服务器系统报错sam,01 安装部署

1. 硬件和操作系统要求 (这里以3.95版本为例，如果版本较低可参考对应版本的安装手册)

下表说明安装RG-SAM 安全计费管理系统的硬件和操作系统要求。

(1)硬件配置：

最低配置：

Dell PowerEdge

R710

CPU：Intel Xeon

E5606 2.13GHz 4 核*2

内存：8G

磁盘：吞吐率 130MB，100G

及以上容量

网络：1000Mbps 全双工网卡*3

推荐配置：

Dell PowerEdge

R710

CPU：Intel Xeon

E5630 2.53GHz 4 核*4

内存：16G

磁盘：吞吐率 266MB 及以上，200G

及以上容量

网络：1000Mbps 全双工网卡*3

(2)软件配置：

操作系统

Windows Server

2003 Enterprise Edition SP2 32 位版本 + 打KB950224 补丁

Windows Server

2003 Enterprise Edition SP2 X64 版本 + 打KB950224 补丁

Windows Server

2003 R2 Enterprise Edition SP2 32 位版本 + 打KB950224 补丁

Windows Server

2003 R2 Enterprise Edition SP2 X64 版本 + 打KB950224 补丁

Windows Server

2008 Enterprise Edition SP2 32 位版本+ 打KB975808 补丁

Windows Server

2008 Enterprise Edition SP1 X64 版本 + 打KB975808 补丁

Windows Server

2008 R2 Enterprise Edition SP1 X64 版本

数据库

SQL Server 2005 Enterprise Edition SP2 32 位版本

SQL Server 2005 Enterprise Edition SP2 X64 版本

SQL Server 2008 Enterprise Edition SP1 32 位版本

SQL Server 2008 Enterprise Edition SP1 X64 版本

SQL Server 2008 R2 Enterprise Edition SP1 32 位版本

SQL Server 2008 R2 Enterprise Edition SP1 X64 版本

2. SAM支持哪些设备？

请查看相应版本的发行说明。

3.SAM安装不上可能的原因：

(1).操作错误

(2).系统环境错误

(3).数据库错误

(4).程序错误

常用的解决方法：重装SAM、重装SQL、重装操作系统、换电脑安装、换SAM和SQL安装文件安装。

4. SAM能否安装在windows server 2008上？

SAM3.80以前不支持，SAM3.80之后才支持。

5.SAM安装在win2008操作系统需要打上的KB975808补丁在哪下载？

6.SAM启动时提示无法连接数据库

1SQL server服务或SQL server agent服务没有启动。如果没启动，需要手动启动。

2SAMDB数据库没有正确初始化。(初始化操作可参考SAM系统安装手册数据库初始化部分，SAM3.80之后安装时会自动初始化数据库)

最常见的错误是初始化时没有注意到当前数据库是不是“SAMDB”，在当前数据库是“master”的情况下，错误的执行初始化。如下图所示，要选择SAM对应的数据库：

3SQL Server的1433监听端口没有开放

点击“开始“—“运行”输入cmd后在弹出的窗口中输入netstat–an可以看到服务器端口的开放状况。

1)

检查一下SQL的补丁打了没有。没打补丁是1433端口没有开放的原因之一。

查看数据库是否打补丁的方法，以SQL SERVER 2005为例：

进入数据库系统后，点击“新建查询”，在弹出的查询窗口中输入“select

@@version”，当前数据库为master，点击执行按钮，查询结果如下图：

SQL SERVER 2008的补丁也可通过控制面板来查看。

2) 检查SQL配置管理器中网络配置下的TCP/IP协议是否启用。若没有启用，需要启用，然后重启SQL服务。

3)

检查是否系统防火墙阻止的端口开放。

4SAM控制台数据库配置中连接的数据库名或SQL所在的ip错误，或连通性错误。

5SQL数据库sa密码过期。以window身份认证方式进入数据库，重新设置一次sa的密码。

7.SAM启动提示安装程序版本和数据库版本不一致

就是SAM安装程序版本和SAMDB数据库使用的版本不一致，或者在重装sam时选择错误了安装程序版本造成。

可以在数据库中查看sam_config表里的version字段来获取相应的版本信息。

8.SAM标准版和企业版的区别及能否相互转化，如何转化？

如果企业版已经部署了双机集群配置那就无法转换。若是未做集群配置的企业版，可以与标准版互相转换。

转换的方法：找到SQL中sam数据库里的SAM_CONFIG表，修改该表中version字段为相应的类型即可。如下图所示：(图片仅标明位置，SAM3.93无标准版)

9.安装中出现数字签名策略拒绝的解决方法：

在安装SAM 系统时，有时候会出现：文件 C:\WINDOWS\Installer\文件名.msi 被数字签名策略拒绝。

首先要确认文件包获取正确，可以校验MD5值查看文件是否损坏。如果文件没问题则按如下方法测试：

方法1：将HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers

注册表项下面的PolicyScope 值从0 改为1。如果没有这个键，可以自己新建一个，类型是"DWORD"然后在cmd 中运行：net

stop msiserver 注意,为了安全,安装完成后可要把值改回去。

方法2：

1)单击开始、运行， 键入“secpol.msc”，然后单击确定。

2)双击“本地安全策略”。

3)单击“软件限制策略”。注意如果没有软件限制策略，则右键单击“软件限制策略”，然后单击“新建策略”。

4)在“对象类型”双击“强制”。

5)单击“除本地管理员以外的所有用户”，并单击确定。

10. sam控制台提示:系统安装了未被授权的模块：NLB模块，请卸载后再启动

出现此报错是标准版的加密狗插到了企业版的SAM上，导致检测到有企业版才有NLB模块未授权。

11.如何让一些用户免认证?

