XOps नेटवर्क प्लेबुक - WMI डीसी कनेक्टिविटी प्लेबुक

अवलोकन

यह प्लेबुक आपको WMI सिंक विफलता अलर्ट को हल करने की प्रक्रिया दिखाती है, जो कई मुद्दों जैसे अनुमति या अमान्य प्रमाण-पत्रों के कारण हो सकता है।

अनुसूचित सिंक विफलता सत्यापित करें

  • स्टोरीज़ वर्कबेंच में नेटवर्क संचालन पूर्वनिर्धारित का उपयोग करें और "डीसी कनेक्टिविटी विफलता - WMI" के साथ एक नया संकेत फ़िल्टर जोड़ें
    indication_filter_wmi.jpg
  • सत्यापित करें कि नीचे दिखाए अनुसार एक कहानी उत्पन्न होती है।
    wmi_story.jpg
  • त्रुटि और स्रोत सर्वर को खोजने के लिए स्टोरी इवेंट संदेश और स्रोत आईपी की जांच करें।
    dtory_event_message.jpg
  • CMA में, पहुंच > निर्देशिका सेवाएं > LDAP पर जाएं, प्रविष्टि खोजें और त्रुटि की पुष्टि के लिए "कनेक्शन परीक्षण" पर क्लिक करें।
  • सम्बंधित समस्याओं समाधान अनुभाग पर जाएं और समस्या हल करने के लिए निर्दिष्ट चरणों का पालन करें।

NT_STATUS_ACCESS_DENIED

यह त्रुटि संदेश अनुमति समस्या का संकेत देता है। Cato प्रबंधन अनुप्रयोग सूचित करता है जब यह डीसी तक पहुंचने में असमर्थ होता है। यह त्रुटि संदेश आमतौर पर एनालिटिक्स अनुभाग में "डीसी_कनेक्टिविटी_विफलता" घटना द्वारा अनुसरण किया जाता है। Cato प्रबंधन अनुप्रयोग इस घटना को उत्पन्न करता है (प्रति घंटे एक बार) जब डीसी के साथ कनेक्शन विफल होता है।

CMA में जब रियल-टाइम सिंक के लिए एक्सेस > निर्देशिका सेवाएं > LDAP अनुभाग में "कनेक्शन परीक्षण" का चयन करते हैं या खाता व्यवस्थापकों को ईमेल भेजते समय यह त्रुटि दिखाई देती है।

संभावित कारण

  • डीसी डाउन है
  • फ़ायरवॉल नियम जो डीसी पर ट्रैफ़िक को अवरुद्ध करते हैं 
  • डीसी के लिए रूटिंग समस्याएं
  • डोमेन नियंत्रक का खराब कॉन्फ़िगरेशन
  • Cato में गलत पासवर्ड दर्ज किया गया है, या पासवर्ड समाप्ति

