H3C SecPath 运维审计系统 故障处理手册(E6704)-5W104

手册下载

H3C SecPath运维审计系统

 

故障处理手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 H3C SecPath运维审计系统简介

H3C SecPath运维审计系统是一种支持灵活部署方式,集统一账户管理与单点登录,支持多种字符终端协议、文件传输协议与图形终端协议的实时监控与历史查询,全方位风险控制的统一运维安全管理与审计产品。符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)。

2 运维审计异常维护指导

2.1  证书相关问题定位方法

在运维审计过程中,与证书相关的常见问题包括:

·     系统所有上传模块上传文件提示失败;

·     登录系统Web管理端失败提示报证书无效。

2.1.1  系统所有上传模块上传文件提示失败

出现这种问题主要是因为证书没有导入所导致,一般建议在登录界面下载CA证书,导入证书到系统的“受信任根证书颁发机构”即可。

图2-1 下载根证书

 

图2-2 安装根证书

 

图2-3 安装根证书向导,点击下一步

 

图2-4 证书导入向导 ,点击浏览

 

图2-5 证书导入向导,选择受信任的证书办法机构

 

图2-6 证书导入向导,选择完成

 

图2-7 证书导入向导,完成导入

 

2.1.2  Firfox浏览器登录系统Web管理端失败提示报证书无效

这种情况是由于Firfox浏览器可信任服务器证书出现了冲突,一般是由于设备更换(IP地址没变)或升级导致的。

处理方法为,点击Firfox的“选项”标签,弹出如下对话框。

图2-8 Firfox的“选项”标签

 

点击查看证书,在弹出的对话框中选择服务器选项卡,删除对应IP的证书即可。

2.2  服务器操作常见问题定位方法

在服务器操作过程中的常见问题包括:

·     使用运维账号访问服务器时,登录窗口很快关掉;

·     访问服务器时,提示终端服务器超出限制。

2.2.1  使用运维账号访问服务器时,登录窗口很快关掉

使用运维账户在单点登录界面访问资产时,登录时界面出现后很快关闭或者弹出密码对话框,造成这种现象一般有三种原因:

·     资产在网络上禁止被访问;

·     系统访问规则组织了该资产被访问;

·     资产的账户密码不对。

所以这样的问题需要先确认造成的原因,使用相应的运维管理人员账号登录,在访问规则日志里确认是否是访问规则策略阻止造成的。如果不是策略规则导致,则需要系统管理员账号登录对系统的调试日志进行分析。

2.2.2  访问服务器时,提示终端服务器超出限制

用运维账号登录windows服务器时,可能会弹出如下对话框。

 

这种情况不是运维审计系统的RDP协议代理的问题,主要原因是因为windows服务器对rdp连接一般有两个连接的限制,如果某台windows服务器在线同时确实有两个没有断开的rdp连接,如果继续访问这台服务器就可能有这种情况出现,还有一部分是因为windowsrdp会话进行了保持和复用,导致断开的会话没有及时断开,出现这种情况一般可以通过以下三种方式解决登录问题:

·     在开始菜单运行如下命令实现console口登录(192.168.1.1是目标服务器IP mstsc /admin /v:192.168.1.1

·     设置windows组策略,关闭rdp会话断开提示,开始菜单执行gpedit.msc ,“本地计算机策略”->“计算机配置”->“管理模板”->windows组件”->“远程桌面服务”->“远程桌面会话主机”->“会话时间限制”,修改“设置已中断的会话时间限制”为启用,限制为1分钟。

·     通过VGA显示器登录服务器结束掉对应的会话。

2.3  系统页面常见问题定位方法

系统页面中的主要常见问题是部分菜单或控件不能显示。

2.3.1  系统页面部分菜单或控件不能显示

出现页面部分菜单或者控件不能显示,这种情况一般出现在windows服务器操作系统上和低版本的浏览器(IE6)上面,服务器上的浏览器由于默认安全级别策略设置比较高,导致部分js脚本不能运行,这种问题的解决办法一般是,调低IE浏览器安全级别,或者自定义打开js脚本及activex控件,不同浏览器的设置可能不同,请按照对应浏览器的帮助手册进行设置。这里以IE浏览器为例介绍解决方法:IE浏览器菜单选择“工具”->Internet选项”->“安全”,将该区域的安全级别由高调到中高或者中级别即可,如下图所示:

 

2.4  乱码常见问题定位方法

这个问题是由于通信双方的字符编码不一致造成的,在以下几种情况中会出现:

·     告警通知和串口登录设备显示乱码;

·     通过具体协议登录资产时显示乱码;

·     审计过程中会话回放显示乱码。

2.4.1  告警通知和串口登录设备显示乱码

这种情况只需要将编码方式改为utf-8即可解决。

2.4.2  通过具体协议登录资产时显示乱码

如果碰到访问资产显示乱码有两种原因:一种是默认系统可能不支持中文编码或者其他编码;还有一种就是需要调整会话连接的编码方式,比如sshtelnetftp等字符协议乱码,只需要把会连接编码改为与目标资产字符集匹配即可,同时要考虑客户端系统是否支持此种编码。

2.4.3  审计过程中会话回放显示乱码

如果回放显示乱码,可以调整会话的编码格式,目前我们支持三种utf8gb2312big5三种方式,调整编码方式后即可解决问题。

2.5  FTP常见问题定位方法

FTP常见问题主要是目录无法显示的问题。

2.5.1  FTP目录无法显示问题

这个问题的现象特征是登录FTP资产时,认证、连接成功,但目录无法显示。通常是由于FTP防火墙、路由器未支持指定的FTP端口,从而导致目录、文件等数据无法传送而造成的。这个问题的解决方法如下:

(1)     确保防火墙、路由器支持FTP穿透/FTP ALG功能。

(2)     如果防火墙、路由器不支持指定端口FTP穿透,则把运维审计系统的FTP代理端口从60021(或之前指定)改为21,这样不支持指定端口FTP穿透的防火墙、路由器也可以自动进行FTP穿透。

2.6  RDP常见问题定位方法

2.6.1  通过堡垒登录RDP主机比较慢

(1)     在本地PC机上做如下配置

开始-运行-gpedit.msc打开组策略,然后找到:计算机配置-管理模板-系统-Internet通信管理-Internet通信设置-在右边找“关闭自动根证书更新”改成启用。

(2)     在应用服务器中做如下配置:

开始-运行-gpedit.msc,打开组策略,然后找到:计算机配置-管理模板-系统-Internet通信管理-Internet通信设置-在右边找“关闭自动根证书更新”改成启用。

2.6.2  RDP登录时遇到NLA错误

NLA是网络级别的身份验证,在windows服务器的[计算机/属性/远程设置]中勾选允许运行任意版本远程桌面的计算机连接

 

2.7  AD域同步常见问题定位方法

2.7.1  AD域用户同步失败

(1)     检查子OU或父OU设置对不对;

(2)     修改AD域服务器默认同步域设置:

a.     进入AD域服务中,在[开始/运行]中输入”ntdsutil”

b.     进入CMD界面,输入”ldap policies”回车;

c.     输入”connections”回车;

d.     输入”connect to domain <域名>“(”connect to domain baoleijiyu.com”)后回车;

e.     提示连接成功之后,输入”quit”,回车;

f.     输入”show values”回车后,可以查看AD域的策略信息,可以看到maxpagesize显示的数量默认是1000个。

 

g.     输入”set maxpagesize to 2000”回车后,即可将同步用户的数量进行修改;

h.     输入”commit changes”回车后即可生效;

i.     输入”show values”可查看已修改的数量;

 

输入“quit”退出配置。

2.8  谷歌浏览器常见问题定位方法

2.8.1  使用谷歌浏览器时,安装了单点登录但是还是提示单点登录器不受信任。

打开谷歌浏览器,在地址中输入chrome://flags/#enable-npapi后重启浏览器即可。

说明

该方法仅限谷歌浏览器V4.4及以下版本。

 

2.8.2  使用谷歌浏览器时,安装了CA证书后浏览器还是提示不信任。

(1)     进入浏览器设置菜单;

 

(2)     点击[打开高级设置]

(3)     点击[HTTPS/SSL 管理证书]

(4)     在弹出框中导入证书;

 

(5)     默认存储方式为将所有的证书都放入下列存储-个人;

 

(6)     导入成功后重启浏览器。

联系我们