Problemas de Servicios de Directorios y Conciencia del Usuario Solución de Problemas

Este artículo describe problemas comunes de servicios de directorios y conciencia del usuario y soluciones sugeridas. Para más información, consulte Configuración del servidor Windows para servicios de directorios.

Error: No se puede conectar al controlador de dominio

Desafío

Este mensaje de error indica una falla de conectividad con el controlador de dominio (DC) principalmente por credenciales inválidas. Este mensaje de error generalmente va seguido por el mensaje de error "Credenciales inválidas".

Solución

Verifique que haya ingresado la Configuración de Conexión de Autenticación LDAP (Login DN, Base DN y contraseña) correctamente en la Aplicación de Gestión de Cato (Acceso > Servicios de Directorios).

Error: NT_STATUS_ACCESS_DENIED

Desafío

Este mensaje de error indica un problema de permisos. La Aplicación de Gestión de Cato notifica cuando no puede acceder al DC. Este mensaje de error generalmente va seguido por el evento: "DC_Connectivity_Failure" en la sección de análisis. La Aplicación de Gestión de Cato genera este evento (una vez por hora) cuando falla la conexión con el DC.

Solución

Siga estos pasos para solucionar este problema:

  1. Verifique el nombre de usuario y la contraseña. Verifique que haya ingresado el Login DN y la contraseña correctos. Verifique que el Socket de Cato envía el nombre de usuario correcto en el intento de conexión capturando los paquetes (PCAP) en la interfaz LAN del Socket o del propio DC.
  2. Verifique los permisos del usuario para leer el registro de eventos desde la configuración del controlador de dominio. Siga la guía de ayuda en línea - configuración de windows.
  3. Si habilitó la sincronización diaria de grupos y usuarios de servicios de directorios (Conciencia del Usuario), verifique que configure los Controladores de Dominio para Sincronización en Tiempo Real. Haga clic en "Probar Conexión" y vea si obtiene el resultado "Conexión Exitosa".
  4. Verifique los eventos en la sección de monitoreo. Puede filtrar los eventos según el tipo de evento: sistema y subtipo de evento: servicios de directorio y buscar errores de conectividad o sincronización de DC.
  5. Siga la guía de ayuda en línea y verifique la configuración del controlador de dominio.
  6. Verifique que el tráfico no esté bloqueado por el firewall de internet o WAN. La regla de firewall que bloquea a usuarios no identificados puede bloquear al usuario sincronizado de Cato y bloquear los servicios de directorio.
  7. Revise todos los pasos de configuración en la Guía de Ayuda en Línea nuevamente para verificar que cada paso se realizó correctamente. Si los permisos no están configurados correctamente en la cuenta de servicio utilizada para la conexión, obtendrá un error de acceso denegado.

Error: NT_STATUS_UNSUCCESSFUL

Desafío

La Aplicación de Gestión de Cato genera este error cuando el PoP no puede acceder al DC para sincronización en tiempo real. Este error aparece al hacer clic en el botón "Mostrar Estado" en la sección de controladores de dominio para la sincronización en tiempo real o por correo electrónico a los administradores de la cuenta.

Solución

Este error generalmente indica una mala configuración de los ajustes de la función de Conciencia del Usuario. También puede ocurrir debido a la configuración de firewall o enrutamiento. Siga estos pasos para solucionar el problema:

  1. Verifique los eventos y confirme si hay eventos de usuarios no identificados.
  2. Verifique que el tráfico no esté bloqueado por el Firewall de Internet/WAN debido a usuarios no identificados.
  3. Si es la primera vez que ha habilitado la función de Conciencia del Usuario y está obteniendo errores de sincronización de DC, confirme que cada paso esté configurado correctamente. 
  4. Asegúrese de que el DC esté encendido y funcionando.
  5. Ejecute una captura de tráfico desde la UI del Socket, capturando los paquetes (PCAP) en la interfaz LAN del Socket. Haga clic en el botón Mostrar Estado. Detenga la captura y busque la consulta WMI del PoP de Cato y la respuesta del servidor en el archivo de captura (utilizando cualquier herramienta de analizador de paquetes de red como Wireshark). Si el DC está detrás de un sitio IPsec, ejecute la captura en el propio DC.

Error: NT_RPC_NT_CALL_FAILED

Desafío

El error NT_RPC_NT_CALL_FAILED indica que el servicio RPC en el DC no responde. Este error aparece al hacer clic en el botón "Mostrar Estado" en los controladores de dominio para Sincronización en Tiempo Real. 

Solución

  1. Verifique que el controlador de dominio esté encendido y funcionando, y revise la CPU y la memoria. A veces, el alto uso de CPU o memoria causa la sobrecarga del servidor.
  2. Verifique que los servicios de Windows del DC estén iniciados y configurados para inicio automático:
    • Servidor
    • Registro Remoto
    • WMI

Error: NT Code 0x80010111

Desafío

Este error significa que el PoP no puede comunicarse con el DC por un desajuste de encabezados RPC entre el PoP y el DC.

Solución

Este error es común específicamente en Windows Server 2022 donde se valida la versión RPC del DC. Este es un problema conocido que los clientes pueden encontrar. Si recibe este error, por favor abra un ticket con Soporte de Cato para solucionarlo.

Error de Sincronización UA Código NT 0xc002001b

Problema

El error 0xc002001b Código NT 0xc002001b aparecerá cuando el servicio RPC en el controlador de dominio no haya respondido.

Este error puede aparecer al hacer clic en "Probar Conexión" bajo Acceso > Conciencia del Usuario > LDAP o al enviar un correo electrónico a los Administradores de la Cuenta. 

El problema puede causar:

  • Los usuarios no son identificados en Eventos y Análisis.
  • El tráfico es bloqueado por el Firewall de Internet/WAN debido a que los usuarios no están identificados.
  • Nueva configuración del cliente de Conciencia del Usuario y obteniendo errores de sincronización de DC. 

Posible Causa

Este problema podría ocurrir debido a recursos agotados en el controlador de dominio.

Resolución de Problemas

Los siguientes pasos son pasos de resolución de problemas que se pueden seguir: 

  • Verifique que el controlador de dominio esté encendido y que no esté agotado (sin picos de CPU o RAM).

    • Aumente la cantidad de RAM y CPU en el servidor si es posible.
    • Si no es posible agregar más recursos físicos al servidor, siga los pasos a continuación para aumentar la memoria del Servicio de Proveedores WMI, manejar cuotas y disminuir el tamaño de los registros de eventos de seguridad:
      Siga los pasos a continuación para reducir el límite de tamaño del registro de seguridad a 1MB:
      1. Abra el Visor de Eventos
      2. Navegue a Visor de Eventos > Registros de Windows > Seguridad
      3. Haga clic derecho en Seguridad y haga clic en Propiedades
      4. Establezca el tamaño máximo del registro (KB) en 1024
      5. Cuando se alcance el tamaño máximo del registro de eventos seleccione Sobrescribir eventos según sea necesario (eventos más antiguos primero) o Archivar el registro cuando esté lleno, no sobrescriba eventos.
      6. Haga clic en OK

  • Verifique que los servicios necesarios del controlador de dominio estén corriendo (abra services.msc y verifique que Servidor, Registro Remoto e Instrumentación de Gestión de Windows estén iniciados y configurados para inicio automático).

  • En caso de que el controlador de dominio muestre signos de estrés, podría ser necesario reiniciar el servidor.

Error: No se puede conectar al Controlador de Dominio 0xc0000001 NT_STATUS_UNSUCCESSFUL

Si ve el mensaje de error de estado no exitoso en la Aplicación de Gestión de Cato como sigue:

No se puede conectar al Controlador de Dominio 0xc0000001 NT_STATUS_UNSUCCESSFUL . Verifique que haya integrado correctamente el Controlador de Dominio con la Red Cato. Si el problema persiste, contacte al Soporte de Cato para obtener asistencia. Haga clic aquí para detalles.

Este es un error general que puede ser el resultado de malas configuraciones del Controlador de Dominio. Recomendamos seguir la guía de configuración.

Error - No se puede conectar al Controlador de Dominio (código 6)

Si ve un error de conexión código 6 en la Aplicación de Gestión de Cato, como sigue:

Hay algunos pasos que puede seguir para resolver el problema.

Reconexión de Socket Cato

A veces este problema se resuelve cuando utiliza el Socket WebUI para desconectar y reconectar el Socket a la Nube de Cato.

¡ADVERTENCIA! Una acción de reconexión del Socket desconecta todas las sesiones actuales para el sitio. El Socket se reconecta a la Nube de Cato en unos pocos segundos, y luego la conectividad se restaura inmediatamente. Sin embargo, algo de tráfico sensible a la conexión (como llamadas telefónicas) se pierde.

Para realizar una acción de reconexión en el Socket:

  1. Conéctese al WebUI del Socket, en su navegador web, ingrese https://<Dirección IP del Socket Cato>
    Por ejemplo: https://10.0.0.26
  2. Ingrese el nombre de usuario y la contraseña.
  3. Seleccione la pestaña Configuración de Conexión de Cato.
  4. Haga clic en Reconnectar.
  5. Cierre sesión en el Socket WebUI.

Resolución de Problemas de Conectividad al DC

Después de realizar la acción de reconexión del Socket, el error del DC aún persiste, aquí hay algunas sugerencias adicionales para solucionar la conectividad al DC:

  1. Verifique la conexión del DC a la Nube de Cato.
  2. Verifique que haya comunicación bidireccional entre el DC y la Nube de Cato.

