Hola a todos.
En la presente publicación platicaremos sobre un error que se presentó a un usuario que al querer conectarse a la red el servidor active directory lo calificaba como usuario no válido debido a una incorrecta configuración en una política de seguridad dentro del firewall UGS. Pasemos al tema en cuestión.
Descripción del problema
El cliente tiene dos servidores AD uno maestro y otro esclavo. Después de instalar ADSSO en el servidor y configurar la política de seguridad basada en el usuario en USG, la información en línea de algunos usuarios puede sincronizarse con el firewall, pero algunos usuarios no pueden estar en línea en el servidor AD.
Información de alarma
[2017-12-24 15-32-11][DBG]UserOnLine, UserName: xxxx', Domain: 'automation', Computer: 'xxxx'
[2017-12-24 15-32-11][DBG]szADsPath = LDAP://10.10.x.x/CN=xxxx,OU=Finance,OU=USERS &Groups,DC=x,DC=com
[2017-12-24 15-32-11][DBG]user 'x' Logon from 10.10.y.y
[2017-12-24 15-32-11][DBG]record time 1514097879, message time 1514100731<?xml:namespace prefix = "o" />
[2017-12-24 15-32-11][DBG]Fake logon detected,because logon time too far!
[2017-12-24 16-18-27][INF]UserOffLine enter
Proceso de manejo
1. Se verifica la configuración de ADSSO, se encontró que el parámetro: ComminucationTimeWindow estaba configurado a 5 segundos, este tiempo es demasiado corto para que el usuario logre conectarse al servidor. Cuando el tiempo es menor a 5 segundos, los usuarios no pueden estar en línea y obtienen el siguiente mensaje “fake logon" en ambos servidores de AD.
El valor predeterminado del parámetro CommunicationTimeWindow es de 1800 segundos, por lo que lo cambiamos a 1800 y reiniciamos el proceso de ADSSO.
(Cuando un usuario tiene una alarma de "fake logon" en dos servidores de AD, esta situación no es normal y el usuario no puede estar en línea. Cuando el usuario está en línea en un servidor de AD, el otro servidor de AD también verificará el estado del usuario y en el segundo servidor de AD se mostrará una alarma de "fake logon", lo cual es una situación normal) ya que el usuario está conectado al otro servido).
2.- Si el sistema operativo utilizado es mayor que window 8.1 y windows server 2012, el estado en línea del usuario tendrá un atraso de 5 minutos. Para evitar este comportamiento configuramos una política de grupo para deshabilitar el tiempo de retardo.
Causa principal
El valor del parámetro CommunicationTimeWindow configurado es demasiado corto.
Solución
Cambie el valor del parámetro CommunicationTimeWindow a 1800 segundos.
Concluimos que si no realizamos una correcta configuración de las funcionalidades den nuestros equipos podemos generar un problema evitando que nuestros usuarios no puedan realizar sus actividades de forma normal.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#ComunidadEnterprise
#OneHuawei