El usuario no puede estar en línea en el servidor AD

Pubilicado 2019-1-26 02:44:54 27 0 0 0

 

Descripción del problema

El cliente tiene dos servidores AD uno maestro y otro esclavo. Después de instalar ADSSO en el servidor y configurar la política de seguridad basada en el usuario en USG, la información en línea de algunos usuarios puede sincronizarse con el firewall, pero algunos usuarios no pueden estar en línea en el servidor AD.

 Información de alarma

[2017-12-24 15-32-11][DBG]UserOnLine, UserName: xxxx', Domain: 'automation', Computer: 'xxxx'

[2017-12-24 15-32-11][DBG]szADsPath = LDAP://10.10.x.x/CN=xxxx,OU=Finance,OU=USERS &Groups,DC=x,DC=com

[2017-12-24 15-32-11][DBG]user 'x' Logon from 10.10.y.y

[2017-12-24 15-32-11][DBG]record time 1514097879, message time 1514100731<?xml:namespace prefix = "o" />

[2017-12-24 15-32-11][DBG]Fake logon detected,because logon time too far!

[2017-12-24 16-18-27][INF]UserOffLine enter.


Proceso de manejo
1. Se verifica la configuración de ADSSO, se encontró que el parámetro:  ComminucationTimeWindow estaba configurado a 5 segundos, 
este tiempo es demasiado corto para que el usuario logre conectarse al servidor. Cuando el tiempo es menor a 5 segundos, los usuarios 
no pueden estar en línea y obtienen el siguiente mensaje “fake logon"  en ambos servidores de AD. 
El valor predeterminado del parámetro CommunicationTimeWindow es de 1800 segundos, por lo que lo cambiamos a 1800 
y reiniciamos el proceso de ADSSO.


(Cuando un usuario tiene una alarma de "fake logon" en dos servidores de AD, esta situación nos es normal y el usuario no puede 
estar en línea. Cuando el usuario está en línea en un servidor de AD, el otro servidor de AD también verificará el estado del usuario 
y en el segundo servidor de AD se mostrara una alarma de "fake logon", lo cual es una situación normal) ya que el usuario 
está conectado al otro servido).

024955jnc5pnfnnuz1yyy9.png?imagen1.png


2.- Si el sistema operativo utilizado es mayor que window 8.1 y windows server 2012, el estado en línea del usuario tendrá

un retraso de 5 minutos. Para evitar este comportamiento configuramos una política de grupo para deshabilitar 
el tiempo de retardo.
 
Causa principal
El valor del parámetro CommunicationTimeWindow configurado es demasiado corto.
 
Solución
Cambie el valor del parámetro CommunicationTimeWindow a 1800 segundos.


024648wnnyutnv2nlv95bd.png?imagen2.png



This post was last edited by Gustavo.HdezF at 2019-1-26 02:51.
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba