SANGFOR AC配置AD域单点登录（二）----AD域侧配置及单点登录认证、注销测试

1.AD域侧配置

1）新建组策略并配置logon登录脚本，以实现用户开机登录域时，自动通过AC认证
  AD域服务器“运行”输入gpmc.msc，打开组策略编辑器，如下图。

右建需要测试单点登录的OU，并选择“在这个域中创建GPO并在此处链接”，如下图，新建名称为“脚本单点登录”的组策略

右键选中新建的单点登录组策略“脚本单点登录”，并编辑

配置logon脚本参数，配置格式如下图，点击“浏览”添加脚本。logon脚本参数最简单的配置只有三个参数，即 acip， 端口为UDP 1773或UDP 1775， 密钥（需要和AC控制台上配置 密钥保持一致），三个参数间通过空格隔开，如 10.10.10.4 1775 sangfor。

至此，logon脚本配置完毕

注：如果是IPv4环境，则logon脚本参数格式中的端口同时支持udp 1773和udp 1775两个端口，如果是IPv6环境，则只支持udp 1775端口。

2）配置logoff脚本

按相同的方法配置logoff脚本，以实现用户从域中注销时，可以自动从AC下线。

配置logoff参数，点击“浏览”添加logoff脚本。logoff参数只配置AC IP地址即可，如下图

至此，logoff脚本配置完毕

3）刷新组策略

为了使用更改的组策略立即生效，需要刷新组策略，刷新组策略命令为gpupdate.exe /force

注：1）因为脚本单点登录需要修改域组策略，且脚本会下发到客户端PC，所以测试阶段建议只针对需要测试的OU配置logon和logoff脚本，不要整个域配置logon，logoff脚本。
  2）经和客户协商后，如果全域用户都需要单点登录，则只需要修改Default Domain Policy配置logon和Logoff脚本即可实现所有域用户单点登录。

2.单点登录认证、注销测试

用户开机登录域，自动通过AC认证，打开网页无需再次认证，且在线用户管理可以看到测试PC以域用户登录名以及单点登录方式上线

域用户从域中注销（关机、注销、自动锁屏）时，同时也从AC下线，即设备在线用户管理看不到测试机在线。

3.1）Logon默认启用了首次执行将Logon复制到PC启动项中，当下次同一个域帐号再次登录域时，即使登录域失败（如离线登录域），也会不影响正常单点登录认证，开机启动时会执行启动项中上次下发的Logon。所以测试电脑启动项中，会看到logon已下发，运行中输入“%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\”，打开windows启动项，如下图。

2）logon默认启用了常驻内存功能，常驻内存功能实时检测PC IP变化，当地址发生变化，则立即将变化后的IP地址单点登录上线，以实现IP变化实现认证平滑切换。所以在任务管理器中，可以看到Logon.exe一直在运行

4.通过sinforIP配置文件控制logon参数，实现登录时同时通过多台AC认证。

通过sinforIP配置文件定义多台AC，如同时定义总公司和分公司两台AC，将sinfor IP和logon通过域组策略下发给用户，当终端用户登录域时，logon从sinforIP中读取AC地址，向两台AC发起认证，从而实现同时向多台AC认证的功能。

5.注意事项

1）单点登录认证，终端必须有上网流量经过设备才可以从AC上线（在线用户管理才可以看到），程序会10分钟检测一次，如果一直没有流量，在线用户管理看不到用户上线。

6.当logon单点登录不成功，可以通过以下几步简单排查

1）打开PC任务管理器，查看有没有Logon.exe进程在运行，或打开启动菜单（运行中输入%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\）查看有没有logon，如果都没有，则PC上执行rsop.msc是看是否能正常获取域组策略，如果获取不到，则在AD域及PC上执行gpupdate.exe /force强制刷新组策略，最后重启PC登录域。

2）如果任务管理器或启动项下有logon，则直接双击启动项中的Logon观察单点登录是否成功。如果仍不成功，需要查看logon运行日志定位问题，logon运行时，会在PC上产生日志，在运行输入%appdata%，打开.logon目录即是logon运行日志

logoff运行时，也会在PC上产生日志，在运行输入%userprofile%，如下图