XOps Playbook de Red - Playbook de Conectividad con los Servicios de Directorio WMI

Resumen

Este playbook lo guía a través de la resolución de la alerta de falla de Sincronización WMI, que puede ocurrir debido a múltiples problemas, como permisos o credenciales inválidas.

Verificar que la sincronización programada falló

• En la Mesa de Trabajo de Historias, use el ajuste preestablecido de Operaciones de Red y agregue un nuevo filtro de Indicación con "Fallo de Conectividad con Servicios de Directorio - WMI"
  
• Verifique que se genere una historia como se muestra a continuación.
  
• Verifique el mensaje de evento de historia y la IP de Origen para encontrar el error y el servidor de origen.
  
• En CMA, Explore a Acceso > Servicios de Directorio > LDAP, encuentre la entrada y haga clic en "Probar Conexión" para confirmar el error.
• Proceda a la sección de resolución de problemas correspondiente y siga los pasos descritos para resolver el problema.

NT_STATUS_ACCESS_DENIED

Este mensaje de error indica un problema de permisos. La Aplicación de Gestión de Cato notifica cuando no puede acceder al DC. Este mensaje de error generalmente va seguido de un evento “Fallo de Conectividad con Servicios de Directorio” en la sección de análisis. La Aplicación de Gestión de Cato genera este evento (una vez por hora) cuando la conexión con el DC falla.

El error aparece en CMA al seleccionar "Probar Conexión" en Acceso > Servicios de Directorio > sección LDAP para Sincronización en Tiempo Real, o al enviar un correo electrónico a los Administradores de Cuentas.

Posibles Causas

• El DC está abajo
• Reglas de firewall que bloquean el tráfico en el DC 
• Problemas de enrutamiento hacia el DC
• Mala configuración del Controlador de Dominio
• Contraseña incorrecta ingresada en Cato, o caducidad de la contraseña

Pasos de Resolución de Problemas

1. Verifique el nombre de usuario y la contraseña. Verifique que haya ingresado correctamente el DN de Inicio de Sesión y la contraseña. 
2. Verifique que el Socket de Cato envíe el nombre de usuario correcto en el intento de conexión capturando los paquetes (PCAP) en la interfaz LAN del Socket o el mismo DC.
   • Filtre la captura para la dirección IP del DC y el puerto de destino 135.
   • Usando Wireshark, debe ver un paquete con Fallo al inicio del campo de información y nca_s_fault_access_denied al final. El paquete anterior contiene el nombre de usuario y dominio enviados por Cato al DC, como se muestra en la captura de pantalla a continuación:
3. Verifique los permisos del usuario para leer el registro de eventos desde la configuración del controlador de dominio. Siga la guía de ayuda en línea - configuración de Windows.
4. Si ha habilitado la sincronización diaria de Grupos de Servicios de Directorio y Usuarios (Conciencia de Usuario), verifique que configure los Controladores de Dominio para Sincronización en Tiempo Real. Haga clic en "Probar Conexión" y vea si obtiene un resultado "Conexión Exitosa".
5. Verifique los eventos en la sección de Monitorización de Eventos. Puede filtrar los eventos según el tipo de evento: sistema y subtipo de evento: Servicios de Directorio y buscar errores de conectividad o sincronización del DC.
6. Siga la guía de ayuda en línea y verifique la configuración del controlador de dominio.
7. Verifique que el tráfico no esté bloqueado por el internet o el firewall WAN. Una regla de firewall que bloquea usuarios no identificados puede bloquear al usuario de sincronización de Cato y bloquear los servicios de directorio.
8. Recorra todos los pasos de configuración en la Guía de Ayuda en Línea nuevamente para verificar que cada paso se haya realizado correctamente. Si los permisos no están configurados correctamente en la cuenta de servicio utilizada para la conexión, obtendrá un error de acceso denegado.

NT_STATUS_UNSUCCESSFUL

El error aparecerá cuando el Punto de Presencia (PoP) no pueda acceder al Controlador de Dominio para sincronización en tiempo real. 
This error shows up when selecting "Test Connection" in CMA, under Access > Directory Services > LDAP for Real-Time Sync.

Este error generalmente indica una mala configuración de los ajustes de la función Conciencia de Usuario. También puede ocurrir debido a una mala configuración de firewall o enrutamiento. 

Posibles Causas

• Los usuarios no están identificados en Eventos y Análisis
• El tráfico está bloqueado por el Firewall de Internet/WAN debido a que los usuarios no están identificados 
• La nueva configuración de Conciencia de Usuario del cliente está generando errores de sincronización del DC 
• Mala configuración de Conciencia de Usuario
• Problema de enrutamiento

Pasos de Resolución de Problemas

1. Verifique los Eventos y compruebe si hay eventos de usuarios no identificados.
2. Verifique que el tráfico no esté bloqueado por el Firewall de Internet/WAN debido a usuarios no identificados.
3. Si es la primera vez que ha habilitado la función Conciencia de Usuario y está obteniendo errores de sincronización del DC, verifique que cada paso esté configurado correctamente. 
4. Asegúrese de que el DC esté encendido y funcionando.
5. Ejecute una captura de tráfico desde la interfaz del Socket, capturando los paquetes (PCAP) en la interfaz LAN del Socket. 
   • Haga clic en el botón Mostrar Estado. 
   • Detenga la captura y busque la consulta WMI del PoP de Cato y la respuesta del servidor en el archivo de captura (usando cualquier herramienta de análisis de paquetes de red como Wireshark). Si el DC está detrás de un sitio IPsec, ejecute la captura en el mismo DC.

NT_RPC_NT_CALL_FAILED

El error indica que el servicio RPC en el DC no responde. Este error aparece al hacer clic en el botón "Mostrar Estado" en los Controladores de Dominio para Sincronización en Tiempo Real. 

Posibles Causas

• El servicio RPC o sus dependencias están detenidos o no responden.
• El servicio WMI está detenido o colgado
• Alta utilización de CPU o memoria está causando agotamientos del tiempo RPC.

Pasos de Resolución de Problemas

1. Verifique que el Controlador de Dominio esté arriba y en curso, y compruebe el uso de CPU y memoria. A veces, un uso elevado de CPU o memoria causa una sobrecarga del servidor.
2. Verifique que los servicios de Windows del DC estén iniciados y configurados para inicio automático:
   • Servidor
   • Registro Remoto
   • WMI

NT Code 0x80010111

Este error significa que el PoP no puede comunicarse con el DC debido a una discordancia de encabezado RPC entre el PoP y el DC.

Posibles Causas

Este error específicamente es común en Windows Server 2022, donde se valida la versión RPC del DC. Este es un problema conocido al que los clientes pueden enfrentarse. 

Pasos de Resolución de Problemas

Si recibe este error, por favor, abra un ticket con Soporte de Cato para solucionarlo.

UA Sync Error NT code 0xc002001b

El error aparece cuando el servicio RPC en el controlador de dominio ha dejado de responder.

Este error puede aparecer al seleccionar "Probar Conexión" bajo Acceso > Conciencia del Usuario > LDAP o al enviar un correo electrónico a los Administradores de Cuentas. Resultado posible:

• Los usuarios no están identificados en Eventos y Análisis.
• El tráfico está bloqueado por el Firewall de Internet/WAN debido a que los usuarios no están identificados.
• La nueva configuración de Conciencia de Usuario del cliente está generando errores de sincronización del DC.

Posibles Causas

Este problema podría ocurrir debido a recursos agotados en el controlador de dominio.

Pasos de Resolución de Problemas

Los siguientes pasos son pasos de resolución de problemas que se pueden seguir: 

1. Verifique que el controlador de dominio esté arriba y que no esté agotado (sin picos de CPU o RAM).
2. Aumente la cantidad de RAM y CPUs en el servidor si es posible.
   • Si no es posible agregar más recursos físicos al servidor, siga los pasos a continuación para aumentar la memoria del Servicio Proveedor WMI, manejar cuotas, y disminuir el tamaño de los registros de Eventos de Seguridad:
   • Aumente el valor MemoryPerHost de WMI (vea Aumentar propiedades de cuota de WMI a valores máximos)
   • Siga los pasos a continuación para reducir el límite de tamaño del Registro de Seguridad a 1MB:
     • Abierto el Visor de Eventos
     • Navegar a Visor de Eventos > Registros de Windows > Seguridad
     • Haga clic derecho en Seguridad y haga clic en Propiedades
     • Configurar el tamaño máximo de registro (KB) a 1024
     • Cuando el tamaño máximo del registro de eventos se alcance, seleccione Sobrescribir eventos según sea necesario (eventos más antiguos primero) o Archivar el registro cuando esté completo, no sobrescribir eventos.
     • Haga clic en OK
3. Verifique que los servicios requeridos del controlador de dominio estén funcionando (abra services.msc y verifique que Servidor, Registro Remoto, y Instrumentación de Gestión de Windows estén iniciados y configurados para inicio automático).
4. En caso de que el controlador de dominio muestre signos de estrés, podría ser requerido reiniciar el servidor.

Cannot connect to Domain Controller 0xc0000001 NT_STATUS_UNSUCCESSFUL

Este error general puede resultar de configuraciones erróneas del Controlador de Dominio. Recomendamos seguir la guía de configuración.

Cannot connect to Domain Controller (code 6)

Fallo/acceso de RPC o problemas de conectividad, indicando que el sistema no puede establecer comunicación con un Controlador de Dominio (DC)

Posibles causas

• Problema de conectividad entre el DC y la Nube Cato
• El DC está desconectado, reiniciando, o sobrecargado.
• El servicio RPC o sus dependencias no están corriendo en el DC

Pasos de Resolución de Problemas

A veces este problema se resuelve cuando usa la Interfaz Web del Socket para desconectar y reconectar el Socket a la Nube Cato. 

Para hacerlo, consulte https://support.catonetworks.com/hc/es/articles/4413265669905-Accessing-the-Socket-WebUI. 

¡Advertencia! Una acción de reconexión del Socket desconecta todas las sesiones actuales para el sitio. El Socket se reconecta a la Nube Cato en unos pocos segundos, y la conectividad se restaura inmediatamente. Sin embargo, algunos tráficos sensibles a la conexión (como llamadas telefónicas) son descartados.

Para realizar una acción de reconexión en el Socket:

1. Conéctese a la Interfaz Web del Socket, en su navegador, ingrese https://<Dirección IP del Socket de Cato>
   Por ejemplo: https://10.0.0.26
2. Ingrese el nombre de usuario y la contraseña.
3. Seleccione la pestaña Configuración de Conexión Cato.
4. Haga clic en Reconectar:

5. Cerrar sesión de la Interfaz Web del Socket.

Después de realizar la acción de reconexión del Socket, el error del DC persiste. Aquí hay algunas sugerencias adicionales para solucionar los problemas de conectividad al DC:

1. Verifique la conexión DC a la Nube Cato.
2. Verifique que haya comunicación bidireccional entre el DC y la Nube Cato.

Para verificar que el DC esté conectado a la Nube Cato:

1. Asegúrese de que su DC esté encendido.
2. En la Aplicación de Gestión de Cato, vaya a Inicio > Topología y asegúrese de que el sitio con el DC esté conectado a la Nube Cato.
3. Verifica que hagas ping al DC desde un host en un sitio diferente, o mientras estés conectado a la VPN de Cato.
4. Si no puedes hacer ping al DC, aquí hay algunas formas de solucionar el problema:
   • Verifica Hogar > Eventos para un evento de bloqueo en la Aplicación de Gestión de Cato. ¿Necesitas cambiar la política del Cortafuegos WAN para permitir tráfico ICMP al DC?
   • Verifica la tabla de enrutamiento del DC y asegúrate de que el tráfico esté enrutado al Socket de Cato o túnel IPsec.
   • Verifica la política del Firewall de Windows en el DC para asegurarte de que el tráfico ICMP no esté bloqueado.

Para verificar la comunicación entre el DC y la Nube de Cato:

1. Ejecuta una captura de paquetes en la interfaz LAN del Socket. Por favor consulta: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
   • Si el DC está detrás de un sitio IPsec, ejecuta la captura en el propio DC.
2. Si hay comunicación bidireccional, puedes ver una conexión en TCP/135 a tu DC iniciada desde el rango de VPN de Cato (10.41.0.0/16 por defecto).
   Nota: Cato puede iniciar la conexión con cualquier dirección IP del rango de VPN.
   Nota: A partir de Windows Server 2008, también debes permitir TCP 49152-65535 para el proceso WMI a través de cualquier firewall. También es posible agregar una regla de firewall de Windows para el servicio WMI. Consulta: https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Si no puedes encontrar una conexión que muestre comunicación bidireccional, aquí hay algunos pasos para solucionar el problema:
   • Contacta al Soporte de Cato si no ves tráfico del rango de VPN hacia el DC.
   • Si solo ves paquetes SYN en TCP/135 desde el rango de VPN de Cato hacia tu DC, verifica la conectividad del DC:
     • Inspecciona la tabla de enrutamiento del DC y asegura que el tráfico esté enrutado al Socket de Cato o túnel IPsec.
     • Verifica la política del Firewall de Windows en el DC y asegúrate de que el tráfico no esté bloqueado.

Elevando Casos al Soporte de Cato

Si al seguir este libro de jugadas no se ha resuelto un problema, envía un ticket de Soporte. Para obtener la respuesta más útil a una solicitud, un administrador debe proporcionar los resultados de los pasos de solución de problemas realizados.