交换机上配置了该用户的静态MAC 地址表项(mac-address-table static)，那么该用户就不需要认证了

也可以通过安全通道来实现。

12.SAM 能否和数据库安装在不同的服务器上？

SAM3.81之前可以。SAM3.81之后暂不支持安装在不同服务器上。

13.RG-SAM 需要使用到的端口：

a) 8080.TCP 端口.http 访问端口

b) 8443.TCP 端口,https 访问端口

c) 1812.UDP 端口.默认的认证报文接收端口

d) 1813.UDP 端口.默认的记帐报文接收端口

e) 1433.TCP 端口.SQL SERVER 的默认监听端口

f) 1434.UDP 端口.SQL SERVER 的默认监听端口.

g) 1512.TCP 端口.ORACLE 的默认监听端口

h) 8009.TCP 端口.ajp 端口

i) 1099.TCP 端口.jnp 端口

j) 1098.TCP 端口.rmi 端口

k) 8090.TCP 端口.JBossMQ OIL service 端口

l) 8092.TCP 端口.JBossMQ OIL2 service 端口

m) 8093.TCP 端口.JBossMQ UIL service 端口

n) 4444.TCP 端口.RMIOBJECTPort

o) 4445.TCP 端口.ServerBindPort

p) 1162.UDP 端口.JBoss snmp agent 端口.

由于SAM对设备的snmp操作源端口不固定，所以还需放通服务器发出的目的端口为161、162的报文。

如果有无线设备、其他厂商设备或与SMP联动，还需要开放直通端口。直通端口在sam兼容性组件中设置，默认是53号端口。

如果在服务器上部署防火墙软件，以上端口请不要随意屏蔽。

如果机房的服务器区的出口上有部署硬件防火墙，可以把 1434 端口屏蔽掉。屏蔽1434 端口可以对外隐藏SQL

SERVER 实例，达到保护SQL 数据库的目的。

14.RGOS平台交换机如S26，dot1x配置模板：

aaa new-model\\开启aaa认证

!

aaa accounting update periodic 15 \\定义记账更新间隔

aaa accounting update\\开启记账更新

aaa accounting network default start-stop group

compatible\\ 配置记账功能

!

aaa group server radius compatible

server 192.168.204.57\\定义记账服务器IP

!

aaa authentication dot1x default group radius

local\\配置dot1x认证方法

!

username w password 0 w

!

radius-server host 192.168.204.57\\定义认证服务器IP

radius-server key ruijie\\配置Radius

key

!

!

dot1x accounting default\\开启dot1x记账功能

dot1x authentication default \\开启dot1x认证功能

dot1x probe-timer alive 130\\配置hello生存时间

dot1x client-probe enable\\配置hello功能

interface GigabitEthernet 0/1

dot1x port-control auto\\端口使能dot1x认证

15.非RGOS平台交换机如S21，dot1x配置模板：

aaa authentication dot1x//打开802.1x

radius-server host 192.168.5.183；//配置认证服务器IP地址

aaa accounting server 192.168.5.183//配置计费服务器IP地址

aaa accounting//打开计费

aaa accounting update//开启记费更新

radius-server key test//配置认证服务器的key为test字符串

snmp-server community ruijie rw//配置snmp属性值为ruijie,并赋予读写权限

interface range FastEthernet 0/1-8

dot1x port-control auto//配置交换机上的1－8端口为认证口

write//保存交换机的配置，完成交换机的配置

16.WS无线交换机，无线认证模板(10.X)：

aaa new-model

!

!

aaa group server radius default

server

192.168.33.244

!

aaa accounting update periodic 15

aaa accounting update

aaa accounting network default start-stop group

radius

aaa authentication dot1x default group radius

!

username admin password admin

!

radius-server host 192.168.33.244

radius-server key ruijie

enable secret 5 $1$djs8$AstvEu6p9v2v3v21

!

dot1x accounting default

dot1x authentication default

dot1x timeout server-timeout 3

dot1x timeout tx-period 5

dot1x eapol-tag

!

wlansec 10\\ wlan安全设置启用dot1x

gsn

address-bind

security rsn enable

security rsn ciphers aes enable

security rsn akm 802.1x enable

!

snmp-server community ruijie rw

17.H3C交换机认证配置模板：

[H3C]display current-configuration

#

sysname

H3C

#

dot1x

//全局启动802.1x认证

dot1x

timer tx-period 15

dot1x

retry 1

dot1x

timer handshake-period 60

dot1x

authentication-method eap//认证方法配置为eap

#

radius scheme system//配置认证策略

primary authentication 1.1.1.3 1812//认证IP、端口

primary

accounting 1.1.1.3 1813//记账IP、端口

key

authentication ruijie//认证密钥

key

accounting ruijie//计费密钥

timer

realtime-accounting 15

timer

response-timeout 5

retry

5

#

domain system//配置认证域

scheme

radius-scheme system//应用认证配置策略

vlan-assignment-mode string

#

vlan 1

#

interface Vlan-interface1

ip address 1.1.1.5 255.255.255.0

#

#

interface Ethernet1/0/6//在端口上启动dot1x认证

dot1x

#

interface GigabitEthernet1/1/4

#

undo irf-fabric authentication-mode

#

interface NULL0

#

voice vlan mac-address 0001-e300-0000

mask ffff-ff00-0000

#

snmp-agent

snmp-agent local-engineid

800063A2000FE2B8876A6877

snmp-agent community write public

mib-view ruijie

snmp-agent community read ruijie

snmp-agent sys-info location East campus

of SYSU

snmp-agent sys-info version all

snmp-agent group v1 public read-view

ruijie write-view ruijie

snmp-agent mib-view included v1default

internet

#

return

h3c接入交换机新版本中支持防范arp欺骗功能，当开启防范arp欺骗功能时，用我司客户端进行sam认证时，会出现可以动态获取ip地址，但是无法获得到网关arp报文。该问题主要原因是由于我司su认证后获取ip地址采用二次认证的方式造成。该问题目前善未解决，在实施部署的时候需留意。

18.cisco交换机认证配置模板：

Building configuration...

Current configuration : 2617

bytes

!

version 12.2

!

hostname Switch

!

boot-start-marker

boot-end-marker

!

aaa new-model \\开启aaa 认证

!

aaa group server radius default

!

aaa authentication dot1x default

group radius \\配置dot1x 认证方法

aaa accounting update periodic 15

\\开启记账更新为15 分钟

aaa accounting dot1x default

start-stop group radius \\配置记账功能

!

aaa session-id common

system mtu routing 1500

authentication mac-move permit

no ip subnet-zero

!

dot1x system-auth-control \\全局打开802.1x

认证

!

spanning-tree mode pvst

spanning-tree extend system-id

no spanning-tree vlan 1 \\关闭vlan

1 的生成树

!

vlan internal allocation policy

ascending

!

interface FastEthernet0/1

switchport mode access

authentication port-control auto

\\设置端口控制模式为自动

dot1x pae authenticator \\在接口上开启dot1x

认证功能

!

interface FastEthernet0/2

switchport mode access

authentication port-control auto

dot1x pae authenticator

!

interface Vlan1

ip address 172.16.50.50

255.255.255.0

!

ip default-gateway 172.16.50.1

no ip classless

no ip http server

no ip http secure-server

!

!

ip sla enable reaction-alerts

!

snmp-server community ruijie RW

\\设置snmp 团体访问字符，必须与服务器一致

radius-server host 172.16.8.225

auth-port 1812 acct-port 1813 \\定义认证服务器IP 与认证/记账端口号

radius-server key ruijie \\配置Radius

key

注意：以上配置中建议关闭生成树功能，否则生成树会干扰客户端认证成功后的动态IP地址获取过程；

如果开启生成树并配置静态IP，认证成功后用户还要等待约30秒左右用户才可以正常上网。如果关闭生成树就可以立即上网。

19.SAM控制台显示和服务器的本地时间相差8个小时？

首先确认系统时区选择正确。这个与操作系统和java的时间设置有关系，一般出现在ghost版本操作系统，最好卸载后使用安装版操作系统。

也可以直接修改SAM安装目录下RGSAM.bat文件，增加参数

-Duser.timezone=Asia/Shanghai，修改为如下面的：

做完后需要在控制台把服务卸载再安装服务。

20.SAM 在安装数据库时提示需要安装IIS服务是否有必要安装？

不需要安装。

21.SAM安装加密狗驱动时报错提示不支持的并口

该报错不影响加密狗使用。我们一般加密狗使用的是USB口，所以只要保证USB口驱动安装正常即可。

22.SAM3.93安装后报错SQL Agent服务未启动

该报错信息一般为SAM程序与SQL数据库未安装在同一台服务器导致。

SAM3.81以上版本需要SAM程序与SQL数据库安装在同一台服务器，如果SAM程序检测到本机没有SQL

Agent服务就会出现此报错。

23.SAM安装时报错SQL没有打上SP2补丁或者版本不对

1.确认SQL数据库是企业版，而非标准版或开发版

2.确认SQL已经打上SP2或更高的补丁

通过以下方法来检查确认：

点击新建查询，输入select @@version查看数据库和补丁包版本信息

3.SQL2005或SQL2008的版本需要与windows系统版本匹配使用

4.尝试重启服务器

24.SAM 是否可以和BRAS对接

SAM3.95及以后版本可以支持，能支持的设备型号建议参考相应版本的发行说明，例如目前的OPERATOR

3.95 build 20140307版本可以支持以下四款