最近客户外网访问桌面的时候反应说输入用户名密码后又跳出一个输入用户名密码的界面,再次输入后提示”您的登录已过期,请再次登录以继续。”(Error: “Your logon has expired. Please log on again to continue” When Accessing StoreFront Through NetScaler Gateway)
SF日志的描述”已向检测到正在通过网关的服务“XXXXAuth”发送请求。该服务配置有网关 [db743ba3-4aa1-44c1-ba59-6e1b7f9b96e1],但均不符合该请求。请求详细信息:” 和”已向检测到正在通过网关的服务“XXXXApp”发送请求。该服务配置有网关 XXXX,但均不符合该请求。请求详细信息:”
故障解决思路
1.根据官方论坛的帖子描述,并检查配置,并没有出现任何配置上的改动.确定配置无误.
https://discussions.citrix.com/topic/393025-your-logon-has-expired-please-log-on-again-to-continue-when-accessing-storefront-through-netscaler-gateway/
2.在google找到类似错误的博客记录,确定不是该问题导致.
https://msandbu.wordpress.com/2016/04/12/troubleshooting-ica-proxy-and-authentication-sessions-netscaler/
3.参考官方CTX204766的描述对配置进行调整,该问题依旧.
https://support.citrix.com/article/CTX204766
4.通过google再次找类似错误解决办法.
https://www.keyword-suggest-tool.com/search/storefront+your+logon+has+expired/
5.删除Netscaler AG配置,把原来NS11.1版本升级到NS13.0 41.28.nc版本.并配置AG,问题依旧.
6.检查SF是否脱域,通过检测SF未脱域.
7.升级SF到1909版本,删除配置,重新配置,问题依旧.
8.创建私有域名进行测试,问题依旧.
9.使用自己的域名进行测试,问题依旧.
10.检查域名证书是否过期,经过证书提供商检查,证书正常无问题.
11.检查内部颁发的SF证书,证书正常无问题.
12.检查域名解析出来的IP与实际Netscaler VIP 映射的IP不一致,配置自己的域名进行测试,发现问题没有出现,故障解决.
总结:
外网能够直接打开NS的登录界面,登录后转跳到SF登录界面, 经过多次的测试和对比,确定配置上没有任何问题,也没有人对配置做任何改动,而且有一个比较特殊现象,在桌面内部网络环境(192.168.x.x)的虚拟机可以通过Web正常登录,脱离桌面内部网络环境就会出现”您的登录已过期,请再次登录以继续。”,但可以通过Recevier客户端登录.最后通过核对域名解析的IP和NS VIP映射的IP不一致导致该问题,使用自己的域名进行测试,并修改域名A记录问题解决.
客户场景:
客户是园区里面的子单位,客户首先需要从园区的公网IP地址池里面获取子单位的公网IP,客户提供外网服务,必须先得到园区IDC分配给子单位的公网IP和园区分配的二级域名.
二级单位内部环境:
PS:感谢原厂工程师宋定州提供解决思路与帮助.
No Comments