v7.年度渠道高级认证培训常见问题排错指导

培训内容培训目标了解s

tool工具的作用掌握使用s

tool工具查看，卸载和控件，修复系统LSPSANGFOR

SSLs tool工具的使用方法SSL常见问题排错指导常见SSL问题的排错思路了解SSL各控件的名称和作用3.掌握SSL登陆页面无法打开或者打开登录页面很慢的排错思路4.掌握可以登录SSL，但无法 内网资源的排错思路5.掌握常见的SSL控件问题的排错思路和解决办法6.掌握SSL设备与第 认证服务器结合的问题排错思路7.掌握其他常见问题的排错思路S TOOL工具的使用方法SSL

常见问题排错指导动动手SANGFORSSLS

TOOL

工具的使用方法STOOL工具的作用和使用方法s

tool工具的作用1、stool工具是专门用于SANGFOR

SSL

客户端控件的查看、安装、卸载等操作，可以帮助

对客户端安装的控件进行完全的卸载，或者是重新安装以解决某些时候客户端控件的问题，也可以帮助在客户端

SSL

有问题的时候来作为一个判断

段。2、s

tool工具上分两个功能按钮，分别是快速修复和过“快速修复”将清理电脑上的所有SSL

控件；通过“调试。通调试”可查看已安装的SSL

控件、查看和修复系统LSP、启用debugview。s

tool工具

地址1.

通过任意一台5.0及以上版本的SSL设备手动输入如下地址

：htt

/win/s

tool.zip

（5为SSL设备的IP地址）解压s

tool工具

方式2.

通过任意一台5.0及以上版本的SSL设备客户端登录页面

：或者

（5为SSL设备的IP地址）S tool

快速修复功能快速修复功能用于客户端电脑无法登录SSL

时，卸载电脑上的SSL控件。通过快速修复功能，客户端电脑卸载和重新安装控件，排除控件问题导致的登陆失败。双击通过

调试功能查看已安装的SSL控件，对已安装的控件选择性的卸载，安装；查看和修复系统LSP；启用Debugview功能定位故障原因。S

tool调试查看已经安装的SANGFOR

SSL控件可查看到已经安装的SSL控件名称和各个控件的功能说明。卸载指定的SANGFOR

SSL控件选择需要被卸载的控件安装指定的SANGFOR

SSL控件（dll类型的文件）刷新查看是否安装成功查看，卸载和修复系统LSP某些情况下，如果安装SSL控件的LSP导致系统出现问题，可尝试修复系统LSP到初始状态。恢复LSP到初始状态启动Debugview打开Debugview界面后，再

SSL登录页面，或者通过SSL资源页面，可通过Debugview的记录找到故障原因。SSL常见问题排错指导常见问题排错指导问题处理思路一般SSL

的问题可以分为两类，客户端PC或者是设备端配置的问题。在处理问题时最重要的一点是，必须先判断出问题是出在客户端还是设备端，然后对应问题进行解决，而不是毫无目的去查找问题和处理问题。SSL登录页面无法打开首先判断是所有客户端都打不开登录页面还是某部分PC上打不开登录页面；如果是所有客户端都打不开，则需要检查设备端的设置。如果SSL设备单

署，检查前端FW端口

是否80或者443没有做

，设备默认的443和80端口是否被做过修改等。如果SSL设备网关模式部署，则检查从内网是否可以通过SSL设备的LAN口的80和443端口登录；电脑直连SSL设备的WAN口，是否可以打开登录页面，初步分析是网络原因还是由于设备无法提供服务引起的。常见问题排错指导1.

SSL登陆页面无法打开3）如果只有部分PC打不开登录页面，则问题出在客户端，需要具体检查PC的情况。如网络不通，本地杀毒的限制，本地IE浏览器设置问题或者是PC上安装的一些浏览器插件的问题所导致；常见问题排错指导，检查PC是否可以 其它的SSL

（如检查客户端是否可以正常网上银行），关闭PC上的认配置、检查IE是否做了或者杀毒设置，使用s，清空IE浏览器缓存、恢复IE默tool工具卸载和重装SSL控件。SSL打开登录页面很慢检查网络速度是否很慢，最好检测一下从PC到设备端出口位置的丢包延时情况，看

慢是否与网络有关；检查本地IE浏览器的安全设置，尝试恢复一下默认配置；检查IE浏览器的

是否有相关配置，尝试去掉

的配置；常见问题排错指导3）尝试清除IE插件（使用一些第去检测IE插件并清除掉）；3.

SSL可以正常登录，但无法型的资源）内网资源（TCP应用或者L3类检查SSL设备本身能否

到内网资源，尝试将设备的内网IP配置到PC上，用PC去尝试一下看能否

到，如果PC也

不到需要检查内网路由设置或者是服务器是否做了什么限 务器是否开启相关的服务等；如果使用了

资源，需要在客户端使用

测试一下是否解析出正确的IP地址（不需要

通）；检查

内网资源的IP和端口是否添加完整，可以尝试添加全IP和全端口试下；常见问题排错指导3.SSL可以正常登录，但无法类型的资源）内网资源（

TCP应用或者L3如果使用了L3

资源（且启用了路由模式），要注意检查服务器上是否有到虚拟IP池网段的回包路由，可尝试把资源模式换成“使用设备的IP地址作为源地址”再；如果使用了L3

资源，首先检查CSAppSupportClient进程是否存在，检查客户端虚拟网卡是否正常启用、是否获取到虚拟IP地址，检查路由是否下发到PC上；使用s

tool工具卸载和重装控件，重装前将PC上的杀毒、防火墙全部关闭；常见问题排错指导客户端控件问a题.

客户端出现控件反复安装检查IE浏览器管理的加载项，是否SANGFOR

SSL有关的控件被禁用，确保启用这些控件；其次是所 的设备的控件版本和PC端上控件版本号不对。一般情况下如果出现这种问题使用s

tool工具将PC上的所有控件卸载，然后重新安装即可解决；b.

客户端安装控件后导致某

无法使用ProxyIE控件可能与某

存在

，使用s

tool工具修复一下看是否能解决问题，如果确认有 联系深信服400技术支持处理。常见问题排错指导4.

客户端控件问题c.

控件无法安装，TCP服务或者L3常见问题排错指导服务启用失败尝试将PC上的杀毒

、

等全部关闭或者退出再重新

和安装控件，其次检查 表是否被锁死、可以手动去读写 表看是否成功，检查出并完整卸载掉相关锁死 表的 ；在系统user权限下安装出了问题，检查权限提升服务Sangfor

PromotionService进程是否运行，或者用管理员账号登陆系统下SSL

重新安装一次控件；客户端控件问题排查汇总：1、关闭所有IE浏2、用s

tool管理员权限打开3、右击系统自或“中低”，保【程序】，点击常见问题排错指导4、打开SSLinstAll.exe登录界面，点击登动安装包到桌面，若安装的安全 退出。果为WIN7右击s

tool以面有

。全】选项卡调整IE安全级别为“中”可以重置一下IE，具 置在件

”， 名为闭IE之后，确保操WIN7系统建议右

rObjcet等提示框/instAll.exe（4.X或作系统有安装插件的权限，再双击in击以管理员打开），期间提示是等，请选择允许。SSL5.0以上版本控件地址为：h常见问题排错指导客户端控件问题排查汇总：5、重新打开IE浏览器（一定要是系统自带IE），若为WIN7操作系统，只支持SSL

4.21或以上版本，使用WIN7系统建议右击IE浏览器—选择“以管理员

”打开，（如果为64位操作系统，在“开始”—“程序”，选择一个不带64位的IE浏览器打开，或是在IE安装 下找到32位的IE浏览器，用32位的IE登录SSL

），请在【连接】选项卡—要 的服务器地址（非SSL6、要注意所在局域网是否有使用 ，如果有使用【局域网设置】—【高级】，在例外里排除通过登录地址）常见问题排错指导客户端控件问题排查汇总（注意事项）：1、SSL5.0版本之前只支持IE内核浏览器，5.0以上版本开始支持firefox、chrome等非IE内核浏览器。2、SSL从4.21r1版本开始支持WIN7

32位系统。3、SSL支持WIN7

64位的版本有4.21r2、4.3r1、5.0r1及以上版本。4、SSL从4.3r1版本开始支持IE 环境，只支持

APP（TCP）资源。5、SSL从5.0版本开始支持linux、Mac系统。6、Mac

OS：Mac系统默认自带Java虚拟机， 不提供单独的Java虚拟机安装包。如果Java虚拟机版本低于1.5，您可以通过Mac系统自身的更新系统更新Java虚拟机第

认证的问题与LDAP结合认证的问题（常见MS

LDAP和IBM

LDAP两种）首先检查设备和LDAP之间的网络连通性，是否有相应到达的路由。确认配置在设备上的LDAP服务器地址、端口、用户名、 的正确性。点击“搜索 “，是否可以

LDAP服务器中的组织结构。如果 不成功，则换一个有

LDAP组织结构的账号或更改LDAP服务器配置时管理员用户名的填写方式（

或cn=admin

）检查服务器类型，用户属性字段（sAMAccountName或者uid等）、用户过滤条件是否正确，使用LDAP

browser等第 从LDAP服务器上 试下。常见问题排错指导5.

第

认证的问题与RADIUS结合认证的问题首先检查设备和radius服务器之间的网络连通性，检查服务器上radius服务是否正常开启。确认配置在设备上的radius服务器IP地址、共享密钥、认证端口、采用的协议是否与服务器相同。检查和确认是否是标准的radius服务器。常见问题排错指导常见问题排错指导6.

结合httpwatch解决发布HTTP应用 异常问题1、httpwatch简介httpwatch是一款强大的网页数据分析工具，集成在Internet

Explorer

，包括网页

、 s管理、缓存管理、消息头发送/接受、字符查询、POST数据和 管理功能、报告输出等功能，它是一款能够收集并显示网页 信息的 。它不用 服务器或一些复杂的网络 工具，就能够显示网页，同时显示网页请求和回应的日志信息，甚至可以显示浏览器缓存和IE之间的交换信息。2、httpwatch 、安装和启动可以网上探索httpwatch进行安装，启用步骤如下：启动httpwatch，从IE的“查看”—“浏览器栏”—“httpwatch”启动httpwatch。如左图所示。常见问题排错指导6.

结合httpwatch解决发布HTTP应用3、httpwatch功能栏简介和操作步骤异常问题1、Record点击”Record”（记录）按钮开始录制Http请求操作2、Stop点击”Stop”按钮停止录制Http请求操作

3、Clear点击”Clear”按钮,清除所有录制内容4、Summary点击”Summary”按钮,显示或隐藏所有请求信息概述常见问题排错指导异常问题6.

结合httpwatch解决发布HTTP应用4、结合httpwatch解决实际问题案例1： 某个网页慢通过httpwatch比较速度，定位现象及慢的元素及阶段。最后一行为打开完整网页花费总时间，之前各行为打开各网页元素消耗的时间，柱状条的不同颜色代表不同阶段消耗的时间。通过httpwatch定位是加载哪个网页或元素耗时比较长后，确认SSL配置，如资源IP是否添加完全， 能否正常解析等。常见问题排错指导6.

结合httpwatch解决发布HTTP应用异常问题案例2： 某个网页异常，页面显示不全通过httpwatch进行分析：URL：htt/Result

200：

该URL返回的Htpp状态代码结果200，表示请求成功/Started

At：

的时间2011-Nov-0615:24:09.196(local

time)解析，本例中解析的是Connect：连接的IP地址是0（解析没有问题）Http

Request：Http请求，浏览器向Web服务器发出的请求信息Http

Response：Http响应，浏览器接受到web服务器返回的信息通过httpwatch定位是加载哪个Display

URL：请求的URL，htt网页或元素不成功，确认SSL配置，如资源IP是否添加完全，域DNS

Lookup：名能否正常解析等。常见问题排错指导7.

控制台管理员 恢复办法a.

U盘恢复管理员SSL5.65以上版本，如果控制台操作参考方法：http忘记了，支持使用U盘进行恢复，具体.cn/forum.php?mod=viewthread&tid=4738b.交叉