এই নিবন্ধটি সাধারণ ডিরেক্টরি সার্ভিসেস এবং ব্যবহারকারী সচেতনতা সমস্যা এবং প্রস্তাবিত সমাধানগুলি বর্ণনা করে। আরও তথ্যের জন্য, দেখুন ডিরেক্টরি সার্ভিসেসের জন্য উইন্ডোজ সার্ভার কনফিগার করা।

ত্রুটি: ডোমেইন নিয়ন্ত্রকে সংযোগ করতে অপারগ

চ্যালেঞ্জ

এই ত্রুটি বার্তা (ডোমেইন নিয়ন্ত্রক (DC) এর সাথে সংযোগ ক্ষমতার ব্যর্থতা নির্দেশ করে, সাধারণত অবৈধ প্রমাণপত্রের কারণে। এই ত্রুটির বার্তা সাধারণত “অবৈধ প্রমাণপত্র” ত্রুটি বার্তা দ্বারা অনুসরণ করা হয়।

সমাধান

সুনিশ্চিত করুন যে আপনি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন (অ্যাক্সেস > ডিরেক্টরি সার্ভিসেস) এ LDAP প্রমাণীকরণ সংযোগ সেটিংস (লগইন DN, বেস DN এবং পাসওয়ার্ড) সঠিকভাবে প্রবেশ করিয়েছেন।

ত্রুটি: NT_STATUS_ACCESS_DENIED

চ্যালেঞ্জ

এই ত্রুটি বার্তা অনুমতিসমূহ ইস্যুকে নির্দেশ করে। Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এটি তখন জানায় যখন এটি ডোমেইন নিয়ন্ত্রক অ্যাক্সেস করতে পারে না। এই ত্রুটি বার্তা সাধারণত বিশ্লেষণ পর্বে ক্ষেত্রটি: “DC_Connectivity_Failure” ইভেন্ট দ্বারা অনুসরণ করা হয়। Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন (এই ইভেন্ট প্রতি ঘন্টায় একবার তৈরি করে যখন ডোমেইন নিয়ন্ত্রকের সাথে সংযোগ ব্যর্থ হয়।

সমাধান

এই সমস্যাটি সমাধানের জন্য এই পদক্ষেপগুলি অনুসরণ করুন:

1. ব্যবহারকারী নাম এবং পাসওয়ার্ড পরীক্ষা করুন। আপনি সঠিক লগইন DN এবং পাসওয়ার্ড প্রবেশ করিয়েছেন কিনা তা নিশ্চিত করুন। সুনিশ্চিত করুন যে Cato সকেট সংযোগ প্রচেষ্টায় সঠিক ব্যবহারকারী নাম পাঠায় কিনা তা সকেট বা ডোমেইন নিয়ন্ত্রকের LAN ইন্টারফেসে প্যাকেটগুলি (PCAP) ক্যাপচার করে নিশ্চিত করুন।
2. ঘটনা লগ থেকে পড়ার জন্য ডোমেইন নিয়ন্ত্রকের সেটিংস থেকে ব্যবহারকারীর অনুমতি পরীক্ষা করুন। অনলাইন সাহায্যের গাইড অনুসরণ করুন - উইন্ডোজ কনফিগারেশন।
3. যদি আপনি এসডিপি ব্যবহারকারী গ্রুপগুলির দৈনিক সিঙ্ক এবং ব্যবহারকারী সচেতনতা সক্রিয় করেন, তাহলে নিশ্চিত করুন যে আপনি ডোমেইন নিয়ন্ত্রকগুলি বাস্তব সময়ে সিঙ্কের জন্য কনফিগার করেছেন। “সংযোগ পরীক্ষা করুন” এ ক্লিক করুন এবং দেখুন আপনি “সংযোগ সফল” ফলাফল পাচ্ছেন কি না।
4. মনিটরিং সেকশনে ইভেন্টের জন্য চেক করুন। আপনি ইভেন্ট টাইপের উপর ভিত্তি করে ইভেন্টগুলি ফিল্টার করতে পারেন: সিস্টেম এবং ইভেন্ট উপ টাইপ: ডিরেক্টরি সার্ভিসেস এবং DC সংযোগহীনতা বা সিঙ্ক ত্রুটি খুঁজে বের করুন।
5. অনলাইন সাহায্য গাইড অনুসরণ করুন এবং ডোমেইন নিয়ন্ত্রক কনফিগারেশন সেটিংস যাচাই করুন।
6. যে ট্রাফিক ইন্টারনেট বা WAN ফায়ারওয়ালের দ্বারা ব্লক হচ্ছে না তা পরীক্ষা করুন। অপরিচিত ব্যবহারকারী ব্লক করার ফায়ারওয়াল নিয়মটি Cato সিঙ্ক ব্যবহারকারী এবং ডিরেক্টরি সার্ভিসেসকে ব্লক করতে পারে।
7. প্রত্যেকটি পদক্ষেপ সঠিকভাবে করা হয়েছে কি না তা নিশ্চিত করতে অনলাইন সাহায্য গাইডের সব কনফিগারেশন পদক্ষেপ একবার আরও অনুসরণ করুন। যদি সংযোগের জন্য ব্যবহৃত পরিষেবা অ্যাকাউন্টের উপর অনুমতিসমূহ ঠিকভাবে সেট না হয়, তাহলে আপনি একটি অ্যাক্সেস অস্বীকৃত ত্রুটি পাবেন।

ত্রুটি: NT_STATUS_UNSUCCESSFUL

চ্যালেঞ্জ

যখন PoP রিয়েল টাইম সিঙ্কের জন্য ডোমেইন নিয়ন্ত্রক অ্যাক্সেস করতে পারে না তখন Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এই ত্রুটি তৈরি করে। এই ত্রুটিটি তখন প্রদর্শিত হয় যখন ডোমেইন নিয়ন্ত্রকগুলির "স্ট্যাটাস দেখান" বাটন ক্লিক করা হয় রিয়েল টাইম সিঙ্ক সেকশনে বা অ্যাকাউন্ট অ্যাডমিনগণকে ইমেইলে।

সমাধান

এই ত্রুটিটি সাধারণত ব্যবহারকারী সচেতনতা সেটিংসের অপকনফিগারেশন নির্দেশ করে। এটি ফায়ারওয়াল বা রাউটিং কনফিগারেশনের জন্যও ঘটতে পারে। সমস্যাটির ট্ৰাবলশুট করার জন্য এগুলি অনুসরণ করুন:

1. ইভেন্টস পরিদর্শন করুন এবং অসংজ্ঞায়িত ব্যবহারকারীদের ইভেন্টগুলি আছে কি না তা নিশ্চিত করুন।
2. এর দ্বারা ইন্টারনেট/WAN ফায়ারওয়াল দ্বারা ট্রাফিক ব্লক করা হয়নি কারণ ব্যবহারকারীরা অসংজ্ঞায়িত।
3. যদি এটি প্রথম বার হয় যে আপনি ব্যবহারকারী সচেতনতা সক্রিয় করেছেন এবং ডোমেইন নিয়ন্ত্রক সিঙ্ক ত্রুটিগুলি পাচ্ছেন, তবে নিশ্চিত হন যে প্রতিটি পদক্ষেপ সঠিকভাবে কনফিগার করা হয়েছে। 
4. নিশ্চিত করুন যে ডোমেইন নিয়ন্ত্রকটি চালু এবং চলমান।
5. সকেট UI থেকে একটি ট্রাফিক ক্যাপচার চালু করুন, সকেটের LAN ইন্টারফেসে প্যাকেটগুলি (PCAP) ক্যাপচার করুন। ক্লিক করুন স্ট্যাটাস দেখান বাটনে। ক্যাপচারটি বন্ধ করুন এবং ক্যাটো PoP থেকে WMI প্রশ্ন এবং ক্যাপচার ফাইলে সার্ভার প্রতিক্রিয়া পরীক্ষা করুন (Wireshark-এর মতো যেকোনো নেটওয়ার্ক প্যাকেট বিশ্লেষণ সরঞ্জাম ব্যবহার করে)। যদি DC কোনো IPsec সাইটের পিছনে থাকে, DC নিজেই ক্যাপচার চালান।

ত্রুটি: NT_RPC_NT_CALL_FAILED

চ্যালেঞ্জ

ত্রুটি NT_RPC_NT_CALL_FAILED নির্দেশ করে যে ডোমেইন নিয়ন্ত্রকের RPC সার্ভিস প্রতিক্রিয়া জানায় না। এই ত্রুটিটি তখন প্রদর্শিত হয় যখন ডোমেইন নিয়ন্ত্রকগুলির "স্ট্যাটাস দেখান" বাটন ক্লিক করা হয় রিয়েল টাইম সিঙ্কে। 

সমাধান

1. নিশ্চিত করুন যে ডোমেইন নিয়ন্ত্রকটি চালু এবং চলমান এবং সিপিইউ ব্যবহার এবং মেমরি পরীক্ষা করুন। কখনও কখনও উচ্চ সিপিইউ বা মেমরি সার্ভারের অত্যধিক বোঝানোর কারণ হতে পারে।
2. নিশ্চিত করুন যে DC উইন্ডোজ সেবাগুলি শুরু হয়েছে এবং স্বয়ংক্রিয় স্টার্টআপের জন্য পরিচালিত হয়েছে:
   • সার্ভার
   • রিমোট রেজিস্ট্রি
   • WMI

ত্রুটি: NT কোড 0x80010111

সমস্যা

এই ত্রুটির অর্থ হল PoP ডোমেইন নিয়ন্ত্রকের সাথে যোগাযোগ করতে পারে না কারণ PoP এবং ডোমেইন নিয়ন্ত্রকের মধ্যে RPC শিরোনামের অসঙ্গতি রয়েছে।

সমাধান

এই ত্রুটি বিশেষত উইন্ডোজ সার্ভার ২০২২ এ সাধারণ, যেখানে DC-এর RPC সংস্করণ নিশ্চিতকরণ করা হয়। এটি একটি পরিচিত সমস্যা যা গ্রাহক সম্মুখীন হতে পারে। যদি আপনি এই ত্রুটি পান তবে এটি সমাধানের জন্য Cato সাপোর্টের সাথে একটি টিকেট খুলুন।

ব্যবহারকারী সচেতনতার সিঙ্ক ত্রুটি NT কোড 0xc002001b

সমস্যা

ত্রুটি 0xc002001b NT কোড 0xc002001b তখন দেখা দেবে, যখন ডোমেইন নিয়ন্ত্রকের RPC পরিষেবা ব্যর্থ হয় প্রতিক্রিয়া জানাতে।

এই ত্রুটিটি দেখা দিতে পারে যখন অ্যাক্সেস > ব্যবহারকারী সচেতনতা > LDAP এর অধীনে "সংযোগ পরীক্ষা করুন" এ ক্লিক করা হয় অথবা যখন অ্যাকাউন্ট অ্যাডমিনগণকে ইমেইল করা হয়। 

সমস্যাটির কারণ হতে পারে:

• ব্যবহারকারীরা ইভেন্টস এবং বিশ্লেষণে অসংজ্ঞায়িত থাকেন।
• ইন্টারনেট/WAN ফায়ারওয়াল দ্বারা ট্রাফিক অবরুদ্ধ হয় কারণ ব্যবহারকারীরা অসংজ্ঞায়িত।
• গ্রাহকের নতুন ব্যবহারকারী সচেতনতা সেটআপ এবং ডোমেইন নিয়ন্ত্রক সিঙ্ক ত্রুটিগুলি প্রাপ্ত হচ্ছে। 

সম্ভাব্য কারণ

এই সমস্যা ডোমেইন নিয়ন্ত্রক এ সম্পদের অভাবের কারণে ঘটতে পারে।

সমস্যা সমাধান

নিম্নলিখিত পদক্ষেপগুলি সমস্যা সমাধান পদক্ষেপ যা অনুসরণ করা যেতে পারে: 

• নিশ্চিত করুন যে ডোমেইন নিয়ন্ত্রকটি চালু আছে এবং এটি সিপিইউ বা RAM স্পাইক ছাড়া খরচ নয়।

  • যদি সম্ভব হয় তাহলে সার্ভার এ RAM এবং সিপিইউর পরিমাণ বাড়ান।
  • যদি সার্ভারে আরও শারীরিক সম্পদ যোগ করা সম্ভব না হয়, তবে WMI প্রদানকারী পরিষেবা মেমরি বাড়াতে, কোটা পরিচালনা করতে এবং নিরাপত্তা ইভেন্ট লগগুলির আকার কমাতে নিচের ধাপগুলি অনুসরণ করুন:
    
    • WMI MemoryPerHost মান বাড়ান (WMI কোটার গুণাবলী সর্বাধিক মানগুলিতে বৃদ্ধি করুন দেখুন)
    নিরাপত্তা লগ আকার সীমা 1MB এ কমানোর জন্য নিচের ধাপগুলি অনুসরণ করুন:
    
    1. ইভেন্ট ভিউয়ার খুলুন
    2. ইভেন্ট ভিউয়ার > উইন্ডোজ লগস > নিরাপত্তা এ নেভিগেট করুন
    3. নিরাপত্তা এ রাইট ক্লিক করুন এবং প্রপার্টিজ এ ক্লিক করুন
    4. সর্বাধিক লগ আকার(KB) 1024 এ সেট করুন
    5. যখন সর্বাধিক ইভেন্ট লগ আকারে পৌঁছায় তখন প্রয়োজনে ঘটনাগুলি ওভাররাইট করুন (সর্বপ্রথম পুরানো ইভেন্ট) অথবা সম্পূর্ণ হলে লগ আর্কাইভ করুন, ইভেন্টগুলি ওভাররাইট করবেন না।
    6. ঠিক আছে এ ক্লিক করুন

• প্রয়োজনীয় ডোমেইন নিয়ন্ত্রক সেবাসমূহ চলছে কিনা নিশ্চিত করুন (services.msc খুলুন এবং নিশ্চিত করুন যে সার্ভার, রিমোট রেজিস্ট্রি, এবং উইন্ডোজ ব্যবস্থাপনা শুরু হয়েছে এবং স্বয়ংক্রিয় শুরুর জন্য সেট করা হয়েছে।

• যদি ডোমেইন নিয়ন্ত্রক স্ট্রেস সংকেত দেখায়, তাহলে সার্ভার পুনরায় চালু করা প্রয়োজন হতে পারে।

ত্রুটি: ডোমেইন নিয়ন্ত্রক এ সংযোগ করা যাবে না 0xc0000001 NT_STATUS_UNSUCCESSFUL

যদি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন এ নিম্নলিখিতভাবে বিফল স্থিতি ত্রুটি বার্তা দেখতে পান:

“ডোমেইন নিয়ন্ত্রক এ সংযোগ করা যাবে না 0xc0000001 NT_STATUS_UNSUCCESSFUL। নিশ্চিত করুন যে আপনি Cato নেটওয়ার্কের সঙ্গে ডোমেইন নিয়ন্ত্রকটি সঠিকভাবে একীভূত করেছেন। যদি সমস্যা থাকে তবে সাহায্যের জন্য Cato সাপোর্টের সাথে যোগাযোগ করুন। বিস্তারিত জন্য এখানে ক্লিক করুন।”

এটি একটি সাধারণ ত্রুটি যা ডোমেইন নিয়ন্ত্রকের ভুল কনফিগারেশনের ফল হতে পারে। আমরা কনফিগারেশন গাইড অনুসরণ করার সুপারিশ করছি।

ত্রুটি - ডোমেইন নিয়ন্ত্রক এ সংযোগ করা যাবে না (কোড 6)

যদি আপনি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশানে কোড 6 সংযোগ ত্রুটি দেখতে পান, যেভাবে দেয়া হয়েছে:

সমস্যা সমাধানের জন্য আপনি কিছু পদক্ষেপ নিতে পারেন।

সকেট পুনরায় সংযুক্তকরণ

কখনও কখনও এই সমস্যা সমাধান হয় যখন আপনি সকেট ওয়েবইউআই ব্যবহার করে সকেটকে কাটো ক্লাউড থেকে সংযোগ বিছিন্ন এবং পুনরায় সংযোগ করেন।

সতর্কতা! একটি সকেট পুনরায় সংযোগ ক্রিয়া সাইটের সমস্ত চলমান সেশন সংযোগ বিচ্ছিন্ন করে দেয়। সকেট কয়েক সেকেন্ডের মধ্যে ক্যাটো ক্লাউডের সাথে পুনরায় সংযুক্ত হয়, এবং তারপর সংযোগকারিতা দ্রুত পুনরুদ্ধার হয়। তবে, কিছু সংযোগ-সংবেদনশীল ট্রাফিক (যেমন ফোন কল) বাতিল হয়ে যায়।

সকেটের উপর একটি পুনরায় সংযোগ ক্রিয়া সম্পাদন করতে:

1. আপনার ওয়েব ব্রাউজারে সকেট WebUI-তে সংযুক্ত করুন, https://<Cato Socket IP ঠিকানা> লিখুন
   উদাহরণস্বরূপ: https://10.0.0.26
2. ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন।
3. কাটো সংযোগ সেটিংস ট্যাব নির্বাচন করুন।
4. পুনরায় সংযোগ করুন এ ক্লিক করুন।
5. সকেট ওয়েবইউআই থেকে লগ আউট করুন।

DC এর সাথে সংযোগকারিতার সমস্যার সমাধান

সকেট পুনরায় সংযোগ ক্রিয়া সম্পাদনের পরে, DC ত্রুটি এখনও রয়ে যায়, এখানে DC-র সাথে সংযোগকারিতা সমস্যার সমাধানের জন্য কিছু অতিরিক্ত পরামর্শ দেওয়া হলঃ

1. ক্যাটো ক্লাউডের সাথে DC সংযোগ যাচাই করুন।
2. নিশ্চিত করুন যে DC এবং ক্যাটো ক্লাউডের মধ্যে দ্বিমুখী যোগাযোগ আছে।

এই নিশ্চিত করতে যে DC ক্যাটো ক্লাউডের সাথে সংযুক্ত আছে:

1. নিশ্চিত করুন যে আপনার DC চালু আছে।
2. Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে, গৃহ > টপোলজি তে যান এবং নিশ্চিত করুন যে DC যুক্ত সাইটটি ক্যাটো ক্লাউডের সাথে সংযুক্ত।
3. নিশ্চিত করুন যে আপনি DC-তে পিং করতে পারেন একটি ভিন্ন সাইটের একটি হোস্ট থেকে, অথবা যখন আপনি ক্যাটো VPN-এ সংযুক্ত আছেন।
4. যদি আপনি DC-তে পিং করতে না পারেন, তাহলে সমস্যা সমাধানের জন্য কিছু উপায় এখানে আছে:
   • Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে, একটি ব্লক ইভেন্টের জন্য গৃহ > ইভেন্ট চেক করুন। আপনাকে ICMP ট্র্যাফিক DC-তে অনুমতি দেওয়ার জন্য WAN ফায়ারওয়াল নীতি পরিবর্তন করতে হবে কি?
   • DC-র রাউটিং টেবিল চেক করুন এবং নিশ্চিত করুন যে ট্র্যাফিক ক্যাটো সকেট বা IPsec টানেলে রাউট করা হচ্ছে।
   • সুনিশ্চিত করুন যে DC-তে উইন্ডোজ ফায়ারওয়াল নীতি দেখে নিশ্চিত করুন যে ICMP ট্র্যাফিক ব্লক করা হচ্ছে না।

DC এবং ক্যাটো ক্লাউডের মধ্যে যোগাযোগ যাচাই করতে:

1. সকেটের ল্যান ইন্টারফেসে একটি প্যাকেট ক্যাপচার চালান।
   • যদি DC IPsec সাইটের পিছনে থাকে, তাহলে DC-তেই ক্যাপচারটি চালান।
2. যদি দ্বিমুখী যোগাযোগ থাকে, তাহলে আপনি আপনার DC এর TCP/135 এর সাথে একটি সংযোগ দেখতে পারেন যা ক্যাটো VPN পরিসর থেকে শুরু হয় (ডিফল্ট 10.41.0.0/16)।
   নোট: ক্যাটো VPN পরিসরের যেকোনো IP ঠিকানা সংযোগ শুরুর জন্য ব্যবহার করতে পারে।
   নোট: উইন্ডোজ সার্ভার ২০০৮ থেকে শুরু করে WMI প্রসেসের জন্য আপনি TCP 49152-65535 ব্যবহার করতে হবে যেকোনো ফায়ারওয়ালের মাধ্যমে। এছাড়াও বিশেষভাবে WMI সেবার জন্য একটি উইন্ডোজ ফায়ারওয়াল নিয়ম যোগ করা সম্ভব।  দেখুন : https://docs.microsoft.com/bn/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. যদি আপনি এমন কোনো সংযোগ সন্ধান করতে না পারেন যা দ্বিমুখী যোগাযোগ প্রদর্শন করে, তাহলে সমস্যাটি সমাধান করার জন্য কিছু উপায় রয়েছে:
   • যদি আপনি ডোমেইন নিয়ন্ত্রকে ভিপিএন রেঞ্জ থেকে কোনো ট্রাফিক দেখতে না পান, তবে Cato সাপোর্টের সাথে যোগাযোগ করুন।
   • যদি আপনি Cato VPN রেঞ্জ থেকে ডোমেইন কন্ট্রোলারে TCP/135-এ শুধুমাত্র SYN প্যাকেট দেখতে পান, তাহলে ডোমেইন কন্ট্রোলারের সংযোগকারিতা পরীক্ষা করুন:
     1. ডোমেইন নিয়ন্ত্রকে রাউটিং টেবিল পরীক্ষা করুন এবং নিশ্চিত করুন যে ট্রাফিক Cato Socket বা IPsec টানেলকেই রাউট করা হয়েছে।
     2. ডোমেইন নিয়ন্ত্রকে উইন্ডোজ ফায়ারওয়াল নীতি পরীক্ষা করুন এবং নিশ্চিত করুন যে ট্রাফিক ব্লক করা হয়নি।

ব্যবহারকারী ব্যবহারকারী সচেতনতা দ্বারা ম্যাপ করা হয়নি

চ্যালেঞ্জ

কিছু ক্ষেত্রে, ইভেন্ট আবিষ্কার উইন্ডোতে ব্যবহারকারীরা "ম্যাপহীন ব্যবহারকারী" হিসেবে দেখানো হয়। ম্যাপহীন ব্যবহারকারীর কারণ হল PoP ব্যবহারকারীর নাম বাস্তব সময়ে আবিষ্কার করতে সক্ষম হয়েছে (WMI প্রশ্নের ব্যবহার করে) কিন্তু LDAP সিঙ্কের সময় এই ব্যবহারকারীটি আমদানি করা হয়নি এবং এটি সনাক্ত করা যায়নি। অতএব, ইভেন্ট AD নাম ক্ষেত্রটি ম্যাপহীন ব্যবহারকারী দেখায়।

সমাধান

1. এটি নিশ্চিত করুন যে ব্যবহারকারী গ্রুপের অন্তর্ভুক্ত আছে। যদি আপনি Cato এর ডিরেক্টরি সার্ভিসেস ডোমেইন নিয়ন্ত্রক থেকে ব্যবহারকারী এবং গ্রুপসমূহ আমদানি করার জন্য কনফিগার করেন, এবং কোনো ব্যবহারকারী যদি কনফিগার করা গ্রুপের অন্তর্ভুক্ত না থাকে, তবে এটি ম্যাপহীন ব্যবহারকারী হিসাবে প্রদর্শিত হবে।
2. ডোমেইন নিয়ন্ত্রকের জন্য অডিট নীতি কনফিগারেশন পরীক্ষা করুন। অধিক তথ্যের জন্য "ডোমেইন নিয়ন্ত্রকের জন্য অডিট নীতি কনফিগার করা" দেখুন।

লগইন ইভেন্টস ইভেন্ট আবিষ্কারে প্রদর্শিত হয় না

চ্যালেঞ্জ

যদি আপনি আপনার অ্যাকাউন্টের জন্য ব্যবহারকারী সচেতনতা সক্ষম করেন, কিন্তু ইভেন্ট আবিষ্কারে ব্যবহারকারীদের লগইন ইভেন্ট দেখতে না পারেন তবে নিম্নলিখিত সমাধানে বর্ণিত ধাপগুলি অনুসরণ করুন।

সমাধান

ডোমেইন নিয়ন্ত্রকে অডিট নীতি কনফিগারেশন পরীক্ষা করুন। অধিক তথ্যের জন্য "ডোমেইন নিয়ন্ত্রকের জন্য অডিট নীতি কনফিগার করা" দেখুন।

ডিরেক্টরি সার্ভিসেস সিঙ্ক ব্যবহারকারীদের আমদানি করে না

চ্যালেঞ্জ

ব্যবহারকারী সচেতনতার সাথে, সাইটের পিছনে হোস্টগুলির ব্যবহারকারীর নামগুলি তাৎক্ষণিক সময়ে কী তা দেখায়। এটি আপনাকে বিশ্লেষণ বিভাগগুলিতে হোস্টগুলির IP ঠিকানাগুলি নয় কেবল ব্যবহারকারীর নামগুলো দেখতে দেয়। ডিরেক্টরি সার্ভিসেস সিঙ্ক থেকে ব্যবহারকারীগণ পূর্ণ হয়। সিঙ্ক LDAP ব্যবহার করে অ্যাকটিভ ডিরেক্টরি (AD) সার্ভারকে প্রশ্ন করে। কখনও কখনও বিভিন্ন কারণেLDAP সিঙ্ক ব্যর্থ হয়। উদাহরণস্বরূপ, Microsoft LDAP একটি প্রতিষ্ঠিত সীমাবদ্ধতা রয়েছে যাতে কোনো একক প্রশ্নে 1500টির কম সঙ্গে বস্তুগুলিকে ফেরত দেওয়ার অনুমতি দেয়। বৃহৎ সংগঠনগুলি সহজেই একটি গ্রুপে 1500 এর বেশি সদস্য থাকতে পারে। এইভাবে, যখন PoP LDAP প্রশ্নটি চালায়, 1500টির বেশি সদস্য সহ কোনো দল Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে খালি সদস্যদের তালিকাকে ফিরিয়ে দেবে যার ফলে CMA-তে নিষ্ক্রিয়/মুছে ফেলা ব্যবহারকারীদের ফলাফল দেখা যাবে।

সমাধান

LDAP-এর সাথে ব্যবহারকারীদের সিঙ্ক্রোনাইজ এ উল্লেখ করা হয়েছে, এই সীমাবদ্ধতার কারণে ব্যবহারকারীদের অনিচ্ছাকৃত নিষ্ক্রিয়তা/মুছে ফেলা থেকে রক্ষা করতে, আপনি CMA-এ "গ্রুপ সদস্যপদ আপডেট প্রতিরোধ করুন" অপশন কনফিগার করে একটি সিঙ্ক-এ ব্যবহারকারী গ্রুপ সদস্যপদ পরিবর্তন করতে পারার সর্বোচ্চ ব্যবহারকারীর সংখ্যা কাস্টমাইজ করতে পারেন।

ডোমেইন কন্ট্রোলার থেকে খালি অনুসন্ধান প্রতিক্রিয়া সমাধান করার জন্য, আপনি এই পদক্ষেপগুলি অনুসরণ করতে পারেন:

1. নিম্নলিখিত উইন্ডোজ সেবাসমূহ নিশ্চিত করুন যে DC-তে চলমান এবং স্বয়ংক্রিয়ভাবে সেট আছে:

• সার্ভার
• WMI
• রিমোট রেজিস্ট্রি

2. আপনি DC-এর Microsoft LDAP নীতি বৈশিষ্ট্য MaxValRange সমন্বয় করতে পারেন। এই বৈশিষ্ট্যটি নিয়ন্ত্রণ করে কতগুলি মান ফিরিয়ে দেওয়া হবে। MaxValRange বাড়াতে বা সম্পূর্ণভাবে সীমাবদ্ধতা অপসারণ করতে নিম্নলিখিত দুটি নিবন্ধ ব্যবহার করুন। আপনি যদি AD বৈশিষ্ট্যটি পরিবর্তন না করতে চান, তবে Cato 1500 এর কম ব্যবহারকারীর সাথে গ্রুপগুলি সংগ্রহ করতে পারে।

টুল ntdsutil ব্যবহার করে MaxValRange সামঞ্জস্য করার বিষয়ে MS নিবন্ধ: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

নিয়মিতভাবে সীমাবদ্ধতা সম্পূর্ণভাবে অপসারণের বিষয়ে MS নিবন্ধ/ব্লগ:
https://docs.microsoft.com/bn/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

GPO ব্যবহার করার সময় অনুপস্থিত অডিট ইভেন্ট

চ্যালেঞ্জ

যদি আপনি উন্নত নিরাপত্তা অডিট নীতি সেটিংস সহ একটি GPO ব্যবহার করছেন এবং সব ইভেন্ট আইডি লগ হচ্ছে না, তাহলে সমাধানে বর্ণিত ধাপগুলি অনুসরণ করুন।

সমাধান

ডোমেইন কন্ট্রোলারের অডিট নীতির কনফিগারেশন পরীক্ষা করুন। আরও তথ্যের জন্য দেখুন ডোমেইন কন্ট্রোলারের জন্য অডিট নীতি কনফিগার করা।

ডোমেইন কন্ট্রোলারের জন্য অডিট নীতি কনফিগার করা

অডিট নীতি স্থানীয়ভাবে DC-তে সংজ্ঞায়িত হতে পারে অথবা GPO-এর মাধ্যমে প্রয়োগ করা যেতে পারে। GPO স্থানীয় নিরাপত্তা নীতি ওভাররাইড করে। উন্নত অডিট নীতি সেটিংস মৌলিক অডিট নীতি সেটিংসকে ওভাররাইড করে।

ব্যবহারকারীদের IP ঠিকানায় ম্যাপ করার জন্য উইন্ডোজ সিকিউরিটি লগের মধ্যে ব্যবহারকারী সচেতনতার ইভেন্ট আইডি দিয়ে অডিট নীতিটি কনফিগার করা আছে কিনা যাচাই করুন।

নিম্নলিখিত তালিকায় Cato অডিট নীতিতে যেসব ইভেন্ট আইডি ব্যবহার করে তা রয়েছে:

• 4768 - একটি Kerberos প্রমাণীকরণ টিকেট (TGT) অনুরোধ করা হয়েছিল
• 4769 - একটি Kerberos সার্ভিস টিকেট অনুরোধ করা হয়েছিল
• 4770 - একটি Kerberos সার্ভিস টিকেট নবীকরণ করা হয়েছিল
• 4776 - ডোমেইন নিয়ন্ত্রক একটি অ্যাকাউন্টের প্রমাণ-পত্রাদি যাচাই করতে চেয়েছিল\
• 4624 - একটি অ্যাকাউন্ট সফলভাবে লগ ইন করা হয়েছিল
• ৪৬৪৮ - স্পষ্ট শংসাপত্র ব্যবহার করে একটি লগঅন প্রচেষ্টা করা হয়েছিল
• ৫১৪০ - একটি নেটওয়ার্ক শেয়ার অবজেক্টে অ্যাক্সেস করা হয়েছে
• ৫১৪৫ - ক্লায়েন্টকে চাওয়া অ্যাক্সেস দেওয়া যায় কিনা তা দেখতে একটি নেটওয়ার্ক শেয়ার অবজেক্ট যাচাই করা হয়েছে

ডিসিতে স্থানীয়ভাবে অডিট নীতি কনফিগার করুন

1. লোকাল নিরাপত্তা নীতি খোলা.
2. মৌলিক অডিট নীতি কনফিগার করতে নিরাপত্তা সেটিংস > লোকাল নীতি > অডিট নীতি এ যান, অথবা উন্নত অডিট নীতি কনফিগার করতে নিরাপত্তা সেটিংস > উন্নত অডিট নীতি কনফিগারেশন > অডিট নীতি এ যান যা আরও সূক্ষ্ম লগিং নিয়ন্ত্রণ প্রদান করে.

গ্রুপ নীতি ব্যবহার করে অডিট নীতি কনফিগার করার জন্য:

1. গ্রুপ নীতি ব্যবস্থাপনা সম্পাদক খোলা.
2. অ্যাসাইন করা অ্যাকাউন্টগুলিতে প্রযোজ্য সমস্ত ডোমেইন নিয়ন্ত্রকগুলির জিপিওতে ডান ক্লিক করুন এবং "সম্পাদনা করুন" নির্বাচন করুন
3. মৌলিক অডিট নীতির জন্য কম্পিউটার কনফিগারেশন > নীতি > উইন্ডোজ সেটিংস > নিরাপত্তা সেটিংস > লোকাল নীতি > অডিট নীতি অথবা উন্নত অডিট নীতির জন্য কম্পিউটার কনফিগারেশন > নীতি > উইন্ডোজ সেটিংস > নিরাপত্তা সেটিংস > উন্নত অডিট নীতি কনফিগারেশন > অডিট নীতি সম্প্রসারণ করুন.

নিম্নলিখিত তালিকায় কাটো ব্যবহারকারী সচেতনতায় ব্যবহৃত ইভেন্ট আইডিগুলি অন্তর্ভুক্ত করে:

বেসিক অডিট নীতি

• লগঅন ইভেন্টস অডিট করুন - ৪৬২৪, ৪৬৪৮
• অ্যাকাউন্ট লগঅন ইভেন্টস অডিট করুন - ৪৭৬৮, ৪৭৬৯, ৪৭৭০, ৪৭৭৬
• অবজেক্ট অ্যাক্সেস অডিট করুন - ৫১৪০, ৫১৪৫

উন্নত অডিট নীতি

• অ্যাকাউন্ট লগঅন
  • কের্বেরাস প্রমাণীকরণ সেবা অডিট করুন – ৪৭৬৮
  • কের্বেরাস সার্ভিস টিকেট অপারেশন অডিট করুন - ৪৭৬৯, ৪৭৭০
  • শংসাপত্র যাচাই অডিট করুন – ৪৭৭৬
• লগঅন/লগঅফ
  • লগঅন অডিট করুন - ৪৬২৪, ৪৬৪৮
• অবজেক্ট অ্যাক্সেস
  • ফাইল শেয়ার অডিট করুন – ৫১৪০
  • বিস্তারিত ফাইল শেয়ার অডিট করুন - ৫১৪৫

আপনি কমান্ড প্রম্পট থেকে নিম্নলিখিত কমান্ড চালিয়ে ডিসিতে প্রযোজ্য প্রভাবশালী অডিট নীতি যাচাই করতে পারেন: auditpol /get /category:*