802．1x、业软EAD组件与微软补丁联动问题定位八步曲

　　一、引入：在现有和将来的工程项目中，很多兄弟都碰到IMC网管软件的安装和部署，而很多客户第一考虑的是自己网络的安全性和稳定性，所以碰到机率很高的往往是H3C主推的EAD端点安全准入防御组件。遇到多，问题就相应比较多，以下是本人在工程项目实施中总结的一点问题定位建议，希望对各位兄弟以后开局有所帮助。

　　拓扑图：

　　二、常见问题及处理措施：

　　如图所示，各PC用户接入到楼层接入交换机，接入交换机双规组网汇聚到两台核心7506E上，两台75之间VRRP、链路聚合作为心跳，全网运行STP协议避免环路，两台核心交换上联至出口MSR30-40路由器，连接省局网络，所有PC安装Inod客户端通过EAD安全检查与微软补丁服务器联动。

　　问题1：PC进行inode连接时，提示“sever no respone”，一般出现此提示都是与策略服务器之间无法进行通讯所致，请检查PC的网卡是否为多网卡，且都处于连接状态，判断可能是到达策略路由器的路由冲突，再从接入交换机上PING策略服务器是否能PING通，无法PING通请检查相关路由及配置，保证PC与策略服务器间二层三层可达;

　　问题2：PC进行inode连接时，提示“sever no request”，出现此提示应该是您在IMC服务器端的业务接入设备里没有添加该认证设备，这里讲的添加设备不是在IMC资源里的添加设备，切莫混淆。这里我们需要注意的是：添加的认证设备是最底层的接入设备(无线认证添加无线控制器或无线控制器板卡)，无须添加其它设备，二在IMC资源页签里没有添加该认证设备对业务里添加设备无影响，没有前后关系;

　　问题3：PC进行inode连接时，提示“请验证用户名和密码是否正确”，此时一般是您输入的用户名和密码不对，或者是在IMC服务器端没有创建该用户名及密码，请确认后重试;

　　问题4：PC能够认证成功，但未触发安全检查，此种情况多数是由于设备上配置不正确引起，当在设备上使用dot1x authentication chap/eap时，需要在相应的radius scheme中启用server-type huawei/ extended;

　　问题5：同上情况，当触发检查时提示“补丁检查工具初始化失败”，解决方法：

　　1)请检查PC上是否已安装WSUS客户端，

　　2)请检查.net framework 1.1是否已经安装，在控制面板à添加删除程序中能否看到此程序。

　　3)如果都已安装，请按以下步骤操作：

　　a. 退出iNode程序。

　　b. 进入到命令行窗口，在WSUS客户端安装目录(默认是C:\Program Files\Microsoft Corporation\WSUS Patch Client)下执行两条命令：UnReg4Com.bat，Reg4Com.bat。

　　c. 重新启动客户端。

　　4) 如仍未解决，则请将执行UnReg4Com.bat，Reg4Com.bat时命令行窗口中的提示信息收集反馈给H3C技术接口人。

　　问题6：当PC进行inode连接没有以上问题，正确输入密码，与服务器通讯正常，但是与微软补丁服务器联动不起来，提示“补丁检查失败”， 一般按三个步骤处理：

　　1 检查客户端与WSUS服务器是否可达,可以用ping命令检测;

　　2 检查windows自动更新服务是否启动;

　　进入控制面板->管理工具->服务，名字为“Automatic Updates”或“自动更新”;

　　3 找到微软的补丁客户端的日志文件。一般在这个位置下

　　C:\Documents and Settings\LocalService\Application Data\1.0.0.0

　　一般出了问题，看这个日志文件PatchClient.LOG.TXT，这个是隐藏文件，要在系统里取消隐藏才看的到。

　　找到日志文件后，根据时间，找到这样的日志信息

　　2007-01-29 11:00:35:8750000 Exception from HRESULT: 0x80072EFD.(不同的情况错误码是不一样的，这个只是举例)

　　at Interop.WUApiLib.UpdateSearcherClass.EndSearch(ISearchJob searchJob)

　　at WSUSInterOp.WSUSCore.SearchAvailableUpdates(ISearchResult& theSearchResult)

　　at WSUSInterOp.WSUSCore.SoftwareUpdateThreadHandler()

　　然后再上微软的网站或者其他网址查找 0x80072EFD这个错误码的含义以及解决方法。

　　问题7：EAD系统的在线用户安全检查功能不生效的解决方法：EAD系统的在线用户安全检查功能是由EAD安全策略服务器与认证客户端间的心跳报文交互来完成，正常情况下每次心跳报文交互时，认证客户端都会对终端执行安全检查并将结果上报至EAD安全策略服务器，当用户在上网过程中，终端状态由安全变为不安全时，EAD安全策略服务器将根据已定义的策略对终端执行各种措施(如隔离、下线)。

　　造成在线用户安全检查功能不生效的常见原因是在EAD配置台上的“安全策略”中未配置实时监控(缺省情况下不启用)。请在EAD配置台上导航至“业务—>EAD业务—>安全策略配置—>修改—>安全监控策略”，选中“进行实时监控”即可。

　　问题8：iNode客户端补丁检查慢：iNode在与WSUS Server联动进行系统补丁的检查时，会弹出系统补丁检查的进度框，补丁检查的过程会持续10秒左右，若系统需要更新的补丁很多，这个过程会持续较长的时间。若不希望看到此进度框，可以将其修改为后台运行。

　　解决方法：

　　将系统补丁检查修改为后台运行，步骤如下：

　　1.退出iNode客户端。

　　2.进入安装目录，打开此配置文件：

　　C:\Program Files\H3C\iNode Client\Data\proto_cfg.ini

　　3.修改该文件的Run Option参数，默认情况为1，修改为17 。

　　[MainInfo]

　　ProtoSum=2

　　ProtoId.0=8021

　　ProtoId.1=5020

　　RunTypeSupported=3

　　RunOption=17

　　4.重新启动iNode，EAD认证时Windows系统补丁检查就会在后台运行，在iNode中仍可以看见检查的过程。

　　三、总结：

　　以上只是许多业软问题中凤毛麟角，也希望大家在以后的工程项目中多积累些问题及解决方法，拿出来一起共享。当然，许多问题都是可以在源头上制止的，比如业软开局前与客户的沟通，了解客户的需求和客户现有网络设备等情况，可以极大的减轻我们后期的工作量和解决问题时间，同时，定位问题、解决问题是个需要综合素质的工作，所以我们大家得时刻保持头脑清醒和冷静，一步步的找出问题的根源，切莫病急乱投医，这样也许会病上加病，也希望我和大家能成为网络世界真正的排错专家，谢谢!

2016年01月