1、 文档编号版 本 号V1.0密 级应急_HAC故障处理手册XX信息技术有限公司第 29 页 共 32 页版本控制编号修订人修订时间版本号修订内容说明1 23目录1 前言11.1 文档目的11.2 相关文档11.3 读者对象11.4 约定12 HAC排障流程22.1 网络故障排除32.1.1 HAC网络指示灯32.1.2 PING HAC32.2 配置故障排除42.2.1 访问HAC问题52.2.2 用户认证失败52.2.3 访问内容不正常52.3 运维操作故障排除62.3.1 TELNET/SSH协议运维故障排除62.3.2 FTP/SFTP协议运维操作故障排除82.3.3 RDP/VNC/X
2、WINDOWS协议运维操作故障排除112.4 告警功能排障132.4.1 告警132.4.2 告警邮件142.5 审计平台排障152.5.1 软件安装162.5.2 网络连接162.5.3 查看权限172.5.4 用户认证172.5.5 命令回显172.5.6 日志回放173 FAQ184 技术支持311 前言1.1 文档目的本文档编写目的主要是介绍如何根据在HAC系统使用中遇到问题的现象及时定位,解决问题。1.2 相关文档运维安全审计系统相关的文档包括:l 运维安全审计系统产品使用手册l HAC审计平台使用手册l HAC动态令牌管理员手册l HAC usb_key使用手册1.3 读者对象本文
3、档适用于HAC系统管理员,HAC 运维管理员。1.4 约定HAC:Host Audit Control ,该产品中文名称为运维安全审计系统,英文简称为HAC。RDP:Remote Desktop Protocol,远程桌面协议,RDP专门为运行在服务器上的、基于Windows的应用程序提供网络连接上的远程显示和输入功能。Windows NT Server 4.0 支持RDP 4.0,而 Windows 2000 终端服务使用的是 RDP 5.0。但是这两个版本是完全兼容的。我们常使用Windows Terminal终端连接远程服务器时就使用该协议。Windows Terminal:Window
4、s远程访问终端,采用微软的RDP协议,文档中简称WT协议。SSO: Signle Sign-On,单点登录功能实现用户登录一次HAC,再次访问所需资源时无需再次输入系统本身的用户与密码。2 HAC排障流程运维安全审计系统HAC(V3.5)配置和故障排除流程图如下图所示:说明:整个配置工作(深蓝色表示)从开始到结束包括两大部分:网络配置、策略配置。网络配置涉及HAC的IP地址、默认网关、静态路由和接入网络环境下的防火墙等安全策略的配置;策略配置包括系统配置、定义资源、定义用户、授权和告警配置。在配置完成后,正常情况运维用户可以正常登录HAC、正常访问资源和审计员能正常审计和回放等。具体配置方法参
5、见运维安全审计系统产品使用手册和HAC审计平台使用手册等。本流程涉及的不正常情况(浅蓝色表示)包括:网络不正常、运维用户访问不正常、告警功能不正常、审计与回放不正常等。本流程涉及的排障过程(绿色表示)包括:网络故障排除、配置故障排除、单个代理故障、告警功能故障和审计与回放故障。每类故障对应一个故障排除方法。2.1 网络故障排除2.1.1 HAC网络指示灯HAC网络指示灯有两种:前面板指示灯和网口指示灯。前面板指示灯是在有网络流量时有闪烁(A型机为绿灯、E型机为黄灯);网口灯针对交换机接口速率不同颜色不同:10M时不亮、100M为绿色、1000M为橙色。HAC网络接口有三个:内网、外网和HA口。
6、在单臂模式下只接外网口;串联模式下内网口接服务器端,外网口接运维区。检查网络物理连接包括检查网线问题、连接问题及接交换机的位置。检查交换机配置包括查看交换机对应HAC口的状态、速率问题、双工模式等。2.1.2 PING HACPING HAC是保证终端到HAC网络层是否通。HAC网络配置包括IP地址、默认网关等。检查HAC网络配置是确认其正确配置,可以通过IE登录HAC或通过HAC console进行查看。检查终端(包括运维客户端和保护资源)网络配置是保证终端配置的正确性,可通过测试其到HAC的网关是否通来判断。检查网络环境安全配置是确保终端到HAC的网络通路中是否存在安全设置而导致网络不通。
7、具体终端到HAC需要开通的端口详见运维安全审计系统产品使用手册。2.2 配置故障排除 2.2.1 访问HAC问题1、 检查HAC的WEB服务是否正常通过Telnet HAC 443可以看出HAC的WEB服务是否开启,如果开启应该能访问。2、 检查网络故障通过网络故障排除可以定位是否是网络问题。如果不是网络问题,说明HAC的WEB服务没有正常启动,重启HAC看是否问题解决,如果没有,报厂家技术支持。2.2.2 用户认证失败1、 根据用户认证方式检查相关配置 根据流程图中方法进行检查,排除相应问题; 检查是否所有管理员是否都不能通过认证。2、 Administrator是否能通过认证 Admini
8、strator认证为口令认证,如果能通过认证,说明HAC 系统认证工作正常。此时,一般情况是外部认证系统的问题,尤其是其他所有管理员不能通过认证,应检查认证系统的报错信息来定位故障,具体操作可参见HAC Usb_key使用手册和HAC动态令牌使用手册; Administrator口令可以通过Console口重置口令; Administrator认证通过,可新建一个管理员来测试新建管理员是否能正常认证。2.2.3 访问内容不正常1、 检查管理员角色设置,确保角色分配正确;2、 根据界面报错信息定位故障原因;3、 厂商技术支持。2.3 运维操作故障排除2.3.1 Telnet/SSH协议运维故障排
9、除2.3.1.1 访问不到HAC1、 检查网络环境检查方法与网络故障排除相同。2、 检查HAC服务通过telnet相关服务检查HAC相关服务是否启动。如果配置为安全模式的Telnet,则用Telnet HAC_ip 22的方式进行检查。注:HAC如果配置为安全模式的Telnet,需采用SSH客户端访问HAC。2.3.1.2 用户认证失败与管理员管理故障排除类似。需要注意运维用户两个特性:用户是否激活和口令有效期的问题。2.3.1.3 访问资源列表不对1、 检查该用户的授权检查该用户是否有访问此资源的权限和授权规则等。2、 检查HAC的访问黑名单检查该用户访问相关资源进入黑名单。2.3.1.4
10、访问不到资源1、 检查HAC到资源的网络是否可达 HAC到资源的网络可达包括网络层可达和端口层可达; 网络层可达可通过HAC ping资源或资源ping HAC的方式检查; 端口层可达可查看网络设备和安全设备上是否对此端口进行了限制,也可通过HAC telnet资源相关端口进行测试。2、 检查资源是否提供此服务3、 检查资源服务端口是否与HAC配置的资源端口一致4、 针对SSH,检查资源是否切换到备机 由于SSH通信需要资源的公钥,当资源切换到备机时,HAC保留的公钥为原资源的。所以出现此情况,需重启HAC即可。2.3.2 FTP/SFTP协议运维操作故障排除2.3.2.1 FTP、SFTP代
11、理通过telnet HAC 21或22端口,来检查HAC的FTP或SFTP代理是否正常。2.3.2.2 资源状态 检查HAC到保护资源是否网络可达,可通过HAC Console中的网络测试功能来检查; 检查保护资源的FTP或SFTP服务是否正常开启,以及该服务的相关配置。2.3.2.3 资源授权 检查运维用户是否有此FTP或SFTP资源的授权; 检查授权规则是否对此运维用户有限制; 检查是否设置了用户访问黑名单。2.3.2.4 用户认证 检查在FTP或SFTP登录时参数设置是否正确,正确的参数设置应为:用户名:hac_user#host_user#资源名,如:fox#root#win2003_
12、ftp,其中fox为运维帐号,root为ftp服务器帐号,win2003_ftp为ftp资源名。密码:hac_pwd#host_pwd。 检查FTP认证失败的位置n 在登录时若提示为:或,则表明是在HAC认证时失败。n 若提示为:或则表明是在ftp服务器认证时失败。 检查SFTP认证失败的位置n 在登录时若提示为:(SecureFX为例)或则表明是在HAC认证时失败。n 若提示为:(SecureFX为例)或长时间连接不上,最后提示,则表明是在sftp服务器认证时失败。 检查HAC的认证方式 根据流程图中方法进行检查,排除相应问题。 如果问题没有解决,报厂家技术支持。2.3.3 RDP/VNC/
13、Xwindows协议运维操作故障排除 2.3.3.1 HTTPS不能访问与管理员管理故障排除相同。2.3.3.2 用户认证失败与管理员管理故障排除类似。需要注意运维用户两个特性:用户是否激活和口令有效期的问题。2.3.3.3 访问资源列表不对1、 检查该用户的授权检查该用户是否有访问此资源的权限和授权条件等。2、 检查HAC的访问黑名单检查该用户访问相关资源进入黑名单。2.3.3.4 访问不到资源根据排障流程中6项进行检查,基本能排除相应问题。如果解决不了,需咨询厂家技术支持。1、 检查HAC到资源网络可达 HAC到资源的网络可达包括网络层可达和端口层可达; 网络层可达可通过HAC ping资
14、源或资源ping HAC的方式检查; 端口层可达可查看网络设备和安全设备上是否对此端口进行了限制,也可通过HAC telnet资源相关端口进行测试。2、检查IE可信站点设置IE调用远程桌面连接需要运行控件,为了安全可将HAC设置可信站点,并对IE安全选项进行相关配置。3、检查客户端控件是否安装与启动客户端需要安装Microsoft Rdp Client Control ActiveX控件并处在启用状态。4、检查资源是否提供此服务5、检查资源服务配置由于资源服务配置限制可能会引起无法连接,可通过标准客户端直接访问资源的方式来验证资源服务配置是否存在相关限制等。6、检查HAC相关代理服务是否工作2
15、.4 告警功能排障2.4.1 告警首先要保证告警配置正确。 检查告警动作配置。包括:告警声音、是否阻断、告警邮件地址列表。若设置命令阻断动作,则命令不会被执行,并提示阻断信息、发出告警;否则命令被执行,且向审计平台发出告警。告警邮件列表是在发生告警时,将告警信息以邮件的方式通知管理员。 检查告警规则配置。包括:阻断提示信息、告警动作、是否启用、适用协议、匹配命令。阻断提示信息是在执行阻断动作时,运维客户端上提示的信息。适用协议包括:SSH/Telnet、FTP、SFTP,必须保证其与资源协议一致。匹配命令定义了此规则所适用的操作命令。 检查规则绑定配置。包括:规则与资源(组)绑定、有效账户级别
16、设置(SSO版本)。保证规则适用的协议与资源的协议一致。有效账户级别设置只适用于SSO版本,详见运维安全审计系统产品使用手册。2.4.2 告警邮件发生命令告警时,可将告警详细信息以邮件方式通知用户。需保证邮件的相关配置正确。 检查告警动作中的邮件列表,保证其邮件地址为有效地址。 检查邮件服务器配置。详见运维安全审计系统产品使用手册4.2.2.2章节。 检查DNS设置,保证DNS地址为有效地址,使其能解析到邮件服务器地址。2.5 审计平台排障2.5.1 软件安装软件安装是保证审计平台及其运行时所需的其他软件环境被正确安装。可通过控制面板中的“添加或删除程序”检查软件是否正确安装。 HAC审计平台
17、是主程序。 JRE是审计平台运行所必需的Java环境。 ODBC是MySQL与Windows数据服务的连接驱动,用于审计平台与HAC的通信。若以上均安装,但仍无法登录,可将其删除后重新安装。安装步骤详见HAC审计平台使用手册。2.5.2 网络连接网络连接是保证终端到HAC是否连通。 检查网络物理连接包括检查网线问题、连接问题及接交换机的位置。 检查交换机配置包括查看交换机对应HAC口的状态、速率问题、双工模式等。 检查网络环境安全配置是确保终端到HAC的网络通路中是否存在安全设置而导致网络不通。审计平台与HAC之间需开通端口9999和1306(其中9999端口可修改,详见运维安全审计系统产品使
18、用手册)。可通过telnet HAC的端口来验证。 如果仍然不能连通,重启HAC看是否问题解决,如果没有,报厂家技术支持。 2.5.3 查看权限以Administrator用户登录HAC配置平台,查看审计员用户是否具有审计平台权限。2.5.4 用户认证根据流程图中方法进行检查,排除相应问题。如果问题没有解决,报厂家技术支持。2.5.5 命令回显首先检查日志的有效性。如果在授权失败、IP禁止访问、认证失败的情况下进行的会话,会话日志是没有内容的。其次,检查服务器命令提示符的有效性。HAC通过解析命令的提示符来记录会话的命令及其回显。必须保证服务器上的命令提示符为常规的提示符,如:。2.5.6 日
19、志回放首先检查日志的有效性。如果在授权失败、IP禁止访问、认证失败的情况下进行的会话,会话日志是没有内容的。其次,检查日志是否被删除。如果日志被删除,HAC只在数据库中记录其命令及回显,但是日志文件已经不存在HAC上了,因此也就不能回放。可通过配置平台中查看日志是否被删除。3 FAQ1、 RDP、Xwindows、VNC某一项服务无法正常访问? 答:从以下几个方面进行排查。1) IE相关设置 RDP、Xwindows、VNC服务是通过IE浏览器进行访问。目前其他类型的浏览器不支持,请采用IE6或者IE7进行访问。 服务需要IE启用”Microsoft Rdp Client Control”Ac
20、tiveX控件。通过IE工具-管理加载项,查看是否加载此控件,并且属于启用状态。如果没有加载,请按照运维安全审计系统产品使用手册的相关章节进行设置,对浏览器进行重启。通过IE浏览器访问HAC 运维页面的过程中,浏览器会自动从HAC中下载此控件并加载它。 由于微软最近的更新导致部分用户rdp控件无法使用,解决方法为为客户端应用相应版本的补丁。补丁应用参见如下web页面:2) HAC代理问题和保护资源是否启动相关服务访问过程中出现如下界面:首先,检查HAC相关服务是否可用。用客户端直接连接到HAC外网口,telnet 相关端口,(RDP端口:3389,VNC端口:5900,Xwindows端口:7
21、000),如果连接成功,说明该服务可用。如果HAC服务可用,请检查: 真实服务器是否提供服务。如果HAC服务不可用,请检查以下内容: 检查系统日志区是否已经没有可用空间。日志空间已满会导致相关进程无法写日志而关闭。请对日志进行备份,并删除已备份的日志。最后,重新启动HAC,如仍不能使用,请联系江南科友技术支持。3) 网络问题 检查客户端到HAC的网络是否正常。 检查HAC 到真实服务器网络是否正常。 检查防火墙是否配置了相关策略。2、 IE安全级别已经设置,但是加载项中仍看不到”Microsoft Rdp Client Control”ActiveX控件答:该问题的原因是:情况默认, Wind
22、ows XP Service Pack 3 (SP 3)禁用 ActiveX 控件。解决办法:1) 请删除下面的注册表项中:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtSettings7584C670-2274-4EFB-B00B-D6AABA6D3850删除此项后,需重启IE。 2) 手动加载ActiveX控件 使用IE下载控件 并将其解压(包含两个文件:msrdp.ini和msrdp.ocx) 在“开始-运行”中运行命令:regsvr32 解压文件绝对目录msrdp.ocx,如:regsvr32 c:msrdpmsrd
23、p.ocx3、 Windows主机如何开启远程桌面服务?答:不同操作系统的windows主机,开启远程桌面的方法各有不同 对于Windows XP和2003 server主机,需在“我的电脑-属性-远程”中,将远程桌面服务打开 对于Windows 2000 server主机,需安装终端服务组件开始 - 设置 - 控制面板 - 添加/删除程序 - 添加/删除 Windows 组件 - 选中“终端服务” - 详细信息 - 勾选“启用终端服务”- 确定注意安装组件时,需用到系统光盘。 对于Windows 2000 professional主机,系统不支持远程桌面服务,需通过第三方的远程桌面软件,如V
