1.AD域側配置
1)新建組策略並配置logon登錄腳本,以實現用戶開機登錄域時,自動通過AC認證
AD域服務器“運行”輸入gpmc.msc,打開組策略編輯器,如下圖。
右建需要測試單點登錄的OU,並選擇“在這個域中創建GPO並在此處鏈接”,如下圖,新建名稱為“腳本單點登錄”的組策略
右鍵選中新建的單點登錄組策略“腳本單點登錄”,並編輯
配置logon腳本參數,配置格式如下圖,點擊“瀏覽”添加腳本。logon腳本參數最簡單的配置只有三個參數,即 acip, 端口為UDP 1773或UDP 1775, 密鑰(需要和AC控制台上配置 密鑰保持一致),三個參數間通過空格隔開,如 10.10.10.4 1775 sangfor。
至此,logon腳本配置完畢
注:如果是IPv4環境,則logon腳本參數格式中的端口同時支持udp 1773和udp 1775兩個端口,如果是IPv6環境,則只支持udp 1775端口。
2)配置logoff腳本
按相同的方法配置logoff腳本,以實現用戶從域中注銷時,可以自動從AC下線。
配置logoff參數,點擊“瀏覽”添加logoff腳本。logoff參數只配置AC IP地址即可,如下圖
至此,logoff腳本配置完畢
3)刷新組策略
為了使用更改的組策略立即生效,需要刷新組策略,刷新組策略命令為gpupdate.exe /force
注:1)因為腳本單點登錄需要修改域組策略,且腳本會下發到客戶端PC,所以測試階段建議只針對需要測試的OU配置logon和logoff腳本,不要整個域配置logon,logoff腳本。
2)經和客戶協商后,如果全域用戶都需要單點登錄,則只需要修改Default Domain Policy配置logon和Logoff腳本即可實現所有域用戶單點登錄。
2.單點登錄認證、注銷測試
用戶開機登錄域,自動通過AC認證,打開網頁無需再次認證,且在線用戶管理可以看到測試PC以域用戶登錄名以及單點登錄方式上線
域用戶從域中注銷(關機、注銷、自動鎖屏)時,同時也從AC下線,即設備在線用戶管理看不到測試機在線。
3.1)Logon默認啟用了首次執行將Logon復制到PC啟動項中,當下次同一個域帳號再次登錄域時,即使登錄域失敗(如離線登錄域),也會不影響正常單點登錄認證,開機啟動時會執行啟動項中上次下發的Logon。所以測試電腦啟動項中,會看到logon已下發,運行中輸入“%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\”,打開windows啟動項,如下圖。
2)logon默認啟用了常駐內存功能,常駐內存功能實時檢測PC IP變化,當地址發生變化,則立即將變化后的IP地址單點登錄上線,以實現IP變化實現認證平滑切換。所以在任務管理器中,可以看到Logon.exe一直在運行
4.通過sinforIP配置文件控制logon參數,實現登錄時同時通過多台AC認證。
通過sinforIP配置文件定義多台AC,如同時定義總公司和分公司兩台AC,將sinfor IP和logon通過域組策略下發給用戶,當終端用戶登錄域時,logon從sinforIP中讀取AC地址,向兩台AC發起認證,從而實現同時向多台AC認證的功能。
5.注意事項
1)單點登錄認證,終端必須有上網流量經過設備才可以從AC上線(在線用戶管理才可以看到),程序會10分鍾檢測一次,如果一直沒有流量,在線用戶管理看不到用戶上線。
6.當logon單點登錄不成功,可以通過以下幾步簡單排查
1)打開PC任務管理器,查看有沒有Logon.exe進程在運行,或打開啟動菜單(運行中輸入%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\)查看有沒有logon,如果都沒有,則PC上執行rsop.msc是看是否能正常獲取域組策略,如果獲取不到,則在AD域及PC上執行gpupdate.exe /force強制刷新組策略,最后重啟PC登錄域。
2)如果任務管理器或啟動項下有logon,則直接雙擊啟動項中的Logon觀察單點登錄是否成功。如果仍不成功,需要查看logon運行日志定位問題,logon運行時,會在PC上產生日志,在運行輸入%appdata%,打開.logon目錄即是logon運行日志
logoff運行時,也會在PC上產生日志,在運行輸入%userprofile%,如下圖