Para verificar que el DC esté conectado a la Nube de Cato:

  1. Asegúrese de que su DC esté encendido.
  2. En la Aplicación de Gestión de Cato, vaya a Inicio > Topología y asegúrese de que el sitio con el DC esté conectado a la Nube de Cato.
  3. Verifique que pueda hacer ping al DC desde un host en un sitio diferente, o mientras esté conectado a la VPN de Cato.
  4. Si no puede hacer ping al DC, aquí hay algunas formas de solucionar el problema:
    • En la Aplicación de Gestión de Cato, verifique Inicio > Eventos para un evento de bloqueo. ¿Necesita cambiar la política de Firewall WAN para permitir tráfico ICMP al DC?
    • Verifique la tabla de enrutamiento en el DC y asegúrese de que el tráfico esté siendo dirigido al Socket de Cato o al túnel IPsec.
    • Verifique la política de Firewall de Windows en el DC para asegurarse de que el tráfico ICMP no esté bloqueado.

Para verificar la comunicación entre el DC y la Nube de Cato:

  1. Ejecute una captura de paquetes ya sea en la interfaz LAN del Socket.
    • Si el DC está detrás de un sitio IPsec, ejecute la captura en el propio DC.
  2. Si hay comunicación bidireccional, puede ver una conexión en TCP/135 a su DC iniciada desde el rango VPN de Cato (10.41.0.0/16 por defecto).
    Nota: Cato puede usar cualquier dirección IP del rango VPN para iniciar la conexión.
    Nota: A partir de Windows Server 2008, también debe permitir TCP 49152-65535 para el proceso WMI a través de cualquier firewall. También es posible agregar una regla de firewall de Windows específicamente para el servicio WMI.  Consulte: https://docs.microsoft.com/es/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. Si no puede encontrar una conexión que muestre comunicación bidireccional, aquí hay algunas formas para solucionar el problema:
    • Si no ve ningún tráfico proveniente del rango VPN al DC, comuníquese con el soporte de Cato.
    • Si solo ves paquetes SYN en TCP/135 desde el rango VPN de Cato hacia tu DC, revisa la conectividad del DC:
      1. Inspeccionar la tabla de enrutamiento en el DC y asegurarse de que el tráfico esté dirigido al Socket de Cato o al túnel IPsec.
      2. Verifica la política del Firewall de Windows en el DC y asegúrate de que el tráfico no esté bloqueado.

Usuario No Mapeado por Conocimiento de Usuarios

Desafío

En algunos casos, los usuarios se muestran como "usuario no mapeado" en la ventana de Descubrimiento de Eventos. La razón de un usuario no mapeado es que el PoP pudo descubrir el nombre de usuario en tiempo real (utilizando consultas WMI) pero este usuario no fue importado durante la sincronización LDAP y está sin identificar. Por lo tanto, el campo de Nombre AD del evento muestra usuario no mapeado.

Solución

  1. Verifica que el usuario pertenezca al grupo. Si configuraste los Servicios de Directorio de Cato para importar usuarios y grupos desde el DC, y un usuario no pertenece al grupo configurado, entonces aparece como un usuario no mapeado.
  2. Verifica la configuración de la política de auditoría para el DC. Para más información, consulta Configuración de la Política de Auditoría para el Controlador de Dominio.

Eventos de Inicio de Sesión No Aparecen en el Descubrimiento de Eventos

Desafío

Si activaste Conocimiento de Usuarios para tu cuenta pero no puedes ver ningún evento de inicio de sesión de usuarios en el Descubrimiento de Eventos, sigue los pasos descritos en la siguiente solución.

Solución

Verifique la configuración de la política de auditoría en el DC. Para más información consulta Configuración de la Política de Auditoría para el Controlador de Dominio.

La Sincronización de Servicios de Directorio No Importa Usuarios

Desafío

Con Conocimiento de Usuarios, se muestra en tiempo real cuáles son los nombres de usuario de los anfitriones detrás de los sitios. Te permite ver los nombres de usuario de los anfitriones y no solo las direcciones IP en las secciones de Analítica. Los usuarios se llenan desde la Sincronización de Servicios de Directorio. La Sincronización utiliza LDAP para consultar el servidor de Active Directory (AD). A veces la sincronización LDAP falla por diferentes razones. Por ejemplo, LDAP de Microsoft tiene una limitación conocida que solo permite devolver objetos con menos de 1500 atributos en cualquier consulta única. Las grandes organizaciones pueden fácilmente tener más de 1500 miembros asignados a un grupo. Por lo tanto, cuando el PoP ejecuta la consulta LDAP, cualquier grupo con más de 1500 miembros devolverá una lista de miembros vacía a la Aplicación de Gestión de Cato, lo que resulta en usuarios desactivados/eliminados en CMA.

Solución

Como se menciona en Sincronización de Usuarios con LDAP, para prevenir la desactivación/eliminación no deseada de usuarios debido a esta limitación, puedes personalizar el número máximo de usuarios que pueden cambiar la membresía del grupo de usuarios en una sola sincronización configurando la opción "Prevenir la actualización de membresía de grupo" en el CMA.

Para resolver la respuesta de consulta vacía del Controlador de Dominio, puedes seguir estos pasos:

  1. Verifica que los siguientes servicios de Windows en el DC estén ejecutándose y configurados como automáticos:
  • Servidor
  • WMI
  • Registro Remoto
  1. Puedes ajustar el atributo de política LDAP de Microsoft del DC para MaxValRange. Este atributo controla cuántos valores serán devueltos. Utilice los siguientes dos artículos para aumentar el MaxValRange o eliminar la restricción por completo. Si no deseas modificar el atributo AD, entonces Cato puede recoger grupos con menos de 1500 usuarios.

Artículo de Microsoft sobre cómo ajustar MaxValRange usando la herramienta ntdsutil: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

Artículo/blog de Microsoft sobre cómo eliminar la restricción completamente:
https://docs.microsoft.com/es/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

Eventos de Auditoría Faltantes al Usar GPO

Desafío

Si estás usando un GPO con configuraciones de política de auditoría de seguridad avanzada y no todos los ID de eventos se están registrando, sigue los pasos que se describen en la solución.

Solución

Verifique la configuración de la política de auditoría para el DC. Para más información consulta Configuración de la Política de Auditoría para el Controlador de Dominio.

Configuración de la Política de Auditoría para el Controlador de Dominio

La política de auditoría puede ser definida localmente en el DC o aplicada a través de GPO. GPO sobrescribe la política de seguridad local. La configuración de política de auditoría avanzada sobrescribe la configuración básica de política de auditoría.

Verifica que la política de auditoría esté configurada con los IDs de evento que utiliza el Conocimiento de Usuarios en el registro de seguridad de Windows para mapear usuarios a direcciones IP.

La siguiente lista contiene los IDs de evento que Cato utiliza en la política de auditoría:

  • 4768 - Se solicitó un ticket de autenticación Kerberos (TGT)
  • 4769 - Se solicitó un ticket de servicio Kerberos
  • 4770 - Se renovó un ticket de servicio Kerberos
  • 4776 - El controlador de dominio intentó validar las credenciales para una cuenta\
  • 4624 - Una cuenta inició sesión con éxito
  • 4648 - Se intentó un inicio de sesión usando credenciales explícitas
  • 5140 - Se accedió a un objeto de recurso compartido de red
  • 5145 - Se verificó un objeto de recurso compartido de red para ver si el cliente puede recibir el acceso deseado

 

Para Configurar la Política de Auditoría Localmente en el DC

  1. Abre la Política de Seguridad Local.
  2. Ve a Configuración de Seguridad > Políticas Locales > Política de Auditoría para configurar la política de auditoría básica, o ve a Configuración de Seguridad > Configuración Avanzada de Política de Auditoría > Política de Auditoría para configurar la política de auditoría avanzada que proporciona un control más granular sobre el registro.

 

Para Configurar la Política de Auditoría usando Directiva de Grupo:

  1. Abre Editor de Gestión de Directivas de Grupo.
  2. Haz clic derecho en el GPO que se aplica a todos los Controladores de Dominio y selecciona "Editar"
  3. Expande Configuración de Equipo > Directivas > Configuración de Windows > Configuración de Seguridad > Políticas Locales > Política de Auditoría para la política de auditoría básica o Configuración de Equipo > Directivas > Configuración de Windows > Configuración de Seguridad > Configuración Avanzada de Política de Auditoría > Política de Auditoría para la política de auditoría avanzada.

 

La siguiente lista contiene los IDs de Eventos que usa el Conocimiento de Usuarios de Cato:

Política de Auditoría Básica

  • Auditar eventos de inicio de sesión - 4624, 4648
  • Auditar eventos de inicio de sesión de cuenta - 4768, 4769, 4770, 4776
  • Auditar acceso a objetos - 5140, 5145

 

Política de Auditoría Avanzada

  • Inicio de Sesión de Cuenta
    • Auditar Servicio de Autenticación Kerberos – 4768
    • Auditar Operaciones de Ticket de Servicio Kerberos - 4769, 4770
    • Auditar Validación de Credenciales – 4776
  • Inicio y Cierre de Sesión
    • Auditar Inicio de Sesión - 4624, 4648
  • Acceso a Objetos
    • Auditar Compartición de Archivos – 5140
    • Auditar Detalles de Compartición de Archivos - 5145

Puedes verificar cuál es la política de auditoría efectiva en un DC ejecutando el siguiente comando desde un símbolo del sistema: auditpol /get /category:*

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios