a8v3.5与ad集成问题排查手册

目引 文档目 适用范 A8与AD集成总体介 集成的目 全局排 客户端排 检查在IE浏览器地址栏中输入的A8地址是否正 检查A8登陆页面的源文件中authorization的value值是否正 检查IE浏览器配置是否正 检查能否通AD服务器的完整计算机名 A8服务器排 检查能否通AD服务器的完整计算机名 检查A8域用户的权限是否正 检查A8服务器的 检查Apache控制台和v3x.log日志是否有异常信 检查A8应用系统中与AD集成相关的功能的配置是否正 AD服务器排 检查A8服务器的域用户的SPN是否正 检查DNS服务器中A8服务器、客户端的计算机名称和IP地址的映射关系是 A8与AD集成的常见问 AD服务器的IP地址发生变化该怎么办 在Apache控制台或者v3x.log日志中发现错误Mechanismlevel:Specifiedversionofkeyisnotavailable Apachev3x.logMechanismlevel:Clockskewtoogreat netconfig 引本文档主要介绍了在A8与AD集成失败之后如何、高效地开果想要了解A8与AD集成的基础知识、集成的过程请参考其他的本文档适用于A8V3.5版本。A8AD集成总体介如果没有实现A8与AD集成用域用户登陆客户端之后，A8系统时，还需要再次输入A8的用户名、才能登陆系统。实现A8与AD集成之后，用户使用域用户登陆客户端之后，A8系统时无需再次输入A8用户名、，直接单击登陆按钮进入A8统。一、AD服务

A8AD1、AD服务器的操作系统一般会选择Windows2003或者Windows2、AD服务器的主要ActiveDirectory用户和计算机、DNS服务器、Kerberos服务器（KDC服务器。ActiveDirectory用户和计算机中了域中所有计算机的域用户、登陆等信息；DNS服务器中维护了域中所有计算机的IP地址与计算机名之间的映射关系，在计算机成功加入域之后，DNS服务器中会自动添加该计算机的IP地址与计算机名称之间的映射关系；Kerberos服务器负责管理域中所有计算机的认证，包括AS和TGS两个服务，AS负责为计算机颁发，TGS负责计算机请求的服务器的服务颁发服务票据3、AD服务器负责为A8服务器生成A8Server.keymap文件。二、A8服务器1、A8服务器上安装完A8应用系统后，需要将AD服务器上生成A8Server.keymap文件拷贝到 下2、A8服务器的DNS必须有一个是指向AD服务器的IP地址3A8服务器的计算机名（不包含必须与AD服务器中的1、IE浏览器必须设置启用集成Windows验证选项；在本地中加入A8的地址（服务器的完整计算机名称2、客户端的DNS必须有一个是指向AD服务器的IP地址3、客户端的计算机名称（不包含）必须与AD服务器中的客户排错的基本原1、收集ADA8的运行环境信息，做好记录2为全局排错->客户端排错->A8服务器排错->AD服务器排错。排错前收集环境信在排错之前，需要详细了解A8与AD集成环境的详细信息，主要包括客户、AD服务器、A8服务器、客户端的详细信息，可按照下表对上述信息进行，在的过程中一定要认真仔细，此表可以作为续研发进一步排错的 A8与AD集成环境信息联系人 □可AD服务 □可A8应用服务□可客户 （□QQ/□其他工具AD服务□Windows2003□Windows2008□其他 (32/64位IP□是□否AD服务器域管理员的登陆是否发生变化ADIP A8服务□Windows2003□Windows2008□其他 (32/64位IPA8□是□否A8服务器域用户的登陆是否发生变化□Windows □Windows □Windows□Windows2000□Windows2003□Windows□其他 (32/64位IP 备注(除了上述信息以外，到的其他信息在备注中进行说明人排错的具体步与客户方的AD管理员确认AD服务器、A8服务器、客户端的时间是否同步，如果不同步，则联系客户方的AD理员将其时间进行同步。以下排错过程是以操作系统为WindowsXP的客户端进行说在操作系统令行中输入netconfigworkstation（此命令在所有Windows系统中都支持，回车：上图表示在计算机加入域之前使用本地Administrator用户登陆上图表示计算机使用域用户登陆计算机后，可以在工作站域DNS名称处看到，例如，检查是否正确，如果不正确，注销选择正确的和域用户登陆客户端。检查在IE浏览器地址栏中输入的A8地址是否正A8AD实现集成之后，必须使用A8务器的完整计算机名称A8应用系例如A8服务器的完整计算机名在IE浏览器的地址栏中应该A8authorizationvalue值是注意：如果经检查发现authorization的value明客户端已经工作正常，无需再对客户端进行排错，客户端的排错工作可到此为止，可继续对A8服务器或者AD服务器进行排错，找出问题的原因。1、在A8登陆页面单击右键，弹出右键菜单2、在右键菜单上，单击查看3、检查源文件中的authorization对应的value值authorizationvalue是否正原因分1IE浏览器中输入的地址不正ws验证3A84A8value="NegotiateTlRMTVNTUAA1A82A8value="NegotiateYIIGOQYGKwY aMIIF1qADAgEFoQMCAQ6iBwMFACAADRC5DRUJCQU5LLkNPTaIuMCyg QEoAMC（value长度会比较长，只通过长度即可判断valueDvsdcthaMoEYZxY720+qDrl6wSUUAgm2Ym/tnrZbwW0/tZVnJMzGdwLFhCUZtZ1R6Ns9T9WTmf8orJM+/XSF0+yYpjN1qWCDoNtADxAKBkPDDf3tiIAX6jN/Alz9sJd4bCC7ukm1e0IU+FEX7wZp0La3BUuh6Q85CAQerTePi6Dn55LIGzqY5/25AozO+7ZtXj11+VYarzDmkggFgMIIw8VDqGzThxj/7iby+Zb7GK1GJuh6eM2n3O+rm19UgJOza13AP4gHvjQj+BJjt8KZ+gAHZI7YilZ+9DvW1pqNmtYaQlgywkMVgR98F3N6SjC+CUUn2jQQC8HkkZFVKSgAs8A6CqmQtvt617A5p/K95d+n2kKYivtKkR3mybwLrSKir6SfX6JymqCdB8CVf/236R5IE以下内容是以IE6.0行说1、单击工具菜单-Internet选项，弹出Internet选项窗口2、单击[安全]选项卡3、选中本地Intranet，单击站4、单击高级按检查下方的是否存在A8应用系统 地址，如果不存在，理过程如下在“将该添加到区域中”下方的输入框中输入A8应用系统的访问地址，例如 单击添加按钮单击确定按（所有窗口上都要单击确定按钮（https:5、单击[高级]选项卡检查是否选中“启用集成Windows验证（需要重启动，设置完成后，需要重新打开新的IE览器才能生效。检查能否通AD服务器的完整计算机名在命令行中执行命令注意：必须AD服务器的完整计算机名称，例如。能够通AD服务无法通AD服务如果发现无法通AD服务器，是由于客户端的DNS中没有指AD服务器的IP。处理过程如下1、在桌面的“网上邻居”上右键属2、在本地连接上右键单击属3、选择Internet（TCP/IP，单击属性在“使用下面的DNS务器地址”中增AD服务器的IP如果DNS配置正确后，仍然无法通，则说明：1、可能是由于客户端和AD服务器之间的网络故障引2、客户端调整过IP址，导致AD器的DNS务器中的客户端计算机名称与IP地址之间的映射关系错误（参见AD服务器排错章节）导致A8服务器没有成功加入域的原因有很多，例如A8服务器与AD服务器之间的网络连接出现故障、AD服务器的Kerberos认证服务可通A8服务器上通过执行klist命令A8服务器是否加入1、以管理员运行cmd，打开命令行工具，执行klist命令，如如果A8服务器或者客户端没有加入域，联系客户方的AD管理员检A8务器没有成功加入域的原因并解决此问题。A8A8在操作系统令行中输入netconfigworkstation（此命令在所有Windows系统中都支持，回车：上图表示在计算机加入域之前使用本地Administrator用户登陆上图表示计算机名称改为server2后，并且使用server2域用户加计算机全名用户名工作站域DNS称可以根据以下公式进行判断计算机户名.