XOps Réseau Playbook - WMI Connectivité DC Playbook

Vue d'ensemble

Ce playbook vous guide pour résoudre l'alerte d'échec de synchronisation WMI, qui peut survenir en raison de plusieurs problèmes, tels que les autorisations ou des identifiants invalides.

Vérifier que la synchronisation planifiée a échoué

• Dans l'Atelier des Histoires, utilisez le préréglage Opérations Réseau et ajoutez un nouveau filtre d'indication avec "Échec de la connectivité aux services d'annuaire - WMI"
  
• Vérifiez qu'une histoire est générée comme indiqué ci-dessous.
  
• Vérifiez le message d'événement d'histoire et l'IP source pour trouver l'erreur et le serveur source.
  
• Dans l'AMG, accédez à Accès > Services d'annuaire > LDAP, trouvez l'entrée et cliquez sur "Tester la connexion" pour confirmer l'erreur.
• Rendez-vous dans la section de dépannage correspondante et suivez les étapes décrites pour résoudre le problème.

NT_STATUS_ACCESS_DENIED

Ce message d'erreur indique un problème d'autorisations. L'Application de gestion Cato notifie lorsqu'elle est incapable d'accéder au DC. Ce message d'erreur est généralement suivi de l'événement « DC_Connectivity_Failure » dans la section des analyses. L'Application de gestion Cato génère cet événement (une fois par heure) lorsque la connexion avec le DC échoue.

L'erreur apparaît dans l'AMG lors de la sélection de "Tester la connexion" dans Accès > Services d'annuaire > Section LDAP pour la synchronisation en temps réel, ou lors de l'envoi d'un email aux Admins de compte.

Causes possibles

• Le DC est désactivé
• Règles de pare-feu qui bloquent le trafic sur le DC 
• Problèmes de routage vers le DC
• Mauvaise configuration du contrôleur de domaine
• Mot de passe incorrect saisi dans Cato, ou expiration du mot de passe

Étapes de dépannage

1. Vérifiez le nom d'utilisateur et le mot de passe. Vérifiez que vous avez entré le bon DN d'identification et mot de passe. 
2. Vérifiez que le Socket Cato envoie le bon nom d'utilisateur dans la tentative de connexion en capturant les paquets (PCAP) sur l'interface LAN du Socket ou du DC lui-même.
   • Filtrez la capture pour l'adresse IP du DC et le port de destination 135.
   • En utilisant Wireshark, vous devriez voir un paquet avec Erreur au début du champ d'information et nca_s_fault_access_denied à la fin. Le paquet précédent contient le nom d'utilisateur et le domaine envoyés par Cato au DC comme indiqué dans la capture d'écran ci-dessous :
3. Vérifiez les autorisations de l'utilisateur pour lire le journal des événements à partir des paramètres du contrôleur de domaine. Suivez le guide d'aide en ligne - Configuration Windows.
4. Si vous avez activé la synchronisation quotidienne des groupes et utilisateurs du service d'annuaire (Sensibilisation de l'utilisateur), vérifiez que vous configurez les contrôleurs de domaine pour la synchronisation en temps réel. Cliquez sur « Tester la connexion » et voyez si vous obtenez un résultat « Connexion réussie ».
5. Vérifiez les événements dans la section Surveillance. Vous pouvez filtrer les événements en fonction du type d'événement : système et sous-type d'événement : Services d'annuaire et rechercher des erreurs de connectivité ou de synchronisation DC.
6. Suivez le guide d'aide en ligne et vérifiez les paramètres de configuration du contrôleur de domaine.
7. Vérifiez que le trafic n'est pas bloqué par Internet ou le pare-feu WAN. Une règle de pare-feu qui bloque les utilisateurs non identifiés peut bloquer l'utilisateur de synchronisation Cato et bloquer les services d'annuaire.
8. Mettez en œuvre toutes les étapes de la configuration dans le guide d'aide en ligne pour vérifier que chaque étape a été effectuée correctement. Si les autorisations ne sont pas bien définies sur le compte de service utilisé pour la connexion, vous obtiendrez une erreur d'accès refusé.

NT_STATUS_UNSUCCESSFUL

L'erreur apparaîtra lorsque le PoP ne peut pas accéder au contrôleur de domaine pour la synchronisation en temps réel. 
Cette erreur apparaît lors de la sélection de "Tester la connexion" dans l'AMG, sous Accès > Services d'annuaire > LDAP pour la synchronisation en temps réel.

Cette erreur indique généralement une mauvaise configuration des paramètres de la fonctionnalité Sensibilisation de l'utilisateur. Elle peut également survenir en raison d'une mauvaise configuration du pare-feu ou du routage. 

Causes possibles

• Les utilisateurs ne sont pas identifiés dans les événements et les analyses
• Le trafic est bloqué par le pares-feu Internet/WAN à cause des utilisateurs non identifiés 
• Nouvelle configuration de sensibilisation de l'utilisateur chez le client et erreurs de synchronisation DC 
• Mauvaise configuration de la sensibilisation de l'utilisateur
• Problème de routage

Étapes de dépannage

1. Vérifiez les événements et vérifiez s'il y a des événements d'utilisateurs non identifiés.
2. Vérifiez que le trafic n'est pas bloqué par le pare-feu Internet/WAN à cause des utilisateurs non identifiés.
3. Si c'est la première fois que vous activez la fonctionnalité Sensibilisation de l'utilisateur et que vous obtenez des erreurs de synchronisation DC, vérifiez que chaque étape est configurée correctement. 
4. Assurez-vous que le DC est opérationnel et en cours d’exécution.
5. Exécutez une capture de trafic à partir de l'interface utilisateur du Socket, en capturant les paquets (PCAP) sur l'interface LAN du Socket. 
   • Cliquez sur le bouton Afficher le statut. 
   • Arrêtez la capture et recherchez la requête WMI depuis le PoP Cato et la réponse du serveur dans le fichier de capture (en utilisant n'importe quel outil d'analyse de paquets réseau tel que Wireshark). Si le DC est derrière un site IPsec, effectuez la capture sur le DC lui-même.

NT_RPC_NT_CALL_FAILED

L'erreur indique que le service RPC sur le DC ne répond pas. Cette erreur apparaît lors de l'appui sur le bouton « Afficher le statut » dans les contrôleurs de domaine pour la synchronisation en temps réel. 

Causes possibles

• Le service RPC ou ses dépendances sont arrêtés ou ne répondent pas.
• Le service WMI est arrêté ou bloqué
• Une utilisation élevée du CPU ou de la mémoire provoque des dépassements de délai RPC.

Étapes de dépannage

1. Vérifiez que le contrôleur de domaine est activé et en cours d'exécution, et vérifiez le CPU et la mémoire. Parfois, une utilisation élevée du CPU ou de la mémoire surcharge le serveur.
2. Vérifiez que les services Windows du DC ont démarré et sont définis pour le démarrage automatique :
   • Serveur
   • Registre distant
   • WMI

Code NT 0x80010111

Cette erreur signifie que le PoP ne peut pas communiquer avec le DC en raison d'une incompatibilité d'en-tête RPC entre le PoP et le DC.

Causes possibles

Cette erreur est spécifique aux serveurs Windows 2022, où la version RPC du DC est validée. C'est un problème connu auquel les clients peuvent être confrontés. 

Étapes de dépannage

Si vous recevez cette erreur, veuillez ouvrir un ticket avec le support Cato pour y remédier.

Erreur de synchronisation UA Code NT 0xc002001b

L'erreur apparaît lorsque le service RPC sur le contrôleur de domaine n'a pas répondu.

Cette erreur peut apparaître lors de la sélection de "Tester la connexion" sous Accès > Sensibilisation de l'utilisateur > LDAP ou lors de l'envoi d'un email aux Admins de compte. Résultat possible :

• Les utilisateurs ne sont pas identifiés dans les événements et les analyses.
• Le trafic est bloqué par le pare-feu Internet/WAN à cause des utilisateurs non identifiés.
• Nouvelle configuration de sensibilisation de l'utilisateur chez le client et erreurs de synchronisation DC.

Causes possibles

Ce problème peut survenir en raison de ressources épuisées sur le contrôleur de domaine.

Étapes de dépannage

Les étapes suivantes sont des étapes de dépannage qui peuvent être suivies : 

1. Vérifiez que le contrôleur de domaine est activé et qu'il n'est pas épuisé (pas de pics de CPU ou RAM).
2. Augmentez la quantité de RAM et de CPU sur le serveur si possible.
   • Si l'ajout de ressources physiques supplémentaires au serveur n'est pas possible, suivez les étapes ci-dessous pour augmenter la mémoire du service Fournisseur WMI, gérer les quotas et réduire la taille des journaux des événements de sécurité :
   • Augmentez la MémoireParHôte WMI valeur (voir Augmenter les propriétés des quotas WMI aux valeurs maximales)
   • Suivez les étapes ci-dessous pour réduire la limite de taille du journal de sécurité à 1 Mo :
     • Ouvrez le Visualiseur d'événements
     • Naviguez vers Visualiseur d'événements > Journaux Windows > Sécurité
     • Cliquez-droit sur Sécurité et cliquez sur Propriétés
     • Définissez la Taille maximale du journal (Ko) à 1024
     • Lorsque la taille maximale du journal des événements est atteinte, sélectionnez Écraser les événements au besoin (les plus anciens événements d'abord) ou Archiver le journal lorsque plein, ne pas écraser les événements.
     • Cliquez sur OK
3. Vérifiez que les services requis du contrôleur de domaine sont en cours d'exécution (ouvrez services.msc et vérifiez que le Serveur, Registre distant et la Gestion des instruments Windows sont démarrés et définis pour le démarrage automatique.
4. Au cas où le contrôleur de domaine montre des signes de stress, il pourrait être nécessaire de redémarrer le serveur.

Impossible de se connecter au contrôleur de domaine 0xc0000001 NT_STATUS_UNSUCCESSFUL

Cette erreur générale peut résulter de mauvaises configurations du contrôleur de domaine. Nous recommandons de suivre le guide de configuration.

Impossible de se connecter au contrôleur de domaine (code 6)

Échec de RPC/accès ou problèmes de connectivité, indiquant que le système ne peut pas établir de communication avec un contrôleur de domaine (DC)

Causes possibles

• Problème de connectivité entre le DC et le Cloud Cato
• Le DC est hors ligne, en redémarrage ou surchargé.
• Le service RPC ou les dépendances ne fonctionnent pas sur le DC

Étapes de dépannage

Parfois, ce problème est résolu lorsque vous utilisez le WebUI du Socket pour déconnecter et reconnecter le Socket au Cloud Cato. 

Veuillez voir : https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

ATTENTION ! Une action de reconnexion du Socket déconnecte toutes les sessions en cours pour le site. Le Socket se reconnecte au Cloud Cato en quelques secondes, et la connectivité est rétablie immédiatement. Cependant, certains trafics sensibles à la connexion (comme les appels téléphoniques) sont abandonnés.

Pour effectuer une action de reconnexion sur le Socket :

1. Connectez-vous au WebUI du Socket, dans votre navigateur web, entrez https://<adresse IP du Socket Cato>
   Par exemple : https://10.0.0.26
2. Entrez le nom d'utilisateur et le mot de passe.
3. Sélectionnez l'onglet Paramètres de connexion Cato.
4. Cliquez sur Reconnecter :

5. Déconnectez-vous du WebUI du Socket.

Après avoir effectué l'action de reconnexion du Socket, l'erreur DC persiste. Voici quelques suggestions supplémentaires pour résoudre les problèmes de connectivité avec le DC :

1. Vérifiez la connexion DC au Cloud Cato.
2. Vérifiez qu'il y a une communication bidirectionnelle entre le DC et le Cloud Cato.

Pour vérifier que le DC est connecté au Cloud Cato :

1. Assurez-vous que votre DC est allumé.
2. Dans l'Application de gestion Cato, allez à Accueil > Topologie et assurez-vous que le site avec le DC est connecté au Cloud Cato.
3. Vérifiez que vous envoyez un ping au DC depuis un hôte sur un site différent, ou pendant que vous êtes connecté au VPN Cato.
4. Si vous ne pouvez pas envoyer un ping au DC, voici quelques façons de résoudre le problème :
   • Vérifiez Accueil > Événements pour un événement de blocage dans l'Application de gestion Cato. Devez-vous changer la politique du Pare-feu WAN pour autoriser le trafic ICMP vers le DC ?
   • Vérifiez la table de routage du DC et assurez-vous que le trafic est routé vers le Cato Socket ou le tunnel IPsec.
   • Vérifiez la politique du Pare-feu Windows sur le DC pour vous assurer que le trafic ICMP n'est pas bloqué.

Pour vérifier la communication entre le DC et le Cato Cloud :

1. Exécutez une capture de paquets sur l'interface LAN du Socket. Veuillez voir : https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
   • Si le DC est derrière un site IPsec, lancez la capture sur le DC lui-même.
2. Si une communication bidirectionnelle existe, vous pouvez voir une connexion sur TCP/135 vers votre DC initiée depuis la plage VPN Cato (10.41.0.0/16 par défaut).
   Note : Cato peut initier la connexion avec n'importe quelle adresse IP de la plage VPN.
   Note : À partir de Windows Server 2008, vous devez aussi autoriser TCP 49152-65535 pour le processus WMI à travers n'importe quel pare-feu. Ajouter une règle de pare-feu Windows pour le service WMI est également possible. Voir : https://docs.microsoft.com/fr/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Si vous ne trouvez pas une connexion montrant une communication bidirectionnelle, voici quelques étapes pour résoudre le problème :
   • Contactez le Support Cato si vous ne voyez aucun trafic de la plage VPN vers le DC.
   • Si vous ne voyez que des paquets SYN sur TCP/135 provenant de la plage VPN Cato vers votre DC, vérifiez la connectivité du DC :
     • Inspecter la table de routage du DC et assurez-vous que le trafic est routé vers le Cato Socket ou le tunnel IPsec.
     • Vérifiez la politique du Pare-feu Windows sur le DC et assurez-vous que le trafic n'est pas bloqué.

Créer des cas pour le Support Cato

Si suivre ce guide n'a pas résolu un problème, soumettez un ticket de Support. Pour obtenir la réponse la plus utile à une demande, un administrateur doit fournir les résultats des étapes de dépannage effectuées.