域新组建模式单点登录不成功排错
我们分析域单点登录的整个过程,可以分为如下几个阶段:
第一阶段:PC请求登录域。
在使用单点登录新组件模式之前,PC本身都是登录到域进行认证的,这个过程一般不会出现什么问题,但是,如果PC是离线登录域的情况下,或者PC登录域之前有发往外网的连接,可能会导致单点登录不成功。
这种情况下,建议启用域组策略“计算机启动或者登录时总是等待网络”。域服务器更新组策略的命令是 “gpupdate.exe /force” 。
第二阶段: 域认证成功后,PC执行logon.exe脚本。
PC通过域认证后,即会执行logon.exe脚本。这个过程中有如下因素会导致域单点登录不成功:
1)域服务器上单点登录脚本的添加和配置是否正确
2)域组策略是否成功下发到PC
3)PC获得组策略后,是否有权限执行logon.exe脚本
根据这些可能的因素,我们需要做的排查工作分别是:
1)检查域服务器上组策略的设置,是否有关联到对应的域账号。
2)在测试的PC上执行命令“gpresult” 或者“rsop.msc”, 查看PC上获得的组策略,是否和域上设置的一致。
gpresult是用命令行显示,rsop.msc是用图形化显示。
3)在测试的PC上手动执行logon.exe脚本,看是否执行成功。
第三阶段:PC运行logon.exe成功后,在PC本地的C盘共享目录( C:\Documents and Settings\ )生成logon.txt日志文件,并上报登录域成功的消息给AC。
在这个过程中,有如下因素会导致域单点登录不成功:
1) PC登录域使用的域账号没有C盘共享目录的写权限
2) 域组策略设置的AC单点登录的IP,端口,密钥不正确
3) PC本身与AC之间相互不能通信。
根据这些可能的因素,我们需要做的排查工作如下:
1) 确保域账号有C盘共享目录的写权限,可以手动在C盘共享目录下手动创建一个文件验证。
2) 检查 “C:\Documents and Settings\域用户名\ ”下是否有生成logon.txt 文件。
如果第二阶段都没有问题,而没有生成logon.txt文件,这个目录下是有写权限的,则需要检查PC本地的防火墙或者杀毒软件是否保护和阻止写入日志文件。 可以关闭本机的杀毒软件或者防火墙,再登陆域查看logon.txt文件是否生成。
如果logon.txt文件生成了,域单点登陆不成功,可以查看logon.txt文件里面的内容,看是配置问题导致的单点登陆不成功,还是PC发给AC的请求没有回应。
3)如果logon.txt文件显示PC发了登陆域成功的消息给AC,但是AC没有回应,则需要检查PC与AC之间的通信是否正常,中间是否有其他网络设备拦截了数据包,最直接的方法是在AC上抓包,看AC是否能收到PC发过来的单点登录的数据包。
第四阶段: AC上收到PC发过来的单点登录认证信息,加入到在线用户列表。
这个阶段导致单点登录不成功的原因一般是PC的IP/ MAC已经被AC组织结构中其他用户绑定了。
除了上述三个过程,PC本身的系统配置问题也有可能导致单点登录不成功。
1)PC本机的Net Logon服务必须启用。
如果Net Logon服务是禁用状态,且手动启动也启动不了,需要检查workstation服务是否是启动的,这两个服务是依存关系。
同时还会对域内活动有影响的服务如下,确保这些服务都是启动状态 :
DNS Client
DHCP Client
Remote Procedure Call (RPC)
TCP/IP NetBIOS Helper
2)域服务器上,如果一个具有多个安全组及更大权限的账号,包括(Domain user组,Administrators组等)无法成功单点登录,需要在标识处添加上 Domain User组, 默认下只有Authenticated Users
