 ( 或之前指定 ) 改为 21, 这样不支持指定端口 FTP 穿透的防火墙路由器也可以自动进行 FTP 穿透 8

2.6 RDP 常见问题定位方法 2.6.1 通过堡垒登录 RDP 主机比较慢 (1) 在本地 PC 机上做如下配置 : 开始 - 运行 -gpedit.msc 打开组策略, 然后找到 : 计算机配置 - 管理模板 - 系统 -Internet 通信管理 -Internet 通信设置 - 在右边找关闭自动根证书更新改成启用 (2) 在应用服务器中做如下配置 : 开始 - 运行 -gpedit.msc, 打开组策略, 然后找到 : 计算机配置 - 管理模板 - 系统 -Internet 通信管理 -Internet 通信设置 - 在右边找关闭自动根证书更新改成启用 2.6.2 RDP 登录时遇到 NLA 错误 NLA 是网络级别的身份验证, 在 windows 服务器的 [ 计算机 / 属性 / 远程设置 ] 中勾选允许运行任意版本远程桌面的计算机连接 2.7 AD 域同步常见问题定位方法 2.7.1 AD 域用户同步失败 (1) 检查子 OU 或父 OU 设置对不对 ; (2) 修改 AD 域服务器默认同步域设置 : 9

步骤 1 进入 AD 域服务中, 在 [ 开始 / 运行 ] 中输入 ntdsutil ; 步骤 2 进入 CMD 界面, 输入 ldap policies 回车 ; 步骤 3 输入 connections 回车 ; 步骤 4 输入 connect to domain < 域名 > ( 如 connect to domain baoleijiyu.com ) 后回车 ; 步骤 5 提示连接成功之后, 输入 quit, 回车 ; 步骤 6 输入 show values 回车后, 可以查看 AD 域的策略信息, 可以看到 maxpagesize 显示的数量默认是 1000 个步骤 7 输入 set maxpagesize to 2000 回车后, 即可将同步用户的数量进行修改 ; 步骤 8 输入 commit changes 回车后即可生效 ; 步骤 9 输入 show values 可查看已修改的数量 ; 10

输入 quit 退出配置 2.8 谷歌浏览器常见问题定位方法 2.8.1 使用谷歌浏览器时, 安装了单点登录但是还是提示单点登录器不受信任打开谷歌浏览器, 在地址中输入 chrome://flags/#enable-npapi 后重启浏览器即可 2.8.2 使用谷歌浏览器时, 安装了 CA 证书后浏览器还是提示不信任 (1) 进入浏览器设置菜单 11

(2) 点击 [ 打开高级设置 ]; (3) 点击 [HTTPS/SSL 管理证书 ]; (4) 在弹出框中导入证书 ; 12

(5) 默认存储方式为将所有的证书都放入下列存储 - 个人 13

(6) 导入成功后重启浏览器 14