Problema
Después de configurar Conciencia de Usuario y asegurarse de que las pruebas de conexión del Controlador WMI sean exitosas en Acceso > Conciencia de Usuario, algunos usuarios aún no están siendo identificados.
Solución
1. Verifique la Política de Auditoría en los Controladores de Dominio
Asegúrese de que Auditar eventos de inicio de sesión de cuenta y Auditar eventos de inicio de sesión estén configurados como Éxito en la Política de Seguridad Local en cada Controlador de Dominio.
La Política de Auditoría se encuentra bajo Configuraciones de Seguridad > Políticas Locales > Política de Auditoría en los ajustes de la Política de Seguridad Local.
Nota: La Política de Auditoría puede ser controlada por GPO. Si "auditar eventos de inicio de sesión de cuenta" está configurado en "sin auditoría" y la política es controlada por GPO, necesitará editar los ajustes en el GPO. No podrá modificar la configuración en la Política de Seguridad Local.
Si los eventos de inicio de sesión están configurados para éxito, podrá ver los eventos en el Visor de Eventos en el Controlador de Dominio. Cato lee los siguientes ID de eventos para propósitos de Conciencia de Usuario:
- 4624
- 4768
- 4769
- 4770
- 5140
- 5145
2. Asegúrese de que todos los Controladores de Dominio se agreguen a los controladores WMI para sincronización en tiempo real en la Aplicación de Gestión de Cato
Los eventos de auditoría no se replican a través de los Controladores de Dominio, por lo que es necesario agregar todos los controladores de dominio con los que los usuarios puedan autenticarse a la configuración de controladores WMI para sincronización en tiempo real en la Aplicación de Gestión de Cato. Si un usuario se autentica contra un Controlador de Dominio que no está agregado a la configuración, Cato no podrá leer el evento de inicio de sesión para ese usuario, y el usuario no será identificado.
Después de agregar todos los Controladores de Dominio a la Aplicación de Gestión de Cato, también asegúrese de que la prueba de conexión sea exitosa para todos ellos.
3. Verifique que el controlador de dominio esté activo y que no esté agotado
Confirme que no se están produciendo picos de CPU o RAM en el Controlador de Dominio que puedan afectar la consulta WMI para Conciencia de Usuario. Si el Controlador de Dominio presenta agotamiento de recursos, siga los pasos a continuación:
- Aumente la cantidad de RAM y CPUs en el servidor si es posible.
-
Si no es posible agregar más recursos físicos al servidor, siga los pasos a continuación para aumentar la memoria del Servicio de Proveedor WMI, manejar cuotas y disminuir el tamaño de los registros de eventos de Seguridad:
- Aumente el valor de WMI MemoryPerHost (vea Aumentar las propiedades de cuota de WMI a valores máximos)
- Abra el Visor de Eventos
- Navegue a Visor de Eventos > Registros de Windows > Seguridad
- Haga clic derecho en Seguridad y luego en Propiedades
- Fije el tamaño máximo del registro (KB) a 1024
- Cuando el tamaño máximo del registro de eventos es alcanzado seleccione Sobrescribir eventos según sea necesario (eventos más antiguos primero) o Archivar el registro cuando esté lleno, no sobrescribir eventos.
- Haga clic en OK
4. Verifique que el usuario haya generado un evento de inicio de sesión en un Controlador de Dominio.
Puede determinar a qué Controlador de Dominio se autenticó un usuario a través de cualquiera de los siguientes comandos desde el símbolo del sistema en la computadora del usuario:
- set l
- echo %logonserver%
- nltest /dsgetdc:domain.com
Después de determinar el Controlador de Dominio de autenticación, abra el Visor de Eventos en ese controlador y vaya a Registros de Windows > Seguridad. Puede agregar un filtro para el ID del evento de inicio de sesión de la lista anterior, como 4624, y luego buscar el nombre de usuario.
Si encuentra un evento de inicio de sesión exitoso para el usuario, y ese Controlador de Dominio pasó la prueba de conexión de los controladores WMI para sincronización en tiempo real en la Aplicación de Gestión de Cato, entonces la Conciencia de Usuario debería estar funcionando para el usuario. Si la Conciencia de Usuario aún no funciona, por favor contacte con el soporte de Cato para obtener asistencia.
Si no encuentra un evento de inicio de sesión exitoso para el usuario, puede ejecutar una consulta WMI desde el símbolo del sistema en una computadora conectada al dominio para verificar que el usuario esté conectado a la computadora.
Consulta WMI usando dirección IP:
WMIC /NODE: <dirección IP> COMPUTERSYSTEM GET USERNAME
Ejemplo:
5. Verifique que el usuario esté habilitado en la Aplicación de Gestión de Cato
Los usuarios importados a la Aplicación de Gestión de Cato pueden ser deshabilitados, ya sea eliminándolos del grupo de usuarios en el lado del IdP o deshabilitándolos manualmente en la Aplicación de Gestión de Cato. Los usuarios con estado deshabilitado no serán mapeados por la Conciencia de Usuario.
Asegúrese de que el usuario esté habilitado en la Aplicación de Gestión de Cato.
0 comentarios
Inicie sesión para dejar un comentario.