【AC】对接LDAP做AD域密码认证，域上禁用了此用户后还是能正常通过认证   1、AC认证服务器中测试有效性时成功， 抓包看服务器正常返回了sussess 2、用户过滤条件设置成不同步禁用的账号测试正常：(&(|(objectClass=user)(objectClass=person))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))   用户过滤条件设置成不同步禁用的账号测试正常： (&(|(objectClass=user)(objectClass=person))(!(userAccountControl:1.2.840.113556.1.4.803:=2)))            

【AC】流量管理通道配置的【通道使用范围】显示不全   1、换浏览器测试依旧 2、浏览器缩放比例缩小后 还是显示不出来，  保持当前缩放比例刷新退出控制台重新登录后显示正常   浏览器缩放小后，保持当前缩放比例，并刷新退出控制台重新登录打开显示正常。 注意要重新登录控制台          

第三方SIP检测到AC的认证页面链接存在系统命令注入的风险 1、了解到第三方判断机制是请求字段中带有“pwd”字段就认为是有系统命令注入风险 2、查看AC的认证请求链接中确实带有"tabs=pwd"字段 3、内部确认此字段并无系统命令注入风险，只是客户认证方式的标签，如果是本地密码认证就是pwd，如果是其他认证则是对应其他的字段 第三方检测误报 无需解决          

认证助手点击登陆就闪退   1、检查发现有装npcap软件，一般装了wireshark都会装这个，everything搜到好多个wpcap.dl 2、卸载npcap后，重开认证助手正常 1、机器安装了npcap软件，会给系统装wpcap.dll库2、准入认证时候ingress会用到这个库，不兼容就崩溃了 卸载npcap软件，重启ingress即可          

【AC】限速流控策略不生效，首页仍旧显示应用流量高，限制10M，但是首页经常有用户超出限制   1、查看配置无误，线路、用户和生效时间等均正常 2、首页显示有超限制的应用流量时，在流控通道中查询没有对应的应用信息 3、查看系统故障日志无异常日志 4、后台查看无cpu分发关闭的情况 限制流控策略前面还有一条访问网站的保障通道，流量匹配URL特征被放行，URL流量不会显示在流控通道中 将限制流控通道放到访问网站的保障通道之前后正常          

通过ac 企业微信无法外发文件，发送出现感叹号，开启直通能正常访问   1、针对源ip开直通 查看直通无日志， 2、权限故障策略故障过滤拒绝的 没有发现匹配策略 3、没有开启防共享以及链路负载 dns代理都没有开启 4、AC后台防火墙驱动调试日志分析如下   跟研发确认开启了显示免责声明导致 ，免责声明就是用户上线后给一个http的免责声明页面，点击同意登录成功后跳转到之前访问的页面。当前这台终端访问的是HTTPPOST资源，没有根据AC返回的302地址进行重定向，导致用户体验就是上传文件失败了 关闭这个免责声明解决          

AC配置了文件外发管控不生效   1、检查用户已经匹配策略关联，查看用户准入日志找网关正常2、在终端通过工具UEBotX.exe查看也获取到了关联的策略3、研发查看准入日志显示是放通规则，分析代码确认是设备终端防泄密规则库过期导致4、更新授权后测试文件外发管控正常   更新防泄密外发规则库          

环境：SG做单臂代理，PC的代理服务器指向SG，SG指向二级代理服务器（SG设备本身无法上网），配置解密后，解密的域名无法访问 1、SG开启解密后、用户可以访问非解密的域名，解密的域名无法访问。关闭解密后，用户可以访问所有域名 2、查看电脑已经安装了SG的ssl根证书 3、开启解密后抓包分析，发现用户访问解密域名时，SG使用的是自身的DNS去解析解密的域名，而SG设备本身配置的DNS是无法解析域名的，导致用户无法访问解密的网站   二级代理场景，开启解密后SG会使用自身的DNS去解析需要解密的域名，SG自身无法上网，导致无法解析域名 二级代理场景如有解密需求，需要放通SG设备dns请求的流量，确保SG自身DNS能解析域名          

客户内网服务器映射到外网，通过防火墙过滤规则只有部分公网源ip可以访问，但是仍有个别不在白名单的ip可以访问   1、本地测试确认到是匹配了防火墙拦截的，说明端口控制策略是无异常的（开启直通正常访问，且是防火墙规则丢包） 2、检查配置确认到可以访问的源ip不在放通的策略里面，且源目ip都没有涉及到全局排除地址 3、抓包确认，确实异常的源ip确实访问到了服务器，ac未做拦截 3、协调研发分析，后排查到和业务审计定义的ip配置有关，发现未限制的源ip在业务审计定义里面，去掉该配置后测试可以拦截 配置业务审计地址，会导致连接跟踪的方向反过来，导致过滤规则匹配不上（防火墙规则限制的wan-lan方向） 和客户确认到，这个ip无需被定义业务目标ip进行审计，去除后正常          

AC双网桥接入网络中，断开其中一个链路导致网络中断   1、AC双网桥接入客户网络中，前端防火墙和后端交换机做了聚合 2、现场测试，拔掉其中一个链路后，网络不中断，恢复断开的链路，拔掉另外一端链路网络中断 3、了解到前后聚合是主备模式，拔线路只拔了交换机一端的链路，接防火墙的未中断 4、建议AC网桥开启链路同步以后，再测试网络无异常 AC网桥接入网络中，未开链路同步，中断一端接口，无法通告另外一端设备导致数据转发异常 开启链路同步，保障AC上线链路状态同步解决          

外置数据中心无法看到上网行为监控的拒绝日志   1、用户日志同步正常2、去url拒绝日志勾选全部可以正常看到 所有行为日志默认屏蔽了web应用类型的日志，所以查不到。但是可以在网站访问日志那查到 外置数据中心打补丁包SP_BA_20241113_01.zip SP_BA_20241113_01.zip ( 7.31M  )              

外置BA数据迁移 场景一、 新旧BA的日志存储路径一致 存储路径查看方法：   【特点】  拷贝结束之后就可以查询日志 【步骤】 1. 拷贝配置文件 路径：日志存储路径\log_data\_accfg, 例如：D:\data\DcLog\log_data\_accfg   2. 拷贝日志（需要停止BA服务） 路径：日志存储路径\log_data\dc, 例如：D:\data\DcLog\log_data\dc   3. 拷贝附件 路径：附件存储路径\dc,例如：D:\data\DcAttaches\dc     4. 拷贝日志同步策略与进度（可选） 该步骤可选，不拷贝也行，新BA上新建同步策略即可。拷贝的意义是可以继续旧BA的同步信息，继续同步路径：BA安装路径\dc\config\syncpos 与 BA安装路径\dc\config\syncaccount.dat,例如：D:\data\DataCenter\dc\config\syncpos D:\data\DataCenter\dc\config\syncaccount.dat     5. 拷贝带宽分析等应用的日志(可选) 路径：日志存储路径\log_data\store, 例如：D:\data\DcLog\log_data\store     6. 拷贝生成的报表文件（可选）  路径：  BA安装路径\dc\config\report_custom_config.js,例如：D:\data\DataCenter\dc\config\report_custom_config.js 日志存储路径\log_data_other_data\report, 例如：D:\data\DcLog\log_data_other_data\report         场景二、新旧BA的日志存储路径不一致 【特点】 日志拷贝结束需要等索引和中间表生成才可以查询日志  【步骤】  1. 拷贝配置文件  路径：日志存储路径\log_data\_accfg, 例如：D:\data\DcLog\log_data\_accfg 2. 拷贝除devid_00000000外的原始日志（需要停止BA服务） 路径：日志存储路径\logdata\dc下除devid_00000000外的devid开头的目录, 例如：D:\data\DcLog\log_data\dc\devid_000D084C 3. 拷贝附件 路径：附件存储路径\dc,例如：D:\data\DcAttaches\dc      4. 拷贝日志同步策略与进度（可选） 该步骤可选，不拷贝也行，新BA上新建同步策略即可。拷贝的意义是可以继续旧BA的同步信息，继续同步路径：BA安装路径\dc\config\syncpos 与 BA安装路径\dc\config\syncaccount.dat,例如：D:\data\DataCenter\dc\config\syncpos D:\data\DataCenter\dc\config\syncaccount.dat 5. 拷贝带宽分析等应用的日志(可选) 路径：日志存储路径\log_data\store, 例如：D:\data\DcLog\log_data\store 6. 拷贝生成的报表文件（可选） 路径： BA安装路径\dc\config\report_custom_config.js,例如：D:\data\DataCenter\dc\config\report_custom_config.js 日志存储路径\log_data_other_data\report, 例如：D:\data\DcLog\log_data_other_data\report   场景三、同服务器内，更换存储路径 日志迁移步骤取决于更换前后的存储路径是否一致，来适配场景一还是场景二 【存储路径修改步骤】 1. 修改mysql_path.ini文件 路径：BA安装路径\mysql_path.ini,例如：D:\data\DataCenter\mysql_path.ini 2. 修改mdb.ini文件 路径：BA安装路径\ldb\bin\mdb.ini,例如D:\data\DataCenter\ldb\bin\mdb.ini 3. 修改sys_config.js文件（右键->编辑） 路径：BA安装路径\dc\config\sys_config.js,例如D:\data\DataCenter\dc\config\sys_config.js 注意： 1. 修改时，需要停止BA服务操作，修改完启动BA服务后，需要确认界面显示的存储路径是否正确 2. 如果只需要部分日期的数据，需要单独拷贝devidxxx目录下的日期目录,所有devid_xxx目录中的日期要保持一致，特别是devid_0000000目录，里面的日期不能比devid网关ID下的日期少，否则会查询失败        

