เป็นการใช้งาน Script SSO ไปวางบน Windows Server 2022 หรือต่ำกว่า 

แนวทางการตั้งค่า Single Sign-On (SSO) ด้วย Sangfor Firewall บน Windows
Server 2022 โดยได้รวมข้อมูลสำคัญเกี่ยวกับการแก้ไขปัญหาความล่าช้าของ Logon Scripts ซึ่ง อาจ
ส่งผลกระทบต่อการทำงานของ SSO

โดยเริ่มต้นไปที่ Policies > Authentication > User authentication > Authentication options > SSO Options > AD SSO
Enable AD SSO และ เปิดการใช้งาน Receive login credentials from a login script running on your AD domain controller 

ทำการโหลด Script และขั้นตอนการตั้งค่าจาก Download AD SSO Program จากรูปด้านบน

จะได้รับ Script สำหรับติดตั้งที่ AD Server พร้อมคู่มือการติดตั้ง

ขั้นตอนการติดตั้ง Script บน AD Server

1. เปิด Group Policy Management Console (GPMC):

 ○ ไปที่ Run แล้วพิมพ์ gpmc.msc จากนั้นกด Enter

2. แก้ไขหรือสร้าง Group Policy Object (GPO)

○ เลือก Domain หรือ OU ที่ต้องการจะให้ Policy นี้มีผล

○ คลิกขวาแล้วเลือก "Create a GPO in this domain, and Link it here..." หรือแก้ไข GPO ที่มีอยู่

เข้าไปที่ User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff)
โดยเริ่มจากการตั้งค่า Script Login  

3. กด Add.

4. กด Browse.

5. นำเอา Script (logon) ที่โหลดจาก Firewall มาใส่

6. หลังจากนั้นกรอก Script Parameters IP port Shared key ตามลำดับ ตัวอย่างเช่น 192.168.1.2 1775 123456

IP 192.168.1.2 ของ Interface IAG ที่ AD Server เชื่อมต่อได้

Port 1775 คือ Port ที่ใช้งานระหว่าง Firewall และ AD Server

Shared Key คือ 123456 ที่ตั้งค่าไว้บน Firewall

7. ทำการวาง Script ที่ Logoff เช่นกัน

8. เข้าไปกด Add. ที่ Logoff Script

9. นำเอา Script ที่ Download จาก Firewall มาวาง

10. แต่ Script Parameter ของ Logoff ใส่แค่ Interface IP ของ Firewall เท่านั้น

11. บังคับใช้ Group Policy

○ เปิด Command Prompt หรือ PowerShell บน Domain Controller แล้วรันคำสั่ง gpupdate /force

○ Client Computer จะได้รับ Policy ใหม่ในการ Logon ครั้งถัดไป หรือตามรอบการอัปเดต Policy

ข้อควรระวังและแนวทางแก้ไข: ความล่าช้าของ Logon Script (ข้อมูลเพิ่มเติมจาก Microsoft)

ใน Windows 8.1 และ Windows Server 2012 R2 เป็นต้นมา (รวมถึง Windows Server 2022) Microsoft ได้ wprowadziłการเปลี่ยนแปลงที่อาจทำให้ Logon Scripts ที่กำหนดผ่าน Group Policy ไม่ทำงานทันทีหลังจากผู้ใช้ Logon แต่จะมีการหน่วงเวลาไว้ 5 นาทีโดยปริยาย ลักษณะการทำงานนี้มีจุดประสงค์เพื่อเร่งความเร็วในการโหลด Desktop ของผู้ใช้
หาก Logon Script ของ Sangfor SSO ถูกหน่วงเวลา อาจทำให้ผู้ใช้ไม่สามารถใช้งาน SSO หรือเข้าถึงอินเทอร์เน็ตผ่าน Firewall ได้ทันทีหลังจากการ Logon
วิธีแก้ไขความล่าช้าของ Logon Script:
คุณสามารถปรับแต่งการตั้งค่านี้ผ่าน Group Policy Editor (gpmc.msc) ใน GPO เดียวกันกับที่คุณตั้งค่า Logon Script หรือ GPO อื่นที่เหมาะสม

1. ไปที่ Computer Configuration:
○ ใน GPO ที่ต้องการแก้ไข ให้ไปที่:
Computer Configuration > Policies > Administrative Templates > System > Group Policy

○ มองหานโยบายชื่อ Configure Logon Script Delay

○ ดับเบิลคลิกเพื่อแก้ไข มีตัวเลือกดังนี้:
■ Not Configured (ค่าเริ่มต้น): Logon Scripts จะหน่วงเวลา 5 นาทีก่อนทำงาน
■ Enabled:
■ หากเลือกตัวเลือกนี้ คุณสามารถกำหนดเวลาหน่วงเป็นนาทีได้ในช่อง "minutes"
■ หากต้องการให้ Script ทำงานทันที ให้ตั้งค่าเป็น 0 นาที
■ Disabled: Logon Scripts จะทำงานทันทีโดยไม่มีการหน่วงเวลา (เทียบเท่ากับการตั้งค่า Enabled และกำหนดเวลาเป็น 0 นาที)

***คำแนะนำ: เพื่อให้ Sangfor SSO Script ทำงานได้เร็วที่สุด ให้เลือก Disabled หรือ Enabled แล้วตั้งค่าหน่วงเวลาเป็น 0

2. (แนะนำเพิ่มเติม) ตั้งค่านโยบาย "Always wait for the network at computer startup and logon":
○ ในบางกรณี เพื่อให้แน่ใจว่า Script ที่ต้องใช้เครือข่าย (เช่น Script SSO ที่ติดต่อกับ Firewall) ทำงานได้อย่างถูกต้อง ควรเปิดใช้งานนโยบายนี้

○ ไปที่:
Computer Configuration > Policies > Administrative Templates > System > Logon

○ มองหานโยบายชื่อ Always wait for the network at computer startup and logon

○ ดับเบิลคลิกแล้วเลือก Enabled

4. บังคับใช้ Group Policy อีกครั้ง:
○ หลังจากแก้ไขนโยบายแล้ว ให้รัน gpupdate /force บน Domain Controller และให้ Client Computer ทำการ Restart หรือ Logoff/Logon ใหม่เพื่อให้ Policy มีผล

การตรวจสอบ

1. หลังจากผู้ใช้ Logon เข้าสู่ระบบ ให้ตรวจสอบว่าสามารถเข้าใช้งานอินเทอร์เน็ตผ่าน Sangfor Firewall ได้โดยอัตโนมัติ (ตามเงื่อนไข Policy ของ Firewall)
2. ตรวจสอบ Log บน Sangfor Firewall เพื่อดูสถานะการ Authentication ของผู้ใช้
3. บน Client Computer สามารถใช้คำสั่ง gpresult /r (สำหรับ User Policy) หรือ gpresult /r /SCOPE COMPUTER (สำหรับ Computer Policy) เพื่อตรวจสอบว่า GPO ที่ตั้งค่าไว้นั้นถูกนำไปใช้กับ User/Computer หรือไม่ และตรวจสอบ Event Viewer เพื่อดูข้อผิดพลาดที่อาจเกิดขึ้นกับ Group Policy หรือการรัน Script
การรวมขั้นตอนการแก้ไขความล่าช้าของ Logon Script นี้ จะช่วยให้การตั้งค่า Sangfor SSO บน Windows Server 2022 ของคุณทำงานได้อย่างราบรื่นและมีประสิทธิภาพมากยิ่งขึ้น