AD EIA 已注册无感知失效问题

无特殊需求

无感知认证方案是一种针对智能终端无需输入用户名密码即可上线的认证过程。用户第一次使用智能终端时，通过浏览器上网产生流量，触发认证流程从而被重定向至认证页面。用户在认证页面输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端MAC地址等信息保存到数据库中，当用户再次使用该智能终端访问网络产生流量时，服务器会自动使用该认证信息进行认证，免去了用户每次认证都需要输入认证信息才能上线的过程。

本文主要介绍AD EIA产品，无感知认证不成功，终端状态显示已注册无感知失效这类问题的故障排查过程。

故障定位思路如下：检查AD EIA所在服务器的硬件性能信息符合要求规范，AD EIA部署中各个组件与平台的适配关系是否满足版本说明书的适配要求，然后保证监控代理中uam.exe、byodserver.exe、以及其他相关组件的业务进程正常正常启动。再检查AD EIA是否仅启用一次性无感知，以及AD EIA其他无感知相关的配置是否符合要求。之后需要确认终端老化时长的配置以及异常终端所对应账号是否存在认证失败日志。最后需要检查异常终端所对应账号的在线数量限制的配置情况以及是否存在管理员强制下线等操作。若上述信息确认正确且均无法解决现场的问题，需要收集信息联系400热线处理。

1、 AD EIA与AD CAMPUS配套关系

说明：AD CAM方案中各个业务组件与平台有依赖关系，部分业务组件之间也有依赖关系，各个业务组件版本与平台版本有一定的适配关系，针对这一问题以AD EIA组件为例，在AD EIA组件的版本说明书中有明确的适配要求。以AD EIA E0411版本为例，其版本说明书中明确要求适配的DR2000的ADCAM版本情况如下。

2、 检查服务器运行情况检查

AD EIA产品功能运行正常的前提是，业务相关的进程可以正常启动。因此，此类故障排查需要在监控代理中检查AD EIA相关的进程uam.exe和jserver.exe进程是否正常启动。 

3、 检查是否仅启用一次性无感知

终端认证首次认证上线后，只有Mac-Portal认证和无感知认证同时开启的终端，才会在服务器侧记录正确的绑定关系和无感知认证状态。

而Mac-Portal认证和无感知认证有两种可以进行配置，分别是：

1） 接入组

因此出现已注册无感知失效时，需要确认异常终端认证上线的接入账号所使用的接入组中，是否配置启用了无感知认证。若仅配置开启Mac-Portal认证，而未勾选无感知认证，终端首次认证上线后，记录无感知状态为“已注册无感知失效”。

2） 业务参数

终端接入认证的方式除了在接入组中配置单个接入组的策略外，还可以在业务参数中配置全局的无感知认证参数。两者同时为允许时，终端才可以进行无感知认证。

因此需要在业务>接入组>业务参数配置>系统配置>终端管理参数配置的页面中，配置Mac-Portal认证和无感知认证均为启用。

4、 检查终端老化时长配置

部分环境可能出现，终端前期无感知认证正常，突然在某段时间起无法进行无感知的情况。此时查看终端列表中显示该终端的状态为“已注册无感知失效”。

这种情况需要检查终端无感知老化的策略配置，在业务>接入组>业务参数配置>系统配置>终端老化策略配置中，终端老化策略支持配置多条。老化策略类型的配置也需要注意。

终端老化策略类型支持配置为按用户分组和按操作系统，缺省类型为按用户分组生效，此时策略老化策略按照用户分组进行配置。

老化策略有多条时，缺省策略的优先级最低;系统中没有新建策略时，所有无感知认证的终端均按照缺省策略进行老化。

终端老化方式包括按绑定时间和按闲置时长两种类型，该参数与“无感知终端老化时长”配合使用。

（1）如果配置为按绑定时间，则终端首次进行无感知认证后的时间超过终端老化时长且终端下线后AD EIA删除该终端，下次认证需要重新输入帐号名和密码。例如，终端老化时长设置为1天时，如果某终端首次无感知认证日期为 2019-12-1，那么AD EIA在2019-12-2及以后每天检查该终端是否下线，如果该终端已下线则执行删除终端操作。

（2）如果配置为按闲置时长，则终端未上线时长超过老化时长后，AD EIA删除该终端，下次认证需要重新输入帐号名和密码。例如，终端老化策略设置为1天时，如果某终端最后下线日期为 2019-12-1，那么AD EIA在2019-12-3凌晨删除该终端。

5、 检查是否存在认证失败记录

由于Mac-Portal认证方案正常认证过程中会包含网页提示。但是开启无感知认证后，终端接入网络自动进行认证。无需手工再次输入账号名密码，这样的方案背景，也就导致一旦无感知认证过程中终端认证失败，此时终端无法看到任何的提示信息，只能频繁触发认证并失败。针对这种场景AD EIA做了智能处理，只要终端认证失败，AD EIA自动将该终端的无感知认证状态调整为“已注册无感知失效”，此时终端虽然获取业务VLAN的地址，但是同时被AD EIA下发了认证策略以达到重定向页面的效果，使终端自然感知到认证失败的原因，避免出现长时间无法接入网络且没有任何提示信息的情况。

因此，当终端出现配置正常但是无感知状态显示为“已注册无感知失效”时，需要检查该终端所对应账号的认证失败日志列表中，是否存在认证失败的信息。

根据具体的认证失败提示，解决终端认证失败的问题，即可达到修复无感知认证不成功的效果。

认证失败日志可以在故障诊断>接入日志分析>认证失败分析页面中查看，并根据账号名等信息进行检索。

6、 检查在线数量限制

除了上述接入认证失败的场景外，AD EIA允许配置同名账号强制下线功能。在配置启用了同名账号强制下线功能后，若账号的在线数量配置为1，不同终端使用相同的接入账号上线时，后一个终端会将前一个终端强制下线，此时由于终端侧没有客户端可以给出提示信息。且由于Mac-Portal方案的特殊性，被强制下线的终端还会再次发起认证。

只要两个终端同时接入网络中，就会存在两个终端互相强制下线从而影响接入认证的效果的情况。为了避免此类现象的发生，AD EIA在处理此类强制下线的请求时会自动处理将被强制下线用户的无感知状态调整。此为产品的正常处理机制，若出现此类现象，可以通过调整账号的在线数量限制或排查出现多终端登录相同账号的具体原因，减少此类情况的发生。

7、 检查是否存在强制下线记录

除了上述步骤7中涉及的强制下线外，还可能类似地存在其他管理员强制下线的操作，服务器强制清除账号的在线关系后，会将无感知状态调整，否则可能存在终端被强制下线后再次自动接入的情况。

此类情况可以通过查看接入明细进行确认。在故障诊断>接入日志分析>接入明细中，点击高级查询。

在筛选条件中，选择下线原因为“admin reset”即可查看此类下线原因的用户记录。

若上述信息故障处理方法均无法解决AD EIA 已注册无感知失效问题，通常需要收集如下信息联系400-810-0504进行处理。

需要收集的信息如下：

1) uam日志，即iMC/uam/log目录下的2019xxxx.log文件。

2) byod的日志，即iMC/byodserver/log目录下的当天日期下的log文件。

3) uamjob日志，即iMC\uamjob\logs下出现问题期间的日志信息。