【NAC】【控制台】天擎控制台看不到准入设备或准入设备离线

王燚发表于:2021年06月08日 22:23:30

1 问题描述

登录天擎控制台,点击”设备管理-强制合规-NAC管理”页面, 无法看到NAC设备或者显示NAC设备离线。                                    image.png

2 适用场景

通用

3 原因分析

NAC与天擎间注册联动配置错误或通讯问题。

•NAC侧:

1、检查NAC配置 configmgr list  配置是否正确,端口配置要与天擎服务器的配置向导一致

特别是:heart_port 和report_port 是终端通信端口,默认80,man_port为管理端口,默认8080, 配置之前请确认客户环境是否更改过相关端口

image.png

image.png

2、检查网络:NAC到天擎控制台网络是否能通, IP或者端口不通,请检查客户处得网络是否有限制,NAC的网络配置信息是否正确。

A, NAC到天擎控制台的相关端口:51742,80(默认终端通信端口),8080(默认控制台管理端口)

image.png

B,NAC设备是否可以访问到天擎客户端下载页面

root用户下用curl命令,正常能返回客户端下载页面html。

返回403检查天擎控制台管理工具是否启用了终端限制规则,返回IIS页面信息或404,检查天擎客户端下载页面是否正常可以访问。

image.png

C,NAC发包口抓包,过滤天擎服务器IP与NAC的心跳包,查看心跳包返回码,可以确认天擎与NAC之间是否有网络问题

image.png

3、NAC相关服务是否正常config_mgr和rpctrans,若以上服务为stop状态,尝试重启服务观察是否能正常(重启服务命令sysconf service restart name 服务名称)

image.png

4、NAC相关日志在/var/log/nac/目录下,configmgr.log和rpctrans.log里记录NAC与天擎服务器之间的通信日志

      config_mgr.log关键词:heartbeat

      rpctrans.log   关键词:51742

心跳日志 正常情况,如下图:

image.png

心跳日志 异常情况,如下图:configmgr list的配置server IP配置错误导致

image.png

•天擎服务器侧:

5、天擎服务器上,打开任务管理器,查看jmpserv.exe进程是否存在

image.png

6、天擎控制台与NAC设备的通信日志在/skylar6/www/logs/

error.log关键词:rpc

 

4 解决办法

•规避办法:确认NAC设备向正确天擎控制台端口地址进行注册,并确保NAC到天擎控制台51742,80(默认终端通信端口),8080(默认控制台管理端口)的网络状态。

如果配置和网络都正常,设备依然无法在线,收集相关日志(NAC相关日志在/var/log/nac/目录和天擎服务器日志,)提交tac,附上以上排查情况截图。