工作站域DNS1户重新选择正确的域用户登陆到A8服务器；2、选择了错误的域用户登陆到系统中，必须选择与A8服务器计算检查能否通AD服务器的完整计算机名目的就是检查A8服务器的DNS配置是否正确，具体操作过5.2.5检查能否通AD服务器的完整计算机名称A8与客户方的AD管理员确认A8域用户是否具备管理员权限，如果没有此权限则联系客户AD管理员将A8域用户加入管理员权限组中。如果A8用户没有管理员权限，可能会导致使用A8户登陆A8服务器后，无法安装或运行A8应用系统检查A8服务器的 下是否存此文件是由AD服务器执行ktpass命令生成，拷贝到A8服务器的A 如果存在此文件，则还应该检查A8Server.keymap文件的创建时间如果不存在此文件，则需要在AD服务器中执行ktpass命令重新生keymap件。Apachev3x.log如果有异常信息，首先按照本文档中提到的异常的解决办法进行处理，如果是新发现的异常，则需要做好日志的备份和记录，以便提交给开发部进行问题确认和。A8AD集成相关的功能的配置是否具体的检查步骤如下1、系统管理员登陆，检查基础设置 服务配置是否正确2、管理员登陆，检查单位管理中单位绑定AD的组织单元是否3、单位管理员登陆，检查单位中人员绑定AD的域用户是否正A8ADADA8与AD集成出现问题。通过在A8服务器上通过执行klist命令进行检查，具体步骤如下1、以管理员运行cmd，打开命令行工具，执行klist命令，如如果A8服务器在域环境中出现了故障，很可能是由于AD服务器出现了问题，联系客户方的AD理员AD务器工作是否正常。ADA8SPN检查SPN置的是否正确，具体操作如下：1、以管理员打开cmd命令行2、在命令行中执行以下命令，检查SPN是否存在重名的情况setspn-执行结果如下如果查询的结果为0个重复，就说明是正常的，否则说明SPN出现如果发现SPN要联系AD员将重复的域用户的SPN除3、在命令行中执行以下命令，检查SPN是否存setspnulA8器的域用户名称例如：setspn–ulserver2执行结果如下如果能够查询到HTT （server2是A8服务器域用户名，是，则说明在AD服务器上曾经使用ktpass命令生成过keymap文件。第一个原因：SPN创建；第二个原因：SPN曾将创建过，后来又被删除如果SPN在，最好的办法就是在AD服务器上删除A8服务域用户，重建创建新的A8服务器的域用户，重新执行ktpass命令生成新的A8Server.keymap将新keymap文件拷贝到A8务器上。重新生成keymap时一定要注意vno问题。注意：Windows2003操作系统上默认是没有setspn命令的，虽然也没有检查域用户的SPN，只能检查计算机的SPN。如果是Windows2003操作系统，就无法使用setspn命令进行检查，那么在排除了客户端、A8务器、AD务器的问题之后，还没有找到具体原因，就可以采用上述SPN处理办法，删除A8务器的域用户并重建。这种方式是安全的，假如A8务器已经加入域中并且正在运行，此AD务器上删除A8的域用户并重建是允许的，不会影响到A8务器的正常运行，A8器也无需重启。DNSA8Windows2008为例进行说1、单击开始菜单>管理工具2、在上图中的左侧窗口中，单击，例如，在右侧窗口中会显示出此域中的所有计算机的名称与IP地址的映示的是计算机名称，例如server1，数据列显示的是计算机对应的IP地址，例如。在上图中检查计算机名称与IP地址的映射关系是否正况下在右侧窗口中能够查看到AD服务器、A8服务器以及所有客户端的计算机名称和IP地址的映射关系。如果不正确或者没有，可以手工进行添加计算机名称与IP的映射关系单击新建主机在名称下方的输入框中输入计算机名称，例如在IP地址下方的输入框中输入计算机对应的IP地址，例如192.16最后，单击添加主机按钮修改计算机名称与IP的映射关如果发现计算机名称对应的IP地址不正在右侧窗口上选中要IP地址下方输入框中的IP地址修改为正确的IP击确定A8AD集成的常见问AD服务器域管理员的登陆发生变化该怎么办系统管理员登陆A8系统，在基础设置 服务配置中修改管理，保存设A8服务器的域用户的登陆发生变化怎么办在AD服务器令行中执行ktpass命令重新生成keymap文件将新的keymap拷贝到A8务器上。注意vno版本不一致的问题ADIP1、检查A8服务器、客户DNS是否设置为AD务器IP址2、系统管理员登陆A8系统，在基础设置 服务配置中修改地址，保存设部分客户端能够成功登陆A8，还有一部分客户端不能成功此问题很可能是因为客户端与AD服务器的时间未同步造成的AD理员检查时间是否同步。Apachev3x.log日志中发现错误Mechanismlevel:Specifiedversionofkeyisnot错误的详细异常信息如下level:level:SpecifiedversionofkeyisnotavailableGSSException:FailureunspecifiedatGSS-APIlevel在AD服务器令行中每次执行ktpass命令生成A8Server.keymap文件时，keymap文件中的vno会自动+1，再将此keymap文件拷贝到A8服务器之后，会造成客户端和A8服务器之间的vno版本号不致的问解决办法是让AD管理员在AD服务器中删除并重建A8服务器的域用户，重新在AD务器上执行ktpass命令生成新的keymap再将新的keymap拷贝到A8务器上，A8务无需重启。切记客户端需注销重新登录或在 控制台或者 日志中发现错Mechanismlevel:Clockskewtoo错误的详细异常信息如下GSSException:GSSException:FailureunspecifiedatGSS-APIlevellevel:Clockskewtoogreat客户端时间与AD域控制器不同步，解决办法是让AD域管理员同步时间，也可以检查一下KerberosAD1000如果AD服务器中的域用户数量达到1000个左右，会导致管理员在A8系统中为单位绑定节点时的弹出窗口中显示的节点可能不全或这是因为AD器的默认允许A8LDAP接口获取的节点数为1000，在AD务器中将此参数调大就可以了。具体如何在AD服务器上调整这个操作系统的参登陆公司协->产品FAQ->ALL，如下图所示找到标题为“AD对通过LDAP接口取用户数的击此标题查附件1：命令行常用命1、命令作用在域用户登陆计算机之后，检查域用户的和服务票据。一般用此方法检查域用户是否成功加入到域中，或者在域环境中运行是否正常。一般仅在支持此命令的A8服务器上执行此命令进行检2、命令用法klist查询出所有的票据，包括、服务票据klist查询信息klist清空内存中的所有票1、命令作用在AD服务器中令行中使用此命令可以为A8应用系统生成keymap件。注意：仅在AD服务器中运行此命令2、命令用法 KTPASS/princ /Pass /out -ptype：A8服务器的域用户.，上述命令中A8服务器的域用户为s：，上述命令中：A8服务器的域用：A8服务器的域用户的登陆，上述命令中为：生成的A8Server.keymap文件的路径，上述命令中为c:\注意生成的文件名必须为A8Server.keymap，路径可以随意指定1、命令作用此命令位于A8安 的 下在命令行中定位到jdk/bin 注意：此命令仅在A8服务器中运行。2、命令用法keytool-import-aliasA8_cacert-file-keystore"C:/A8Server/ -storepass：的别名，可以默认为A8_cacert，也可以自定义：在A8服务器上存放从AD服务器上生成的的文件路径。上述命令中为C:/certnew.cer，certnew.cer文件是在AD服务器上通过IIS成并拷贝到A8务器的C:/根下。：A8AD服务器上生成的的文件路径必须设置为A8装中的jdk/jre/lib/security/cacerts件。上述命令中为C:/A8Server/1/jdk/jre/lib/security/cacerts，其中C:/A8Server/domain1/为A8安装。如果在执行此命令之前在jdk/jre/lib/security文件夹已经存在cacerts文件要先删除此文件再执行此命令，A8AD服务器上生成的的此可以自行设定，没有特别要求，但是必须要记住，最好能够记录在相关的文档中。因为如果因为微软和JDK不兼容的问题安装不成功，在执行rebuildCA.bat批处理命令重新格式化时，需要提供此才能到的1、命令作用在命令行中执行此命令，检查网络是否正常2、命令用法 说明本地计算机的DNS配置是正确的，否则需要检查本地的DNS是否包含域服务器的IP地址。1、命令作用在命令行中执行此命令，检查本地IP地址、DNS配置等信2、命令用法查看本地计算机所有网卡的