24、NC和PcanyWhere来实现远程桌面服务。4、 在RDP访问时,鼠标移动速度较慢?答:该问题的原因是默认的RDP协议的刷新频率是100ms,相当于10Hz。所以鼠标移动速度较慢。可以添加注册表键值来解决这个问题:在HKEY_CURENT_USER Software Microsoft Terminal Server Client中新建两个dword值,名称分别为:Min Send Interval和Min Send Interval 5,他们的值都为10,也就是10ms刷新一次。5、 Telnet、SSH、FTP、SFTP中某个协议不能访问?答:从以下情况进行检查。1) 检查客户端到HAC
25、的网络是否正常;2) 检查HAC到保护资源网络是否正常;3) 检查防火墙是否配置了相关策略;4) 检查保护资源是否提供服务;5) Telnet检查HAC相关服务是否可用。(ftp端口:21, ssh端口:22,sftp端口:22,telnet端口:23)6) 检查系统日志区是否已经没有可用空间。日志空间已满会导致相关进程无法写日志而关闭。请对日志进行备份,并删除已经备份过的日志。最后,重新启动HAC,如仍不能使用,请联系江南科友技术支持。6、 在RDP运维页面中勾选磁盘映射选项,登录后发现本地磁盘没有映射到远程主机?答:如果在执行rdp登录操作时会弹出以下页面,而用户没有勾选驱动器选项,则会导
26、致本地磁盘驱动器没有映射。 注:通常客户端在登录的时候不需要再次勾选。此情况的产生是因为RDP对驱动器映射的提示与客户端程序版本和安全设置有关系,属于安全保护。如果勾选以上的选项后,仍然不能完成此功能,则请联系服务器管理员,开启服务器允许映射磁盘驱动器的功能。7、 在使用RDP访问保护资源后,通过非注销的方式退出,若用此用户名再次登录时,不能进入原连接的会话?答:Windows server具有为同一个用户提供多个会话的功能,采用某些版本的客户端进行登录的时候可以显示让用户选择需要登录的会话,如下图所示。如果客户端不能提供这个功能,请在服务器终端服务配置中设置“限制每个用户使用一个会话”。8、
27、 Windows telnet 服务不能设置采用自动登录的方式?答:HAC V3.5版本只支持类Unix系统的Telnet自动登录。9、 服务器是中文环境,telnet 登录后无法输入中文字符?答:在Telnet服务中进行中文输入时,请将资源的Telnet服务配置为支持8位字符。如图:10、 管理员在自动登录管理-设备账户管理页面中,设置RDP 自动登录帐号时,始终提示用户名密码错误?答:请将资源的服务器类型更改为Windows。11、 采用令牌认证方式进行登录,提示用户名密码无效?答:请按以下步骤检查:首先在安盟服务器进行本地身份验证,如果不能通过,请按照HAC动态令牌管理员手册重新设置。如
28、果能通过,请登录安盟服务器,查看token服务器的活动日志。 如果活动日志提示为: 日志提示找不到代理主机,而172.16.3.1为防火墙地址,经查看是由于在防火墙上设置了NAT策略。解决方法有两种:1) 在防火墙上取消NAT即可,建议将token认证服务器与HAC部署在同一网段。2) 添加UNIX代理主机的第二节点。首先,编辑认证服务器本地的hosts文件,添加防火墙的地址。如图:然后,编辑代理主机,添加第二节点; 如果活动日志提示为:则需在认证服务器的控制面板中,打开“安盟ACE/Agent”,清除节点密文,如下图:并且在“编辑代理主机”处,将”UNIX代理主机”和”网络操作系统代理主机”
29、的”发送节点密文”选项取消勾选,如图:12、 审计平台无法登录? 答:从以下三个方面进行排查。1) 确定审计平台是否已经正确安装。2) 检查审计平台到HAC是否网络畅通。3) 检查HAC相关服务是否可用。用客户端直接连接到HAC外网口,telnet 相关端口,(标准通讯端口:9999,数据端口:1306),如果连接成功,说明该服务可用。最后,重新启动HAC,如仍不能使用,请联系江南科友技术支持。注: 审计平台的通讯端口是可以用户自定义的,除在HAC和审计平台登录配置上进行修改外,还需确认审计平台到HAC该端口允许通过。13、 管理员采用Usb_key 登录Web管理页面,提示证书验证失败?答:
30、1) HAC 只对IE浏览器支持采用Usb_key方式进行登录。2) 此功能需要IE启用“Setting Class”ActiveX控件。通过IE工具-管理加载项,查看是否加载此控件,并且处于启用状态。如果没有加载,请按照HAC usb_key使用手册进行配置。重启IE,进行登录即可。3) 用户名与证书不匹配。请与证书管理员联系,查看是否匹配。4) 证书已过期。为了保证安全性,目前HAC没有对证书过期做出明确的提示。请登录HAC配置平台,管理员管理-证书管理页面查看证书是否过期。14、 新增一台与以前相同类型的服务器,登入配置管理平台,自动登录管理-设备账户管理,添加账户时,一直提示账户名密码
31、验证失败?答:服务器类型虽然一样,但是由于命令提示符和欢迎信息等可以自定义,sso的配置文件可能和原有服务器不一致。登录sso 配置管理页面(https:/ip/sso) 检查操作系统类型信息是否和新增服务器一致。如果不一致,增加新的操作系统模板,将服务器的相关信息录入。登录配置管理平台,进入运维管理-资源管理页面,编辑资源,将新增资源的服务器类型更改为新建的操作系统模板。15、 Windows Server RDP 自动登录始终不成功,需要手动输入密码才能登录?答:需从两个方面进行检查:1) 由于RDP的自动登录配置时不对账户进行密码校验,请登录配置管理平台-自动登录管理-设备账户管理 ,对
32、此资源重新输入正确的用户名和密码。2) 检查Windows Server上的终端服务器配置,是否选中了总是提示密码选项。请在开始-程序-管理工具-终端服务配置-左侧树状列表中的“连接”,双击右侧“RDP-Tcp”项,查看登录设置-总是提示密码选项框是否勾选。如果勾选,取消即可。16、 真实服务器原有地址不变更的情况下,主机进行了更换、主机SSH版本变更、或主备机切换后,不能通过HAC进行ssh和sftp登录访问?答:为了保证运维的安全,防止中间人攻击,HAC对主机更改的机器的密钥不做主动更改。遇到此情况需要将HAC重新启动。17、 HAC Web 页面不停切换,运维服务时断时续?答:此问题出现
33、在HAC 双机热备部署的情况下。当心跳线断开的时候,主备机均检测不到对方的存在,都变成主机状态提供服务。请将心跳线插回HAC。18、 已经配置了邮件告警服务器,为什么没有收到告警邮件?答:请从以下两方面进行排查:1) HAC到邮件服务器的网络是否畅通。2) 登录配置管理平台 系统信息-网络设置页面,查看是否配置了正确的DNS。HAC默认没有配置DNS服务器地址。如果没有,请添加正确的DNS服务器地址。19、 HAC 主备机切换后无法查看到以前的运维日志信息?答:HAC 目前不提供运维日志同步的功能。查看以前的日志需将HAC设备检修后,切换到原有设备进行查看。20、 运维操作有时出现异常中断?答
34、:HAC是采用代理技术实现数据的转发的,一般情况不会出现上述情况。以下情况会引起异常中断: 网络环境问题,当出现网络中断时会出现运维操作异常中断; 资源服务端设置超时机制,当空闲时间超过一定时间会出现; 针对某些协议,如RDP等,由于设置允许的客户端数,当超过此数时会出现中断; 运维操作日志大于2G时,HAC会自动中断; 在授权条件中设置会话时长,当到达此时间时会自动中断。21、 使用Telnet协议运维SCO服务器时,命令阻断不成功?答:由于用户的unix/linux主机上设置非常自由,HAC不可能针对它做各种适应,而阻断功能必须要目标主机配合,HAC通过发送Ctrl-C来阻断命令行, 可以通过修改服务器的/etc/profile或其它登录后的自动执行脚本,添加一行命令stty intr C即可。4 技术支持