समस्याओं के निवारण के चरण

  1. उपयोगकर्ता नाम और पासवर्ड की जांच करें। सत्यापित करें कि आपने सही लॉगिन डीएन और पासवर्ड दर्ज किए हैं। 
  2. सत्यापित करें कि Cato सॉकेट कनेक्शन प्रयास में सही उपयोगकर्ता नाम भेजता है, जैसा कि सॉकेट या डीसी के लैन् इंटरफेस पर पैकेट्स (PCAP) को पकड़कर होता है।
    • डीसी के आईपी पते और गंतव्य पोर्ट 135 के लिए कैप्चर का फ़िल्टर करें।
    • विओर्शार्क का उपयोग करते हुए, आपको जानकारी फ़ील्ड की शुरुआत में दोष के साथ एक पैकेट और अंत में nca_s_fault_access_denied देखना चाहिए। इससे पहले वाले पैकेट में उपयोगकर्ता नाम और डोमेन सम्मिलित हैं जो Cato द्वारा नीचे दिखाए गए स्क्रिनशॉट में डीसी को भेजा गया था:
  3. डोमेन नियंत्रक सेटिंग्स से इवेंट लॉग पढ़ने के लिए उपयोगकर्ता अनुमतियों की जांच करें। ऑनलाइन सहायता गाइड का अनुसरण करें - विंडोज कॉन्फ़िगरेशन।
  4. यदि आपने दैनिक सिंक निर्देशिका सेवा समूह और उपयोगकर्ताओं को सक्षम किया है (उपयोगकर्ता जागरूकता), तो सत्यापित करें कि आपने रियल टाइम सिंक के लिए डोमेन नियंत्रकों को कॉन्फ़िगर किया है। "कनेक्शन परीक्षण करें" पर क्लिक करें और देखें कि क्या आपको "कनेक्शन सफल" परिणाम मिलता है।
  5. निगरानी अनुभाग में इवेंट्स की जांच करें। आप घटना प्रकार: प्रणाली और घटना उपप्रकार: निर्देशिका सेवाएं के आधार पर घटनाओं को फ़िल्टर कर सकते हैं और डीसी कनेक्टिविटी या सिंक त्रुटियों की जांच कर सकते हैं।
  6. ऑनलाइन सहायता गाइड का पालन करें और डोमेन नियंत्रक कॉन्फ़िगरेशन सेटिंग्स की जांच करें।
  7. सुनिश्चित करें कि ट्रैफ़िक इंटरनेट या वान फ़ायरवॉल द्वारा अवरुद्ध नहीं किया गया है। एक फ़ायरवॉल नियम जो अपरिचित उपयोगकर्ताओं को अवरुद्ध करता है, Cato सिंक उपयोगकर्ता को अवरुद्ध कर सकता है और निर्देशिका सेवाओं को अवरुद्ध कर सकता है।
  8. ऑनलाइन सहायता गाइड में कॉन्फ़िगरेशन चरणों को एक बार फिर से देखें ताकि यह सत्यापित किया जा सके कि हर चरण सही ढंग से निष्पादित हुआ था। यदि कनेक्शन के लिए उपयोग किए गए सेवा खाते पर अनुमतियाँ सही ढंग से सेट नहीं की जाती हैं, तो आपको एक्सेस डिनाइड त्रुटि प्राप्त हो सकती है।

NT_STATUS_UNSUCCESSFUL

जब PoP रियल-टाइम सिंक के लिए डोमेन नियंत्रक तक पहुँच प्राप्त नहीं कर सकता है तो यह त्रुटि दिखाई देगी। यह त्रुटि CMA में, एक्सेस > निर्देशिका सेवाएं > LDAP के तहत रियल टाइम सिंक के लिए "कनेक्शन परीक्षण" का चयन करते समय दिखाई देती है।

यह त्रुटि विशेष रूप से उपयोगकर्ता जागरूकता फ़ीचर सेटिंग्स के गलत कॉन्फ़िगरेशन का संकेत देती है। यह एक फ़ायरवॉल या रूटिंग गलत कॉन्फ़िगरेशन के कारण भी हो सकता है। 

संभावित कारण

  • घटनाओं और एनालिटिक्स में उपयोगकर्ता पहचाने नहीं गए हैं
  • उपयोगकर्ताओं की पहचान नहीं होने के कारण ट्रैफ़िक इंटरनेट/WAN फ़ायरवॉल द्वारा अवरुद्ध है 
  • उपयोगकर्ता जागरूकता की ग्राहक की नई सेटअप और डीसी सिंक त्रुटियाँ प्राप्त कर रहा है 
  • उपयोगकर्ता जागरूकता का खराब कॉन्फ़िगरेशन
  • रूटिंग समस्या

समस्याओं के निवारण के चरण

  1. घटनाओं की जांच करें और सत्यापित करें कि गैर-मान्यता प्राप्त उपयोगकर्ताओं की घटनाएँ हैं।
  2. उपयोगकर्ताओं की पहचान न होने के कारण ट्रैफ़िक इंटरनेट/WAN फ़ायरवॉल द्वारा अवरुद्ध नहीं है, यह सुनिश्चित करें।
  3. यदि यह पहली बार है जब आपने उपयोगकर्ता जागरूकता सुविधा को सक्षम किया है और आपको डीसी सिंक त्रुटियाँ मिल रही हैं, तो सत्यापित करें कि प्रत्येक चरण को सही ढंग से कॉन्फ़िगर किया गया है। 
  4. सुनिश्चित करें कि डीसी चालू और चल रहा है।
  5. सॉकेट यूआई से एक ट्रैफ़िक कैप्चर चलाएँ, जिसमें लैन् इंटरफेस पर सॉकेट के पैकेट्स (PCAP) को कैप्चर करें। 
    • स्थिति दिखाएं बटन पर क्लिक करें। 
    • कैप्चर को रोकें और Cato PoP से WMI क्वेरी और सर्वर प्रतिक्रिया की जांच करें (कोई भी नेटवर्क पैकेट विश्लेषक उपकरण जैसे वायर्शार्क का उपयोग करते हुए)। यदि डीसी एक आईपीसेक साइट के पीछे है, तो डीसी पर कैप्चर चलाएँ।

