一、新组件单点登陆原理 (深信服 AD 新组件单点登陆原理)

 
         PC请求登陆域
         域认证成功后，域下发logon.exe脚本给PC，PC执行logon.exe脚本
③PC运行logon.exe成功后，在PC本地的C盘当前登录系统的用户主目录下生成logon.txt日志文件，并上报成功登陆域的信息给AC(udp 1773)
 
二、排错
根据新组件单点登陆的原理我们发现在做单点登陆时内网的PC既要和域服务器交互，也要和AC设备交互，那么如果PC和其中一个设备交互出现了问题，都有可能导致单点登陆不成功。所以新组件单点登陆失败时进行排错最关键的一步是要定位问题出现在哪。
PC和AC的交互
1        新组件单点登陆模式下，AC设备是通过监听UDP1773端口来接收由PC上报来的登陆域的信息，所以要保证PC到AC之间的网络设备放通该端口的数据；
 
2        如果在相同的内网环境下部分PC单点登陆成功而部分PC单点登陆不成功，可以在登陆不成功的电脑上直接将登陆脚本logon.exe放在本地，以在C盘为例，在cmd下执行：
c:\logon.exe ACip 端口 密钥

回显：

如果测试成功则说明PC到AC之间的网络是通畅的，需要检查PC和域服务器的交互是否正常；
 
3        如果同一个内网环境下所有PC单点登陆都不成功，请联系800处理。
PC和域服务器交互
4        确认域账号目录下是否有logon.exe，logoff.exe文件，并确认该域用户账户拥有运行脚本的权限。( 是否有权限运行脚本---可以查看域服务器上的策略)
 
5        确认电脑启动时是否等待网络------运行下输入gpedit.msc，定位到计算机配置\管理模板\系统\登录选项\启用“计算机启动和登录时总是等待网络”。

 
6        确认是否生成日志文件------运行下输入%userprofile%，找到登陆之后用户电脑的主目录（如C:\Documents and Settings\Administrator），看目录中是否会产生一个login.log的文件，如下图：

如果产生这个文件就说明PC有执行登陆脚本，如果没有产生这个login.log文件则要继续进行第4步和第5步的操作。
 
7        确定用户是否成功加入域------运行下输入gpresult，用户如果加入域成功则会显示出用户所在域中的路径：

确认当前一次域策略下发是否正常------运行下输入rsop.msc，正常情况下，能从域里面获取到域策略，如下图：

无法从域里面获取到域策略的情况下显示：


通过以上步骤定位出是PC和域服务器交互存在问题之后可联系域服务器管理员协助解决问题。