Problèmes fréquemment rencontrés

Les points suivants répertorient les problèmes fréquemment rencontrés. La vérification de ces éléments peut aider à la résolution d’un éventuel dysfonctionnement.

 

Symptôme :

L’agent SSO ne peut pas se connecter au Firewall

Solutions :
  • Vérifiez la clé de chiffrement SSL dite clé pré-partagée (mot de passe),
  • Vérifiez que le port 1301 n’est pas bloqué par un Firewall ou sur la machine hébergeant l’Agent SSO,
  • Vérifiez les traces dans le journal "System" (fichier /log/l_system) du Firewall via les outils d’Administration Stormshield Network (voir Vérification du service SN SSO Agent).

 

Symptôme :

L’agent SSO ne peut pas se connecter au contrôleur de domaine

Solutions :
  • Vérifiez que le compte associé à l’Agent SSO a les droits de lecture sur l’observateur d’événements de l’Active Directory,
  • Vérifiez que les ports 139 et 445 ne sont pas bloqués par un Firewall ou sur la machine hébergeant l’Agent SSO.

 

Symptôme :

Aucune authentification sur le Firewall

Solution :

S’il n’y a pas d’utilisateurs authentifiés sur le Firewall selon Stormshield Network Real-Time Monitor ou le fichier de traces, il est conseillé de tester la méthode d’authentification par une règle d’authentification avec la valeur Tous comme Utilisateur et la valeur Any comme Source.

 

Symptôme :

Les machines ne répondent pas au PING (utilisateurs désauthentifiés du Firewall).

Solution :

Si l’Agent SSO ne réussit pas à tester une machine par PING, le Firewall supprime automatiquement l’identifiant de sa table d’utilisateurs authentifiés. Cela est visible dans les traces de l’Agent SSO (voir Vérification du service SN SSO Agent):

  • Vérifiez l’autorisation du protocole ICMP sur les machines du domaine (configuration du Pare-feu Windows).

 

Symptôme :

Connexion à la Base de registre impossible.

Solutions :

Si l’Agent SSO ne réussit pas à accéder à une machine, cela est visible dans les traces de l’Agent SSO (voir Vérification du service SN SSO Agent):

  • Vérifiez l’autorisation du protocole ICMP et l’ouverture des ports 139 et 445 sur les machines du domaine (configuration du Pare-feu Windows).
  • Vérifiez également que la Base de registre distante est démarrée dans les services Windows et que le compte utilisé par l’Agent SSO a le droit d’administration sur ces machines.

 

Symptôme :

Changement d’adresse IP non détecté.

Solutions :

Les changements d’adresse IP sont détectés par des requêtes DNS:

  • Vérifiez que les serveurs DNS sont bien configurés pour les machines du domaine.

Si les machines sont configurées en DHCP, le serveur DHCP doit effectuer la mise à jour des entrées des serveurs DNS:

  • Vérifiez que la Zone de recherche inversée (Reverse lookup zone) a été bien crée (voir le cas spécifique Changement d’adresse IP).