终端插件检查规则配置端口管控禁止ICMP协议不生效 无 1、运行C:/program Files/Sangfor/NAC/bin/zrclient确认终端正常找到网关2、PC上查看正常获取到了该端口管控策略 端口管控策略拦截ICMP效果为禁止配置的IP通过ICMP协议PING通本机而非禁止本机PING通目标地址 通过外联管控或者应用控制策略做拦截 无 否 无 无    

设备开启了链路同步之后，对端设备网口down之后导致设备本端网口down，之后网口一直无法up网口不通   1、ifconfig查看网口出现eth7口不在，但是eth8口在2、将设备重启之后eth7口和eth8口up后网口恢复正常3、查看设备部署模式开启了网桥链路同步，将链路同步功能关闭后再测试网口被动down之后可以正常up4、和研发确认网卡类型是ixgbe，在开启了链路同步之后网口被动down之后因为终端识别功能模块导致网口信息异常，之后网口接上网线也无法正常up，可以打包修复解决 ac终端识别后台需要抓dhcp包，需要将eth3口设置为混杂模式，当eth3 down掉之后，终端识别dhcp抓包模块会一直频繁重新初始化，先取eth3的flags标记，加上IFF_PROMISC混杂模式标记后重新下发，约10ms一次，eth3up过程要执行ixgbe的ndo|_open，耗时约400ms，才能将网卡的fags标记加上IFF_UP，这400ms中终端识别后台执行了多次下发，将这个IFF_UP标记贾盖掉，导致最终fags标记中没有IFF_UP，导致最终eth3还是down了 需要打包KB-AC-20241210-287进行修复          

已关闭dos邮件告警相关设置但是依旧会收到对应邮箱   1、查看安全能力中dos设置已经关闭告警通知2、核对告警选项确认告警选项也已经关闭了防护内网dos攻击告警； 3、检查配置文件设置确认配置无误,dosattack已被置于=0状态即为关闭状态 cat /ac/etc/config/alarmway.conf4、后台手动进行下发配置文件后，查看下发日志确认已经正常下发：acModule /ac/etc/config/alarmway.conf 手动下发告警配置文件tailf -n 15 /ac/var/log/configupdate.log 查看下发配置日志5、经过研发核实确认，判断为 【网络故障告警】发送邮箱导致：6、网络故障排查中关闭 内网dos攻击 检测项后观察测试正常； dos告警相关功能设置较多，容易漏关导致提示告警 网络故障排查中关闭 内网dos攻击 检测项          

AC13.0.62版本之前认证如何对接钉钉企业内部应用   1、由于AC低版本不支持对接新版钉钉应用，AC 13.0.62版本以上新建钉钉认证服务器时可以选择内部应用，导致13.0.62版本之前的版本都无法对接新版钉钉 2、当前研发针对13.0.47，12.0.47以及12.0.44版本出优化包支持新增企业内部应用对接，其他版本建议升级解决   实施如下优化包解决 AC12.0.44: KB-AC-20220622-601-044 AC 13.0.47，12.0.47: KB-AC-20220622-601-01 会重启认证服务，短时间内（半分钟左右）无法新用户上线，对在线用户无影响        

使用的ldap同步到本地的功能，域上新增的用户无法同步到AC本地组织结构。     1、查看界面上的同步报告，有报错 在同步用户到ac时会比较两侧差异，会去域反查，导致无法正常同步到ac 在LDAP服务器配置文件/ac/etc/config/fw/authextra.ini下加一行配置，然后重新同步解决。ldap_deluser_check_enable = 0            

AC设备配置导入另外的设备，ssl内容识别证书未导入   1、确认设备其他配置正常导入，但是ssl内容识别证书下载安装不是原有设备的 2、内部确认低版本设备配置导出配置，无ssl内容识别证书配置 3、通过手动导出原有设备的证书，导入到新设备解决 低版本设备配置导出配置，无ssl内容识别证书配置 1、老设备后台导出证书私钥和公钥 /ac/etc/contig/sslproxy/legalcacert.pem/ac/etc/config/sslproxy/legalcakey.pem 2、新设备界面导入，加密密码默认1111            

结合华为无线控制器做portal认证 ac上已经强制注销了，但是PC依旧可以上网   1.客户侧策略配置是：第一次认证后，会有用户和mac做绑定，第二次登录后就不需要认证了，免认证上线2.免认证上线后，手动从控制台注销后用户依然可以上网3.从抓取华为无线控制器数据包分析AC发了注销报文 控制器也回了ACK_LOGOUT 但是控制器本身没注销用户，还继续放通了用户上网4.在华为控制器上看，第一次认证是以用户名上线的，第二次免认证控制器是以mac地址上线的 华为控制器的mac优先的portal认证，认证流程。终端第一次portl认证成功后显示正常的用户名，后续的认证显示的是终端的mac地址，在radius（AC）服务器上显示的正常的用户名。其原因就是第二次认证时用的是mac认证，所以显示的是mac认证的用户名。 2.实际上就是AC注销了免认证后，华为控制器上是以mac用户名上线的，导致ac注销报文不生效，没有成功注销华为控制器上的用户3.华为无线控制器的mac优先的portal认证和注销用户的场景本身就是个冲突场景 华为无线控制器的mac优先的portal认证和AC注销用户的场景本身是个冲突场景，需要华为无线控制器取消mac优先的portal认证                

AC和edr联动，edr插件显示离线   1、AC和edr联动，edr插件显示离线，实际终端已经安装edr成功，据了解用户是有多个分支，不同分支之间都有一个edr服务器IP，各分支之间网络是通的 2、查看edr上客户端显示离线，但是客户端和服务端网络正常 3、分析终端对应配置文件，终端有对应edr服务器IP配置 4、net_config.ini中有多个EDR服务器IP时，客户端连接上其中其它IP后不会去连接其它EDR服务器IP net_config.ini中有多个EDR服务器IP时，客户端连接上其中其它IP后不会去连接其它EDR服务器IP 调整网络，不同分支只能访问本地的edr服务器IP，拒绝访问其它分支的edr服务器IP