常用問題排錯(cuò)指導(dǎo)-深信服上網(wǎng)行為管理AC

1、SANGFOR AC&SG常見問題排錯(cuò)指導(dǎo)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)所有用戶上網(wǎng)斷網(wǎng)1.掌握所有用戶斷網(wǎng)情況下的問題排查思路上網(wǎng)策略導(dǎo)致訪問異常1.掌握由于上網(wǎng)策略不正確導(dǎo)致訪問異常的排查方法內(nèi)網(wǎng)收發(fā)郵件異常1. 掌握內(nèi)網(wǎng)用戶收發(fā)郵件異常情況下的排查方法外置數(shù)據(jù)中心數(shù)據(jù)庫連接失敗 掌握外置數(shù)據(jù)中心數(shù)據(jù)庫連接失敗的排查方法外置數(shù)據(jù)中心無法建立索引1.掌握數(shù)據(jù)中心無法建立 索引時(shí)的排查步驟查不到上網(wǎng)行為日志 掌握查不到上網(wǎng)行為日志的排查方法外置數(shù)據(jù)中心同步失敗 掌握外置數(shù)據(jù)中心同步失敗的排查方法所有用戶上網(wǎng)斷網(wǎng)所有用戶上網(wǎng)斷網(wǎng)首先從內(nèi)網(wǎng)PC上ping下網(wǎng)關(guān)，測試下PC和網(wǎng)關(guān)的網(wǎng)絡(luò)連通性。 如果從PC

2、上ping不通網(wǎng)關(guān)，則需要先檢查下物理鏈路是否正常，有沒有二層的ARP欺騙。4. 開啟攔截日志并直通，看用戶上網(wǎng)是否恢復(fù)，如果恢復(fù)，則通過查看攔截日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。關(guān)閉攔截日志和直通，測試上網(wǎng)是否恢復(fù)正常，如果仍然未恢復(fù)，則再開啟攔截日志，跟據(jù)攔截日志修改策略，直到故障修復(fù)。3. 如果PC與AC/SG設(shè)備之間跨三層設(shè)備，需要檢查AC/SG設(shè)備上的防DOS攻擊設(shè)置，是否勾選了“內(nèi)網(wǎng)到本設(shè)備間通過一臺(tái)/多臺(tái)二層交換機(jī)直接相連，沒有跨越任何的三層交換設(shè)備”（三層環(huán)境下不能勾選），DOS防御的參數(shù)是否設(shè)置過低導(dǎo)致的斷網(wǎng)。2. 如果PC能ping通網(wǎng)關(guān)，且網(wǎng)關(guān)是AC/SG設(shè)備，則需要

3、檢查AC/SG設(shè)備上的代理上網(wǎng)配置或者路由是否正確，LAN-WAN防火墻是否放通。上網(wǎng)策略導(dǎo)致訪問異常上網(wǎng)策略導(dǎo)致訪問異常 如果用戶只有部分應(yīng)用訪問異常，例如MSN登錄不了，登錄不了網(wǎng)銀，某些網(wǎng)站打不開，那么這些現(xiàn)象有可能和AC/SG上設(shè)置的策略有關(guān)系。 1. 首先檢查下用戶管理的上網(wǎng)策略，是否有設(shè)置可能攔截?cái)?shù)據(jù)的策略。 2. 設(shè)置條件，填入測試電腦的IP，開啟攔截日志并直通，測試故障是否修復(fù)。 （雖然也可以把測試電腦的IP地址填到設(shè)備的排除IP里，看故障是否修復(fù)，但是防火墻規(guī)則對(duì)排除IP還是生效的，所以還是建議用開啟攔截日志并直通來排除和定位問題） 上網(wǎng)策略導(dǎo)致訪問異常 3. 如果開啟攔截日

4、志并直通后故障恢復(fù)，那么可以定位問題是由于AC/SG設(shè)備的策略引起的，通過查看攔截日志，找到被拒絕數(shù)據(jù)的模塊，修改策略。 4. 關(guān)閉攔截日志和直通，測試應(yīng)用是否訪問正常，如果仍然未恢復(fù)，則重復(fù)第2，3步，直到故障修復(fù)。內(nèi)網(wǎng)收發(fā)郵件不正常內(nèi)網(wǎng)收發(fā)郵件異常 如果郵件服務(wù)器在外網(wǎng)，客戶端通過AC/SG收發(fā)郵件異常的話，需要進(jìn)行以下步驟的排查： 3. 如果AC/SG本身能上外網(wǎng)，只要開啟郵件過濾，客戶端收發(fā)郵件就不正常，關(guān)閉郵件過濾又能恢復(fù)，需要檢查下AC/SG設(shè)備的系統(tǒng)日志，看是否有程序異常的日志。 2. 如果關(guān)閉郵件過濾功能，客戶端收發(fā)郵件正常，需要檢查下AC/SG設(shè)備本身是否可以上外網(wǎng)，AC/S

5、G網(wǎng)橋模式部署，網(wǎng)橋IP必須正確配置能上外網(wǎng)的IP和網(wǎng)關(guān)。 1. 檢查郵件過濾功能是否有開啟，如果有開啟郵件過濾功能，檢查是否有不恰當(dāng)?shù)泥]件過濾選項(xiàng)，可以關(guān)閉郵件過濾功能，看收發(fā)郵件功能是否恢復(fù)。內(nèi)網(wǎng)收發(fā)郵件異常 4. 如果郵件過濾功能本身沒有開啟，但是客戶端通過AC/SG收發(fā)郵件異常的話，還需要檢查下是否開啟了網(wǎng)關(guān)殺毒中的SMTP和POP3殺毒。 6. 如果AC/SG本身能上外網(wǎng)，只要開啟SMTP和POP3殺毒，客戶端收發(fā)郵件就不正常，關(guān)閉SMTP和POP3殺毒又能恢復(fù)，需要檢查下AC/SG設(shè)備的系統(tǒng)日志，看是否有網(wǎng)關(guān)殺毒模塊異常的告警日志。 5. 如果開啟了SMTP和POP3殺毒，則關(guān)閉S

6、MTP和POP3殺毒，再檢查客戶端收發(fā)郵件是否恢復(fù)正常。 如果關(guān)閉SMTP和POP3殺毒，客戶端收發(fā)郵件就恢復(fù)正常的話，需要檢查下AC/SG設(shè)備本身是否可以上外網(wǎng)，AC/SG網(wǎng)橋模式部署，網(wǎng)橋IP必須正確配置能上外網(wǎng)的IP和網(wǎng)關(guān)。查不到上網(wǎng)行為日志查不到上網(wǎng)行為日志 具體的測試方法：以打開網(wǎng)頁的行為來測試，查看AC/SG設(shè)備的實(shí)時(shí)連接，查詢測試機(jī)的IP，看AC/SG上面對(duì)于打開網(wǎng)頁的行為識(shí)別成何種應(yīng)用。 正常情況下應(yīng)該識(shí)別為HTTP，如果識(shí)別為其他的應(yīng)用，說明設(shè)備上曾經(jīng)被自定義過應(yīng)用識(shí)別規(guī)則，導(dǎo)致識(shí)別錯(cuò)誤。 需要到“對(duì)象定義”“應(yīng)用特征識(shí)別庫”，禁用或者刪除自定義的應(yīng)用識(shí)別規(guī)則，然后再觀察AC

7、/SG設(shè)備是否能正確識(shí)別到應(yīng)用。對(duì)于查不到用戶的上網(wǎng)行為日志的現(xiàn)象，需要進(jìn)行的排查步驟如下：先檢查用戶關(guān)聯(lián)的上網(wǎng)策略，是否有開啟相應(yīng)的上網(wǎng)行為審計(jì)選項(xiàng)。2. 如果開啟了上網(wǎng)行為審計(jì)選項(xiàng)，仍然記錄不到上網(wǎng)日志，需要測試下AC/SG設(shè)備的應(yīng)用識(shí)別功能是否正常工作。 直到AC/SG設(shè)備能正確識(shí)別到應(yīng)用，再檢查是否能記錄到上網(wǎng)行為日志。查不到上網(wǎng)行為日志如果AC/SG設(shè)備能正確識(shí)別到應(yīng)用，但是仍然記錄不到上網(wǎng)行為日志。需要檢查下設(shè)備網(wǎng)橋模式下是否接反了線，這種情況下也會(huì)導(dǎo)致通過AC/SG上網(wǎng)沒有問題，但是設(shè)備上記錄不到上網(wǎng)行為日志的。如果AC/SG設(shè)備識(shí)別應(yīng)用正確，接線也是正確的，需要檢查下設(shè)備的系統(tǒng)

8、日志，看是否有程序異常的告警日志。如果在AC/SG設(shè)備的內(nèi)置數(shù)據(jù)中心日志選項(xiàng)開啟了“優(yōu)化審計(jì)性能”，則內(nèi)置數(shù)據(jù)中心不會(huì)記錄上網(wǎng)日志，也無法登錄，必須通過外置數(shù)據(jù)中心查詢。外置數(shù)據(jù)中心同步失敗外置數(shù)據(jù)中心同步失敗1.在設(shè)備上測試連接外置數(shù)據(jù)中心服務(wù)器是否正常。同步端口使用的是TCP810,如果在AC上測試連接外置數(shù)據(jù)中心失敗，可以到服務(wù)器上確認(rèn)本機(jī)是否正常監(jiān)聽TCP810端口。可以telnet 810看是否成功2.如果服務(wù)器本機(jī)沒進(jìn)程監(jiān)聽該端口，到【開始】-【管理工具】-【服務(wù)】中檢查服務(wù)“Sangfor Data Center”（對(duì)應(yīng)datacenter.exe進(jìn)程）狀態(tài)是

9、不是沒有啟動(dòng)?？梢試L試手動(dòng)啟動(dòng)該服務(wù)。3.如果本機(jī)測試監(jiān)聽端口成功則，檢查AC到服務(wù)器的路由是否可達(dá)，中間是否有其他網(wǎng)絡(luò)設(shè)備阻止了TCP810端口的訪問。4.查看系統(tǒng)日志，通過系統(tǒng)日志可以檢查：外置數(shù)據(jù)中心安裝軟件的版本和設(shè)備版本是否一致，外置數(shù)據(jù)中心同步賬號(hào)和密碼是否和設(shè)備上的一致。5. 如果系統(tǒng)日志有其他告警或者錯(cuò)誤日志，請(qǐng)聯(lián)系400處理。外置數(shù)據(jù)中心數(shù)據(jù)庫連接失敗外置數(shù)據(jù)連接數(shù)據(jù)庫失敗連接數(shù)據(jù)庫失敗大多都是由于SangforMySql服務(wù)起不來（對(duì)應(yīng)mysqld-nt.exe進(jìn)程），可以嘗試手動(dòng)啟動(dòng)該服務(wù)。需要注意的是，引起SangforMySql服務(wù)無法啟動(dòng)的原因較多，下面總結(jié)常見的會(huì)

10、引起SangforMySql服務(wù)無法啟動(dòng)的情況：1. mysql安裝時(shí)沒有和操作系統(tǒng)安裝在同一塊硬盤上目前要求mysql和操作系統(tǒng)安裝在一塊物理硬盤上，他們可以不在一個(gè)磁盤分區(qū)。（但是支持RAID磁盤陣列）。 2. 服務(wù)器上已安裝了其他數(shù)據(jù)庫（比如SQL SEREVER）建議服務(wù)器上不要安裝其他數(shù)據(jù)庫，以免沖突。 3. 服務(wù)器磁盤滿了會(huì)導(dǎo)致使用一段時(shí)間后出現(xiàn)問題，磁盤快滿時(shí)請(qǐng)及時(shí)清理磁盤刪除早期的日志，或做數(shù)據(jù)庫遷移。 外置數(shù)據(jù)連接數(shù)據(jù)庫失敗 4. 新建同步賬號(hào)時(shí)建立數(shù)據(jù)庫名稱 為“mysql”新建同步賬號(hào)時(shí)建立數(shù)據(jù)庫名稱不能是mysql，否則會(huì)導(dǎo)致數(shù)據(jù)庫連接失敗，此時(shí)請(qǐng)卸載重裝，且保證數(shù)據(jù)庫

11、名不要叫做mysql5. 在虛擬機(jī)上安裝的外置數(shù)據(jù)中心虛擬機(jī)環(huán)境不穩(wěn)定，不建議在虛擬機(jī)上安裝。 6. 做了數(shù)據(jù)庫遷移后，數(shù)據(jù)庫起不來請(qǐng)檢查mysql安裝路徑下MYSQLMySQL Server 5.0目錄下my.ini中datadir的路徑，G該路徑應(yīng)該是mysql的data所在路徑，如datadir=C:/MySQL/MySQL Server 5.0/Data/，一般做過數(shù)據(jù)庫遷移之后要確保這個(gè)路徑是移動(dòng)后的位置。 外置數(shù)據(jù)中心無法建立索引外置數(shù)據(jù)中心無法建立索引在配置外置數(shù)據(jù)中心的內(nèi)容搜索時(shí)，無法建立 索引或索引到一半時(shí)卡住，可通過如下步驟進(jìn)行排錯(cuò)：確認(rèn)索引時(shí)間內(nèi)的日志已同步至外置數(shù)據(jù)中心

12、。網(wǎng)頁內(nèi)容索引需要開啟網(wǎng)頁內(nèi)容審計(jì)才可以。查看數(shù)據(jù)中心服務(wù)器的系統(tǒng)狀態(tài)，如果cpu、內(nèi)存過高，可能會(huì)影響索引程序。確認(rèn)索引相關(guān)進(jìn)程Cserver.exe ，Quickindex.exe，cindexer，mysqld-nt.exe及websvr.exe在運(yùn)行。在索引狀態(tài)頁面查看索引進(jìn)度時(shí)，建議查看搜索百分比是否有增加，來判斷索引是否在正常進(jìn)行，每索引100條日志，索引進(jìn)度就會(huì)發(fā)生變化。索引狀態(tài)，即已索引的日志條數(shù)，這個(gè)不是實(shí)時(shí)更新的，索引是先寫到內(nèi)存中，當(dāng)內(nèi)存寫滿時(shí)，才會(huì)從內(nèi)存寫到硬盤中，索引狀態(tài)數(shù)是從內(nèi)存寫到硬盤的過程中才更新的，如果內(nèi)存很大，索引策略設(shè)置為高，索引狀態(tài)更新就會(huì)很慢。數(shù)據(jù)中心安裝目錄和索引所在目錄是否可讀寫文件，空間是否滿了?？梢允謩?dòng)在索引所在安裝目錄下創(chuàng)建文件進(jìn)行驗(yàn)證。外置數(shù)