NT_RPC_NT_CALL_FAILED

यह त्रुटि इंगित करती है कि डीसी पर RPC सेवा प्रतिक्रिया नहीं देती है। डोमेन नियंत्रकों में "स्थिति दिखाएं" बटन पर क्लिक करने पर यह त्रुटि दिखाई देती है। 

संभावित कारण

  • RPC सेवा या इसकी निर्भरताएँ बंद हो गई हैं या अनुत्तरदायी हैं।
  • WMI सेवा बंद हो गई है या अटक गई है
  • उच्च CPU या मेमोरी उपयोग के कारण RPC समय समाप्ति होती है।

समस्याओं के निवारण के चरण

  1. सत्यापित करें कि डोमेन नियंत्रक चालू है और चल रहा है, और CPU और मेमोरी की जांच करें। कभी-कभी उच्च CPU या मेमोरी उपयोग के कारण सर्वर ओवरलोड हो जाता है।
  2. सत्यापित करें कि डीसी विंडोज सेवाएँ प्रारंभ की गई हैं और स्वचालित स्टार्टअप के लिए सेट हैं:
    • सर्वर
    • दूरस्थ रजिस्ट्री
    • WMI

NT कोड 0x80010111

यह त्रुटि का अर्थ है कि PoP डोमेन नियंत्रक के साथ संवाद नहीं कर सकता क्योंकि PoP और डीसी के बीच RPC शीर्षक का मेल नहीं है।

uacode.png

संभावित कारण

यह त्रुटि विशेष रूप से विंडोज सर्वर 2022 पर सामान्य है, जहाँ डीसी के RPC संस्करण को सत्यापित किया जाता है। यह एक ज्ञात समस्या है जिसका ग्राहक सामना कर सकते हैं। 

समस्याओं के निवारण के चरण

यदि आपको यह त्रुटि मिलती है, तो इसे हल करने के लिए कृपया Cato समर्थन के साथ एक टिकट खोलें।

UA सिंक त्रुटि NT कोड 0xc002001b

यह त्रुटि तब दिखाई देती है जब डोमेन नियंत्रक पर RPC सेवा ने प्रतिक्रिया नहीं दी है।

यह त्रुटि "यूज़र अवेयरनेस" के अंतर्गत "कनेक्शन परीक्षण" का चयन करते समय या खाता व्यवस्थापकों को ईमेल करते समय दिखाई दे सकता है। संभावित परिणाम:

  • घटनाओं और एनालिटिक्स में उपयोगकर्ता पहचाने नहीं गए हैं।
  • उपयोगकर्ताओं की पहचान नहीं होने के कारण ट्रैफ़िक इंटरनेट/WAN फ़ायरवॉल द्वारा अवरुद्ध है।
  • उपयोगकर्ता जागरूकता की ग्राहक की नई सेटअप और डीसी सिंक त्रुटियाँ प्राप्त कर रहा है।

संभावित कारण

यह समस्या डोमेन नियंत्रक पर समाप्त हो चुके संसाधनों के कारण हो सकती है।

समस्याओं के निवारण के चरण

निम्न चरण समस्याओं के निवारण के लिए अनुसरण किए जा सकते हैं: 

  1. सत्यापित करें कि डोमेन नियंत्रक चालू है और यह थका हुआ नहीं है (कोई CPU या RAM का स्पाइक नहीं)।
  2. यदि संभव हो तो सर्वर पर रैम और CPUs की मात्रा बढ़ाएँ।
    • यदि सर्वर में अधिक भौतिक संसाधनों को जोड़ना संभव नहीं है, तो WMI प्रदाता सेवा मेमोरी, कोटा को संभालने, और सुरक्षा ईवेंट लॉग का आकार कम करने के लिए नीचे दिए गए चरणों का पालन करें:
    • WMI मेमोरी प्रति होस्ट मान बढ़ाएँ (देखें: WMI कोटा गुणों को अधिकतम मान तक बढ़ाएँ)
    • सुरक्षा लॉग आकार सीमा को 1MB तक कम करने के लिए नीचे दिए गए चरणों का पालन करें:
      • ईवेंट व्यूआर खोलें
      • ईवेंट व्यूआर > विंडोज लॉग्स > सुरक्षा पर जाएं
      • सुरक्षा पर राइट-क्लिक करें और गुण पर क्लिक करें
      • अन्यतम लॉग आकार (KB) को 1024 पर सेट करें
      • जब अन्यतम ईवेंट लॉग आकार प्राप्त हो जाता है, आवश्यक हो तो ईवेंट्स को अधिलेखित करें (पुराने ईवेंट पहले) या पूर्ण होने पर लॉग संग्रहीत करें, ईवेंट्स को अधिलेखित न करें। चुनें
      • स्वीकृत करें पर क्लिक करें
  3. सत्यापित करें कि आवश्यक डोमेन नियंत्रक सेवाएँ चालू हैं (सेवाएं.msc खोलें और जांचें कि सर्वर, दूरस्थ रजिस्ट्री, और विंडोज प्रबंधन साधन शुरू हुए हैं और स्वचालित स्टार्टअप के लिए सेट हैं।
  4. यदि डोमेन नियंत्रक तनाव के संकेत दिखा रहा है, तो संभवतः सर्वर को पुनः आरंभ करना आवश्यक हो सकता है।

डोमेन नियंत्रक से कनेक्ट नहीं कर सकते 0xc0000001 NT_STATUS_UNSUCCESSFUL

यह सामान्य त्रुटि डोमेन नियंत्रक के गलत कॉन्फ़िगरेशनों के कारण उत्पन्न हो सकती है। हम अनुशंसा करते हैं कि कॉन्फ़िगरेशन गाइड का पालन करें।

डोमेन नियंत्रक से कनेक्ट नहीं कर सकते (कोड 6)

RPC विफलता/पहुंच या कनेक्टिविटी समस्याएँ, यह दर्शाती हैं कि सिस्टम डोमेन नियंत्रक (डीसी) के साथ संचार स्थापित नहीं कर सकता है

संभावित कारण

  • डीसी और Cato क्लाउड के बीच कनेक्टिविटी समस्या
  • डीसी ऑफ़लाइन है, रिबूट कर रहा है, या ओवरलोडेड है।
  • डीसी पर RPC सेवा या निर्भरताएँ नहीं चल रही हैं

समस्याओं के निवारण के चरण

कभी-कभी यह समस्या हल हो जाती है जब आप सॉकेट वेब यूआई का उपयोग करके सॉकेट को डिस्कनेक्ट और फिर से कनेक्ट करते हैं। 

कृपया देखें: https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

चेतावनी! एक सॉकेट पुनः कनेक्ट कार्रवाई साइट के सभी वर्तमान सत्रों को डिस्कनेक्ट करती है। सॉकेट कुछ सेकंड्स के भीतर Cato क्लाउड से जुड़ जाता है, और कनेक्टिविटी तुरंत बहाल हो जाती है। हालांकि, कुछ कनेक्शन-संवेदनशील ट्रैफ़िक (जैसे फोन कॉल्स) गिराया जाता है।

सॉकेट पर पुनः कनेक्ट कार्रवाई करने के लिए:

  1. वेब ब्राउज़र में, सॉकेट वेब यूआई से कनेक्ट करें, https://<Cato सॉकेट IP पता> दर्ज करें
    उदाहरण के लिए: https://10.0.0.26
  2. उपयोगकर्ता नाम और पासवर्ड दर्ज करें।
  3. Cato कनेक्शन सेटिंग्स टैब का चयन करें।
  4. पुनः कनेक्ट करें: पर क्लिक करें
  1. सॉकेट वेब यूआई से लॉग आउट करें।

आपके द्वारा सॉकेट पुनः कनेक्ट कार्रवाई करने के बाद, डीसी त्रुटि जारी रहती है। डीसी के लिए कनेक्टिविटी का समस्या समाधान करने के लिए कुछ अतिरिक्त सुझाव यहां दिए गए हैं:

  1. Cato क्लाउड से डीसी कनेक्शन सत्यापित करें।
  2. सत्यापित करें कि डीसी और Cato क्लाउड के बीच दो-तरफा संचार है।

सत्यापित करें कि डीसी Cato क्लाउड से जुड़ा है:

  1. सुनिश्चित करें कि आपका डीसी चालू है।
  2. Cato प्रबंधन अनुप्रयोग में, होम > टोपोलॉजी पर जाएँ और सुनिश्चित करें कि डीसी के साथ साइट Cato क्लाउड से जुड़ी है।
  3. सुनिश्चित करें कि आप विभिन्न साइट पर किसी होस्ट से, या जब आप Cato वीपीएन से जुड़े हुए हैं, तब डीसी को पिंग कर रहे हैं।
  4. यदि आप डीसी को पिंग नहीं कर सकते, तो समस्या को ठीक करने के कुछ तरीके यहाँ दिए गए हैं:
    • Cato प्रबंधन अनुप्रयोग में ब्लॉक इवेंट के लिए होम > घटनाएँ देखें। क्या आपको DC के लिए ICMP ट्रैफ़िक की अनुमति देने के लिए वैन फ़ायरवॉल नीति को बदलने की आवश्यकता है?
    • DC की रूटिंग तालिका की जांच करें और सुनिश्चित करें कि ट्रैफ़िक Cato सॉकेट या IPsec टनल की ओर रूट हो रहा है।
    • DC पर विंडोज फ़ायरवॉल नीति की जांच करें और सुनिश्चित करें कि ICMP ट्रैफ़िक अवरुद्ध नहीं है।

DC और Cato क्लाउड के बीच संचार की जाँच करने के लिए:

  1. सॉकेट के LAN इंटरफेस पर एक पैकेट कैप्चर चलाएँ। कृपया देखें: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
    • यदि DC IPsec साइट के पीछे है, तो कैप्चर को DC पर ही चलाएँ।
  2. यदि द्वि-दिशात्मक संचार है, तो आप Cato वीपीएन रेंज (डिफ़ॉल्ट रूप से 10.41.0.0/16) से अपने डीसी को TCP/135 पर एक कनेक्शन देख सकते हैं।
    नोट: Cato VPN रेंज से किसी भी IP पते के साथ कनेक्शन शुरू कर सकता है।
    नोट: विंडोज सर्वर 2008 से शुरू करते हुए, आपको WMI प्रक्रिया के लिए TCP 49152-65535 को किसी भी फ़ायरवॉल के माध्यम से अनुमति देनी होगी। WMI सेवा के लिए विंडोज फ़ायरवॉल नियम जोड़ना भी संभव है। देखें: https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. यदि आप कोई कनेक्शन नहीं पा सकते हैं जो द्वि-दिशात्मक संचार दिखाता है, तो समस्या को ठीक करने के लिए यहाँ कुछ चरण दिए गए हैं:
    • यदि आपको वीपीएन रेंज से डीसी तक का कोई ट्रैफ़िक नहीं दिखता है, तो Cato समर्थन से संपर्क करें।
    • यदि आप केवल Cato वीपीएन रेंज से अपने डीसी तक TCP/135 पर SYN पैकेट देख रहे हैं, तो डीसी की कनेक्टिविटी की जांच करें:
      • DC की रूटिंग तालिका का निरीक्षण करें और सुनिश्चित करें कि ट्रैफ़िक Cato सॉकेट या IPsec टनल पर रूट हो रहा है।
      • DC पर विंडोज फ़ायरवॉल नीति की जांच करें और सुनिश्चित करें कि ट्रैफ़िक अवरुद्ध नहीं है।

Cato समर्थन के लिए केस बढ़ाना

अगर इस प्लेबुक का अनुसरण करने के बाद भी समस्या का समाधान नहीं होता है, तो एक समर्थन टिकट जमा करें। अनुरोध पर सबसे सहायक प्रतिक्रिया प्राप्त करने के लिए, एक व्यवस्थापक को किए गए समस्याओं को हल करने के कदम के परिणाम प्रदान करने चाहिए।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां