SANGFOR_SSL远程存储服务器配置与排错指导

远程应用发布排错文档深信服科技有限公司2012年03月13日1一、远程应用发布常见问题1.请求资源失败如图，这时会显示出失败的详细原因，图上这个原因是因为该资源关联的终端服务器不可用，可能是断线了、关机了、服务器会话满了、用户名密码被修改了没同步修改控制台中的设置、端口不通等。

1.用升级客户端连上设备，PING服务器是否通2.检查终端服务器是否是开机状态3.多找几台电脑远程桌面到终端服务器，确认授权是否足够，用户名密码是否正确。

2.启动会话进程失败2如图，启动SfRemoteAppSession.exe进程失败，可能是因为系统中缺少某种组件，或者mstscax.dll注册信息被破坏了，或者系统太慢导致启动该程序超时。

1.偿试重新连接几次是否能成功。

2.若每次都失败，手动进入远程应用客户端的安装目录双击该程序启动试试，检查是否报错，默认安装目录为C:\Program Files\Sangfor\SSL\RemoteAppClient。

3.若双击执行都有错误，请注销vpn，执行该目录中的卸载程序，再登录sslvpn重新安装。

3.登录远程应用服务器失败3在这一步失败或者在这一步要经历很长时间，不知道它在干嘛时，可以通过以下注册表选项打开登录过程窗口，从该窗口可以看到登录的过程和登录出的错误，注册表位置如下图：M5.3之前版本，直接修改注册表项：\KHEY_LOCAL_MACHINE\SOFTWARE\Sangfor\SSL\RemoteAppClient下面的4ShowConnectDetail项，值改为1即可。

但是M5.3默认没有这个项，在以下目录中（目录也可以自己创建）手动新建：ShowConnectDetail=1 类型dwordDebugShell=1 类型dword4.因远程应用比较耗网络带宽，在网络较好时若发现远程应用很慢，可能是启用了带宽限制，在下面界面去掉该限制。

55.视频、Flash、动态图片等较占带宽，不建议发布二、远程应用发布注意事项1.远程应用发布的服务器支持2003sever和2008server 32位系，5.3开始支持64位系统2003sever和2008server，客户端不支持64位。

深信服SSL使⽤说明（新版）VPN⽹络移动⽤户SSL接⼊初始安装步骤集团移动⽤户通过SSL⽅式接⼊VPN⽹络，具体操作步骤如下：1、⾸先需判断原来是否已安装过⽼版本深信服VPN驱动程序，如已安装，需先⽤深信服卸载⼯具卸载，勾选空间名称前的勾，然后点击卸载所有控件。

如下图：（未安装过⽼版本深信服的机器不需执⾏此操作）2、打开IE浏览器，在菜单栏选择⼯具-〉Internet选项-〉安全-〉受信任的站点3、单击“站点”按钮，弹出信任站点卡⽚。

如下图显⽰：4、在卡⽚中去掉“对该区域中的所有站点要求服务器验证（https://）”的勾选，在“将该⽹站添加到区域中”⽂本框中输⼊：http://58.213.155.249，点击“添加”按钮。

点击“确定”按钮。

再输⼊：http s://58.213.155.249，点击“添加”按钮。

点击“确定”按钮。

如下图：5、在IE地址栏中输⼊http://58.213.155.249，如出现下图界⾯，请点击继续览此⽹站6、出现登录界⾯，输⼊⽤户名、密码和校验码后，点登录7、初次登录，浏览器将⾃动安装多个ActiveX插件，显⽰如下图界⾯：8、插件装好后，屏幕右下⾓出现图标。

浏览器进⼊如下界⾯，点久其报表进⼊久其系统，点⽤友NC进⼊NC系统（前提是NC插件和CA驱动已正常安装）。

9、系统全部使⽤实名登录，⽤初始密码初次登录后，务必修改密码，且建议登录VPN的密码和登录NC的密码不要⼀样，修改密码⽅法如下：点右上⾓设置，弹出⼀个⽹页窗⼝，密码后有[修改]链接，点开后即可修改。

⾓图标，点退出如果不经设置，登录时⽹页上会提⽰证书有问题，如下图：解决⽅法如下：（以IE8为例）点继续浏览此⽹站后，进⼊如下界⾯，⿏标点[证书错误]，在弹出页⾯点[查看证书]在弹出的界⾯中，先点击证书路径页签，然后点击打红叉的根证书，再点击查看证书点击查看证书后，在跳出的页⾯上点[安装证书]，再在跳出界⾯上点[下⼀步]选择[将所有证书放⼊下列存储区]，点击[浏览]按钮，在跳出的页⾯上选择[受信任的根证书颁发机构]，点[确定]，再点[下⼀步]。

关于OUT IP报错的排错SANGFOR VPN对接时，日志打出“OUT IP没有得到”或者“OUT IP冲突”，导致VPN 连不上，请参考如下排错：一、日志提示“OUT IP没有得到”1、检查两边设备是否启用了多线路，多线路里配置是否正确2、检查设备WAN口是否绑定了多IP(多IP要按从小到大的顺序配置），WEBAGENT使用的是不是第一个IP来连的3、设备是否是单臂部署，WAN口没有配置IP？二、日志提示“OUT IP冲突”总部SSL网关部署，两个分支都是VPN12004.6版本，网关部署，无法建立VPN连接，提示OUT IP冲突，总部日志如下图：【问题分析】1、通过总部的日志，看到很奇怪的现象，总部日志显示的对端OUT IP是169.255.255.22，如下图：日志里的OUT IP实际上是设备的wan口所配置的IP，很奇怪为何会给wan口配置一个169.255.255.22的IP地址（这个地址跟windows系统网卡通过dhcp无法获取ip时自动填充的169.254.x.x地址有点类似，感觉上是无法获取地址导致），但是2台设备的wan口都配置了169.255.255.22这个IP就有点不正常了，并且两台设备都是网关部署且公网IP都不一样，于是去分支设备上看到日志如下：2、从分支设备上的日志，也发现了奇怪的内容，如下图：分支的日志显示，本端线路号1（L:1）去连接对端线路号0（R:0）失败，而本端线路号1（日志里的L:1）实际上是指的本端的第二条公网线路，也就是wan2口（eth3），对端线路号0指的是对端的第一条公网线路，也就是wan1口（eth2），于是检查分支端多线路配置，发现两端的多线路均配置了2条线，而线路2此时并没有启用，如下图：3、检查分支端多线路序列号，发现都有2条线路授权，如下：再检查分支端的网络接口配置，发现2个分支端均没有启用线路2，如下：再通过升级客户端，查看线路2的默认IP地址，如下：（就是那个169.255.255.22）4、问题至此真相大白，两个分支端都没有第二条线路，但是在多线路配置里把第二条线路都配置进去了，导致VPN建立连接的时候，两个分支的线路2（eth3）的OUT IP（也就是eth3配置的ip）冲突，所以没有办法正确建立VPN连接。

SANGFOR_SSL多线路专题文档深信服科技有限公司2011年05月18日第1章功能概述SANGFOR SSL VPN提供了多线路智能选路技术，用于当客户外网有多条运营商出口的时候，SSL设备自动地为用户选择最快的链路接入SSL VPN。

客户端通过域名或者IP形式访问，均能实现自动选路功能。

根据不同部署环境，SANGFOR SSL VPN设备可以实现各种环境下的多线路自动选路功能。

主要包括单臂模式多线路自动选路、网关模式（直连）多线路自动选路、网关模式（非直连）多线路自动选路。

下面分别用一个典型案例来说明，单臂模式、网关模式下如何配置实现多线路自动选路功能。

第2章单臂模式多线路典型案例2.1.客户环境与需求客户拓扑如下图所示，SSL VPN设备单臂部署。

出口有电信与网通两条链路。

客户需要实现外网用户输入 1.1.2.2或者 2.1.2.2任意一个IP地址均能自动选择最快链路访问到SSLVPN设备接入。

2.2.配置思路根据客户的需求，我们可以首先总结配置思路。

1.基础网络配置：配置成单臂模式，配置LAN口IP地址，掩码，网关等信息。

2.防火墙做端口映射：前置防火墙需要做两条线路的80端口和443端口到172.16.1.10 。

此处需要注意：80端口也是必须映射的，因为多线路选路功能是依赖80端口来选路的，如果80端口不映射，将无法实现多线路选路功能。

3.多线路配置：[系统配置]-[网络配置]-[多线路]，勾选[启用SSL VPN多线路]，并且新增两条线路。

2.3.配置方法与截图2.3.1.基础网络配置首先在[系统配置]-[网络配置]-[部署模式]里将设备配置成单臂模式，配置LAN口IP地址、掩码、网关等信息。

如图：2.3.2.前置防火墙做端口映射此处设置需要在前置防火墙做，由于各个厂家设置方法不一致，此处不一一例举。

需要将1.1.2.2的80和443端口映射到172.16.1.10的80和443端口。

SANGFOR SSL VPN客户端登录异常故障排查
终端用户通过浏览器访问SSL VPN设备建立VPN连接，确保快捷、安全访问总部的服务器。

本文总结了SANGFOR SSL VPN客户端登陆页面异常的排查办法：
1、检查只有终端用户的电脑打不开登录页面，还是使用其他的电脑也打不开登
录页面。

如果只是某一台电脑打不开登录页面，说明总部设备是正常工作的，问题定位在终端电脑上。

如果所有电脑都打不开登录页面，则需要检查总部SSL服务是否工作正常，是否有在前置出口设备做端口映射等。

2、检查不能打开SSL登录页面的电脑是否可以正常访问外网，是否有设置IE
代理。

3、检查客户端电脑是否可以打开其他的HTTPS网站，如网上银行，QQ邮箱等。

如果客户端电脑也打不开其他的SSL网站，有可能是电脑本身的SSL协议被破坏。

4、把SSL设备的IP添加到信任网站，调低IE安全级别，清空所有IE缓存，或
者换一个浏览器登录SSL VPN试下。

5、关闭杀毒软件和防火墙，使用Sinfor tools工具卸载插件，再访问SSL登录页面试下。

SSL5.7外置数据中心配置和使用指导深信服电子科技有限公司2012年10月23日第1章SSL外置数据中心简介 (2)第2章安装指导 (2)第3章使用说明 (4)2.1.登录指导 (4)2.2功能简介 (6)1、查看设备运行状态 (6)2、用户日志查询 (6)3、生成统计报表 (6)4、数据管理 (6)5、系统设置 (6)第4章排错指导 (7)第5章注意事项 (7)第1章SSL外置数据中心简介深信服SSL VPN M5.7外置数据中心，与SSL VPN M5.7设备配套使用，为客户提供海量日志数据的异地扩展备份管理，多种条件组合的高效查询，统计和趋势报表生成，设备运行状态监控等功能。

第2章安装指导1、双击安装程序SSLVPN_DC_5.7.exe，点击“下一步”进行安装2、设置端口，一般按默认的即可，确保这些端口不与服务器上的其他程序冲突。

3、选择安装路径，点击“下一步安装完成”。

第3章使用说明2.1.登录指导外置数据中心web控制台使用https://方式登录，系统管理员的用户名和密码默认是Admin、Admin。

登录之后，点击系统设置---节点管理---新建节点，添加SSL设备。

设置“节点名称”和“共享密钥”，共享密钥和SSL设备上面的同步密码设置一致，具体配置如下：2.2功能简介1、查看设备运行状态可以查看与数据中心连接的设备的基本信息、当前的运行状态，运行状态采用图表的形式表示，提高了直观性。

2、用户日志查询查询用户的登录，注销，资源访问，个人信息配置日志，提供多种详细的查询方式，包括认证方式，用户组，设备IP，用户登录IP等。

查询管理员的登录，注销，配置日志。

提供基本查询方式之外，支持M5.7加入的按管理组查询。

3、生成统计报表支持多种常用的流量报表模型，能够根据用户，资源等的访问流量生成统计，排行，趋势报表，以支持对用户系统的使用情况进行审计和监控功能。

4、数据管理可以针对结点进行数据库的备份和还原。