Cet article décrit les problèmes courants liés aux services d'annuaire et à la sensibilisation des utilisateurs, et propose des solutions suggérées. Pour plus d'informations, voir Configuration du serveur Windows pour les services d'annuaire.

Erreur : Impossible de se connecter au contrôleur de domaine

Défi

Ce message d'erreur indique une défaillance de connectivité avec le contrôleur de domaine (DC) principalement due à des identifiants invalides. Ce message d'erreur est généralement suivi d'un message d'erreur « Identifiants invalides ».

Solution

Vérifiez que vous avez saisi correctement les paramètres de connexion d'authentification LDAP (Login DN, Base DN et mot de passe) dans l'application de gestion Cato (Accès > Services d'annuaire).

Erreur : NT_STATUS_ACCESS_DENIED

Défi

Ce message d'erreur indique un problème de permissions. L'application de gestion Cato notifie lorsqu'elle ne parvient pas à accéder au DC. Ce message d'erreur est généralement suivi de l'événement : « DC_Connectivity_Failure » dans la section analytique. L'application de gestion Cato génère cet événement (une fois par heure) lorsque la connexion avec le DC échoue.

Solution

Suivez ces étapes pour résoudre ce problème :

1. Vérifiez le nom d'utilisateur et le mot de passe. Vérifiez que vous avez saisi le Login DN et le mot de passe corrects. Vérifiez que le Socket Cato envoie le nom d'utilisateur correct lors de la tentative de connexion en capturant les paquets (PCAP) sur l'interface LAN du Socket ou du DC lui-même.
2. Vérifiez les permissions de l'utilisateur pour lire le journal des événements des paramètres du contrôleur de domaine. Suivez le guide d'aide en ligne - configuration de windows.
3. Si vous avez activé la synchronisation quotidienne des groupes et utilisateurs des services d'annuaire (Sensibilisation des utilisateurs), vérifiez que vous avez configuré les contrôleurs de domaine pour la synchronisation en temps réel. Cliquez sur « Test Connection » et vérifiez si vous obtenez le résultat « Connection Successful ».
4. Vérifiez les événements dans la section Monitoring. Vous pouvez filtrer les événements en fonction du type d'événement : système et sous-type d'événement : Services d'annuaire et rechercher les erreurs de connectivité ou de synchronisation du DC.
5. Suivez le guide d'aide en ligne et vérifiez les paramètres de configuration du contrôleur de domaine.
6. Vérifiez que le trafic n'est pas bloqué par le pare-feu Internet ou WAN. La règle de pare-feu qui bloque les utilisateurs non identifiés peut bloquer l'utilisateur de synchronisation Cato et bloquer les services d'annuaire.
7. Passez en revue toutes les étapes de configuration dans le Guide d'Aide en Ligne une nouvelle fois pour vérifier que chaque étape a été réalisée correctement. Si les permissions ne sont pas correctement définies sur le compte de service utilisé pour la connexion, vous obtiendrez une erreur d'accès refusé.

Erreur : NT_STATUS_UNSUCCESSFUL

Défi

L'application de gestion Cato génère cette erreur lorsque le PoP ne parvient pas à accéder au DC pour la synchronisation en temps réel. Cette erreur apparaît lorsque vous cliquez sur le bouton "Afficher le statut" dans la section Contrôleurs de domaine pour la synchronisation en temps réel ou par email aux administrateurs de compte.

Solution

Cette erreur indique généralement une mauvaise configuration des paramètres de la fonctionnalité Sensibilisation des utilisateurs. Elle peut également survenir en raison de la configuration du pare-feu ou du routage. Suivez ces étapes pour résoudre le problème :

1. Vérifiez les événements et confirmez s'il y a des événements d'utilisateurs non identifiés.
2. Vérifiez que le trafic n'est pas bloqué par le pare-feu Internet/WAN en raison d'utilisateurs non identifiés.
3. Si c'est la première fois que vous avez activé la fonctionnalité Sensibilisation des utilisateurs et que vous obtenez des erreurs de synchronisation du DC, confirmez que chaque étape est configurée correctement. 
4. Assurez-vous que le DC est opérationnel.
5. Exécutez une capture de trafic depuis l'interface utilisateur du Socket, en capturant les paquets (PCAP) sur l'interface LAN du Socket. Click on the Show Status button. Arrêtez la capture et cherchez la requête WMI du PoP Cato et la réponse du serveur dans le fichier de capture (en utilisant tout outil d'analyse de paquets réseau tel que Wireshark). If the DC is behind an IPsec site, run the capture on the DC itself.

Erreur : NT_RPC_NT_CALL_FAILED

Défi

L'erreur NT_RPC_NT_CALL_FAILED indique que le service RPC sur le DC ne répond pas. Cet erreur apparaît en cliquant sur le bouton « Afficher le statut » dans les contrôleurs de domaine pour la synchronisation en temps réel. 

Solution

1. Vérifiez que le contrôleur de domaine est opérationnel, et vérifiez le CPU et la mémoire. Parfois, une forte utilisation du CPU ou de la mémoire provoque la surcharge du serveur.
2. Vérifiez que les services Windows du DC sont démarrés et configurés pour un démarrage automatique :
   • Serveur
   • Registre à distance
   • WMI

Erreur : Code NT 0x80010111

Défi

Cette erreur signifie que le PoP ne peut pas communiquer avec le DC à cause d'une incompatibilité de l'en-tête RPC entre le PoP et le DC.

Solution

Cette erreur est courante spécifiquement sur Windows Server 2022 où la version RPC du DC est validée. C'est un problème connu que les clients peuvent rencontrer. Si vous recevez cette erreur, merci d'ouvrir un ticket auprès du Support Cato pour le résoudre.

Erreur de synchronisation UA Code NT 0xc002001b

Problème

The error 0xc002001b NT code 0xc002001b will appear when the RPC service on the domain controller has failed to respond.

Cette erreur peut apparaître en cliquant sur « Test Connection » sous Accès > Sensibilisation des utilisateurs > LDAP ou en envoyant un email aux administrateurs de compte. 

Le problème peut causer :

• Les utilisateurs ne sont pas identifiés dans les événements et les analyses.
• Le trafic est bloqué par le pare-feu Internet/WAN parce que les utilisateurs ne sont pas identifiés.
• Nouvelle configuration utilisateur de la sensibilisation et obtention d'erreurs de synchronisation de DC. 

Cause possible

Ce problème pourrait survenir à cause de ressources épuisées sur le contrôleur de domaine.

Résolution des problèmes

Les étapes suivantes sont des étapes de dépannage qui peuvent être suivies : 

• Vérifiez que le contrôleur de domaine est opérationnel et qu'il n'est pas épuisé (pas de pics de CPU ou de RAM).

  • Augmentez la quantité de RAM et de CPU sur le serveur si possible.
  • Si l'ajout de plus de ressources physiques au serveur n'est pas possible, suivez les étapes ci-dessous pour augmenter la mémoire du Service fournisseur WMI, traiter les quotas, et diminuer la taille des journaux des événements de sécurité :
    
    • Increase the WMI MemoryPerHost value (see Increase WMI Quota properties to maximum values)
    Suivez les étapes ci-dessous pour réduire la limite de taille du journal de sécurité à 1MB :
    
    1. Open the Event Viewer
    2. Navigate to Event Viewer > Windows Logs > Security
    3. Right click Security and click Properties
    4. Set the Maximum log size (KB) to 1024
    5. When maximum event log size is reached select Overwrite events as needed (oldest events first) or Archive the log when full, do not overwrite events.
    6. Cliquez sur OK

• Verify that the required domain controller services are running (open services.msc and check that Server, Remote Registry, and Windows Management Instrumentation are started and set for automatic startup.

• En cas de signes de stress du contrôleur de domaine, il pourrait être nécessaire de redémarrer le serveur.

Erreur : Impossible de se connecter au contrôleur de domaine 0xc0000001 NT_STATUS_UNSUCCESSFUL

Si vous voyez le message d'erreur de statut non réussi dans l'application de gestion Cato comme suit :

«Impossible de se connecter au contrôleur de domaine 0xc0000001 NT_STATUS_UNSUCCESSFUL . Vérifiez que vous avez intégré correctement le contrôleur de domaine avec le réseau Cato. Si le problème persiste, contactez le support Cato pour obtenir de l'aide. Cliquez ici pour plus de détails.»

Ceci est une erreur générale qui peut être le résultat de mauvaises configurations du contrôleur de domaine. Nous vous recommandons de suivre le guide de configuration.

Erreur - Impossible de se connecter au contrôleur de domaine (code 6)

Si vous voyez une erreur de connexion code 6 dans l'application de gestion de Cato, comme suit :

Il y a des étapes que vous pouvez suivre pour résoudre le problème.

Reconnexion du Socket Cato

Parfois, ce problème est résolu lorsque vous utilisez le WebUI du Socket pour déconnecter et reconnecter le Socket au Cato Cloud.

AVERTISSEMENT ! Une action de reconnexion du Socket déconnecte toutes les sessions en cours pour le site. Le Socket se reconnecte au Cato Cloud en quelques secondes, puis la connectivité est rétablie immédiatement. Cependant, certains trafics sensibles à la connexion (comme les appels téléphoniques) sont interrompus.

Pour effectuer une action de reconnexion sur le Socket :

1. Connectez-vous au WebUI du Socket, dans votre navigateur web, entrez https://<adresse IP du Socket Cato>
   Par exemple : https://10.0.0.26
2. Entrez le nom d'utilisateur et le mot de passe.
3. Sélectionnez l'onglet Paramètres de connexion Cato.
4. Cliquez sur Reconnecter.
5. Déconnectez-vous du WebUI du Socket.

Dépannage de la connectivité au DC

Après avoir effectué l'action de reconnexion du Socket, l'erreur DC persiste, voici quelques suggestions supplémentaires pour diagnostiquer la connectivité au DC :

1. Vérifiez la connexion du DC au Cato Cloud.
2. Vérifiez qu’il existe une communication bidirectionnelle entre le DC et le Cato Cloud.

Pour vérifier que le DC est connecté au Cato Cloud :

1. Assurez-vous que votre DC est allumé.
2. Dans l'application de gestion de Cato, allez à Accueil > Topologie et assurez-vous que le site avec le DC est connecté au Cato Cloud.
3. Vérifiez que vous pouvez faire un ping au DC depuis un hôte à un site différent, ou pendant que vous êtes connecté au VPN Cato.
4. Si vous ne pouvez pas faire de ping au DC, voici quelques solutions pour résoudre le problème :
   • Dans l'application de gestion de Cato, vérifiez Accueil > Événements pour un événement de blocage. Devez-vous modifier la politique de pare-feu WAN pour autoriser le trafic ICMP vers le DC ?
   • Vérifiez la table de routage sur le DC et assurez-vous que le trafic est dirigé au Socket Cato ou au tunnel IPsec.
   • Vérifiez la politique de pare-feu de Windows sur le DC pour vous assurer que le trafic ICMP n’est pas bloqué.

Pour vérifier la communication entre le DC et le Cato Cloud :

1. Effectuez une capture de paquets soit sur l'interface LAN du Socket.
   • Si le DC est derrière un site IPsec, effectuez la capture sur le DC lui-même.
2. S'il y a une communication bidirectionnelle, vous pouvez voir une connexion sur TCP/135 à votre DC initiée à partir de la plage VPN Cato (10.41.0.0/16 par défaut).
   Remarque : Cato peut utiliser n'importe quelle adresse IP de la plage VPN pour initier la connexion.
   Remarque : À partir de Windows Server 2008, vous devez également autoriser TCP 49152-65535 pour le processus WMI à travers n'importe quel pare-feu. Il est également possible d'ajouter une règle de pare-feu Windows spécifiquement pour le service WMI.  Voir : https://docs.microsoft.com/fr/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Si vous ne trouvez pas de connexion montrant la communication bidirectionnelle, voici quelques pistes pour résoudre le problème :
   • Si vous ne voyez aucun trafic provenant de la plage VPN vers le DC, contactez le support Cato.
   • Si vous voyez uniquement des paquets SYN sur TCP/135 de la plage VPN Cato vers votre DC, vérifiez la connectivité du DC :
     1. Inspectez la table de routage sur le DC et assurez-vous que le trafic est dirigé vers le Socket Cato ou le tunnel IPsec.
     2. Vérifiez la politique de pare-feu de Windows sur le DC et assurez-vous que le trafic n'est pas bloqué.

L'utilisateur n'est pas mappé par la conscience de l'utilisateur

Défi

Dans certains cas, les utilisateurs sont affichés comme "utilisateur non mappé" dans la fenêtre de découverte des événements. La raison d'un utilisateur non mappé est que le PoP a pu découvrir le nom d'utilisateur en temps réel (en utilisant des requêtes WMI) mais cet utilisateur n'a pas été importé lors de la synchronisation LDAP et est non identifié. Par conséquent, le champ Nom AD de l'événement montre un utilisateur non mappé.

Solution

1. Vérifiez que l'utilisateur appartient au groupe. Si vous avez configuré les services de répertoire de Cato pour importer des utilisateurs et des groupes depuis le DC, et qu'un utilisateur n'appartient pas au groupe configuré, il apparaît alors comme un utilisateur non mappé.
2. Vérifiez la configuration de la politique d'audit pour le DC. Pour plus d'informations, consultez Configuration de la politique d'audit pour le contrôleur de domaine.

Les événements de connexion n'apparaissent pas dans la découverte d'événements

Défi

Si vous avez activé la Conscience de l'utilisateur pour votre compte mais que vous ne voyez aucun événement de connexion des utilisateurs dans la Découverte d'événements, suivez les étapes décrites dans la solution suivante.

Solution

Vérifiez la configuration de la politique d'audit sur le DC. Pour plus d'informations, consultez Configuration de la politique d'audit pour le contrôleur de domaine.

La synchronisation des services de répertoire n'importe pas les utilisateurs

Défi

Avec la Conscience de l'utilisateur, affiche en temps réel quels sont les noms d'utilisateur des hôtes derrière les sites. Il vous permet de voir les noms d'utilisateur des hôtes et pas seulement les adresses IP dans les sections Analytics. Les utilisateurs sont remplis à partir de la synchronisation des services de répertoire. La synchronisation utilise LDAP pour interroger le serveur Active Directory (AD). Parfois, la synchronisation LDAP échoue pour différentes raisons. Par exemple, LDAP de Microsoft a une limitation connue qui n'autorise que le retour d'objets avec moins de 1500 attributs dans une seule requête. Les grandes organisations peuvent facilement avoir plus de 1500 membres affectés à un groupe. Ainsi, lorsque le PoP exécute la requête LDAP, tous les groupes contenant plus de 1500 membres retourneront une liste de membres vide à l'application de gestion Cato, entraînant des utilisateurs désactivés/supprimés dans CMA.

Solution

Comme mentionné dans Synchroniser les utilisateurs avec LDAP, pour éviter la désactivation/suppression indésirable des utilisateurs à cause de cette limitation, vous pouvez personnaliser le nombre maximum de utilisateurs pouvant changer de groupe d'utilisateurs lors d'une synchronisation unique en configurant l'option "Empêcher la mise à jour de l'appartenance au groupe" dans le CMA.

Pour résoudre la réponse de requête vide du contrôleur de domaine, vous pouvez suivre ces étapes :

1. Vérifiez que les services Windows suivants sur le DC sont en cours d'exécution et configurés sur automatique :

• Serveur
• WMI
• Registre distant

2. Vous pouvez ajuster l'attribut de politique LDAP Microsoft du DC pour MaxValRange. Cet attribut contrôle combien de valeurs seront renvoyées. Utilisez les deux articles suivants pour augmenter le MaxValRange ou supprimer totalement la restriction. Si vous ne souhaitez pas modifier l'attribut AD, alors Cato peut collecter des groupes avec moins de 1500 utilisateurs.

Article MS sur comment ajuster MaxValRange à l'aide de l'outil ntdsutil : https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

Article/blog MS sur comment supprimer la restriction complètement :
https://docs.microsoft.com/fr/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

Événements d'audit manquants lors de l'utilisation de GPO

Défi

Si vous utilisez un GPO avec des paramètres avancés de politique d'audit de sécurité et que tous les ID d'événements ne sont pas enregistrés, suivez les étapes décrites dans la solution.

Solution

Vérifiez la configuration de la politique d'audit pour le DC. Pour plus d'informations, consultez Configuration de la politique d'audit pour le contrôleur de domaine.

Configuration de la politique d'audit pour le contrôleur de domaine

La politique d'audit peut être définie localement sur le DC ou appliquée via GPO. GPO remplace la politique de sécurité locale. Les paramètres de politique d'audit avancée remplacent les paramètres de politique d'audit de base.

Vérifiez que la politique d'audit est configurée avec les ID d'événements que l'User Awareness utilise dans le journal de sécurité de Windows pour associer les utilisateurs aux adresses IP.

La liste suivante contient les ID d'événements que Cato utilise dans la politique d'audit:

• 4768 - Un ticket d'authentification Kerberos (TGT) a été demandé
• 4769 - Un ticket de service Kerberos a été demandé
• 4770 - Un ticket de service Kerberos a été renouvelé
• 4776 - Le contrôleur de domaine a tenté de valider les informations d'identification pour un compte\
• 4624 - Un compte s'est connecté avec succès
• 4648 - Une connexion a été tentée en utilisant des informations d'identification explicites
• 5140 - Un objet de partage réseau a été accédé
• 5145 - Un objet de partage réseau a été vérifié pour voir si le client peut obtenir l'accès souhaité

Pour configurer la politique d'audit localement sur le DC

1. Ouvrez la Politique de Sécurité Locale.
2. Allez dans Paramètres de Sécurité > Politiques Locales > Politique d'Audit pour configurer la politique d'audit de base, ou allez dans Paramètres de Sécurité > Configuration Avancée de la Politique d'Audit > Politique d'Audit pour configurer la politique d'audit avancée qui offre un contrôle plus granulaire sur la journalisation.

Pour configurer la politique d'audit en utilisant la Politique de Groupe:

1. Ouvrez l'Éditeur de Gestion de la Politique de Groupe.
2. Cliquez-droit sur le GPO qui s'applique à tous les Contrôleurs de Domaine et sélectionnez "Modifier"
3. Développez Configuration de l'Ordinateur > Politiques > Paramètres Windows > Paramètres de Sécurité > Politiques Locales > Politique d'Audit pour la politique d'audit de base ou Configuration de l'Ordinateur > Politiques > Paramètres Windows > Paramètres de Sécurité > Configuration Avancée de la Politique d'Audit > Politique d'Audit pour la politique d'audit avancée.

La liste suivante contient les ID d'événements utilisés par l'User Awareness de Cato:

Politique d'Audit de Base

• Auditer les événements de connexion - 4624, 4648
• Auditer les événements de connexion de compte - 4768, 4769, 4770, 4776
• Auditer l'accès aux objets - 5140, 5145

Politique d'Audit Avancée

• Connexion de Compte
  • Auditer le Service d'Authentification Kerberos – 4768
  • Auditer les Opérations de Ticket de Service Kerberos - 4769, 4770
  • Auditer la Validation des Identifiants – 4776
• Connexion/Déconnexion
  • Auditer la Connexion - 4624, 4648
• Accès aux Objets
  • Auditer le Partage de Fichiers – 5140
  • Auditer Détails du Partage de Fichiers - 5145

Vous pouvez vérifier quelle est la politique d'audit effective sur un DC en exécutant la commande suivante à partir de l'invite de commandes : auditpol /get /category:*