El usuario no puede estar en línea en el servidor AD

Pubilicado 2019-4-4 17:10:11 23 0 0 0

Descripcion del problema

El cliente tiene dos servidores AD, maestro y esclavo. Después de instalar ADSSO en el servidor y configurar la política de seguridad basada en el usuario en USG, la información en línea de algunos usuarios se puede sincronizar con el firewall, pero algunos usuarios no pueden estar en línea en el servidor AD.

Información de Alarma

[2017-12-24 15-32-11][DBG]UserOnLine, UserName: xxxx', Domain: 'automation', Computer: 'xxxx'

[2017-12-24 15-32-11][DBG]szADsPath = LDAP://10.10.x.x/CN=xxxx,OU=Finance,OU=USERS &Groups,DC=x,DC=com

[2017-12-24 15-32-11][DBG]user 'x' Logon from 10.10.y.y

[2017-12-24 15-32-11][DBG]record time 1514097879, message time 1514100731<?xml:namespace prefix = "o" />

[2017-12-24 15-32-11][DBG]Fake logon detected,because logon time too far!

[2017-12-24 16-18-27][INF]UserOffLine enter.

Proceso de manejo

1. Comprobado la configuración de ADSSO, el ComminucationTimeWindow son 5 segundos, es demasiado corto. 

Cuando el tiempo es superior a 5 segundos, los usuarios no pueden estar en línea y mostrar "inicio de sesión falso" en ambos servidores de AD. 

El valor predeterminado de CommunicationTimeWindow es 1800 segundos, por lo que lo cambiamos a 1800 y reiniciamos el progreso de ADSSO.

      (Cuando un usuario tiene una alarma de "inicio de sesión falso" en dos servidores de AD, es anormal, el usuario no puede estar en línea. Cuando el usuario está en línea en un servidor de AD, otro servidor de AD también verificará el estado y el segundo servidor de AD mostrará Alarma de "inicio de sesión falso", eso es normal.

920bafc4f89743ac8886cf27206dc92b

2. Si el sistema está por encima de window8.1 y windows server 2012, el estado en línea del usuario tendrá una demora de 5 minutos. 

Así que configuramos la política de grupo para deshabilitar el tiempo de retardo.


Causa Raíz

El CommunicationTimeWindow configurado demasiado corto.

Solución

Cambie CommunicationTimeWindow a 1800 segundos.

ad979d859ab8422383f2c8e882563f3e

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba