XOpsネットワークプレイブック - LDAPアクティブディレクトリ同期失敗

このプレイブックは、LDAPアクティブディレクトリとのスケジュール同期が失敗した場合の問題を解決するための手順を説明します。

概要

アクティブディレクトリは、ユーザーをCMAにプロビジョニングし、シームレスなオンボーディングとリソースへのアクセスを保証するために不可欠です。 ADとの同期が失敗すると、新しいユーザーは必要なサービスに接続またはアクセスできない場合があり、セキュリティポリシーが適切に適用されない可能性があります。 このプロセスの重要性を認識し、アクティブディレクトリとCMAの同期失敗が発生すると、迅速な解決と潜在的な混乱を最小限に抑えるためにXOPsストーリーが生成されます。

ネットワークXOpsストーリーに対応する際は、問題に体系的に取り組むことが重要です。 まず、問題が継続しているか確認し、その後トラブルシューティングを実施し、最終的に問題が解決されたことを確認します。

ステップ1 - スケジュール同期失敗の確認

以下は、Cato管理アプリケーションの管理者がスケジュール同期が失敗したかどうかを確認するさまざまな方法です。 

ストーリードリルダウンの使用

  • スケジュール同期が失敗した場合、XOpsストーリーが生成されます。
  • ストーリーワークベンチページに移動し、LDAPを含むフィルタ「表示 含む」を含むネットワーク運用プリセットを使用します。 必要に応じて時間枠を調整します。
  • 以下に示すようにストーリーが生成されているか確認します。
  • ストーリーをクリックして詳細を掘り下げます。 ストーリーのステータス、インシデントタイムライン、さらに重要なスケジュール同期のステータスに関する情報を提供します。 
  • ストーリードリルダウンをさらに下にスクロールすると、インシデントタイムラインが表示されます。 このタイムラインは、スケジュール同期のステータスの変化を強調します。 右側のペインには、問題をトラブルシューティングするためのステップが記載されたプレイブックワークフローが表示されます。

イベントの使用

  • スケジュール同期の失敗は、関連するイベントエントリを調べることでも確認できます。
  • このイベントを表示するには、サブタイプをディレクトリサービスに、ディレクトリ同期タイプをスケジュールに設定してイベントダッシュボードをフィルタします。 問題が発生した時間に合わせて時間枠を調整します。

  • スケジュール同期失敗が検出された場合、以下の例に示すようなイベントが表示されます。 イベントメッセージは、同期失敗の理由を示します。 以下の例では、これは「接続エラー」が原因です。 

 

よく見られるイベントメッセージ

イベントメッセージ

説明

LDAPデータのインポートに失敗しました。 エラーコード: 81 (サーバーダウン)

ドメインコントローラがダウンしています。 サーバーへの接続を確認してください。

ドメインコントローラに接続できません。 エラーコード: 91 (接続エラー)

ドメインコントローラが稼働中ですが、正常に接続できません。 設定を確認してください。

無効な資格情報

ログインDNに対して誤った資格情報が設定されています

 

ステップ2 - スケジュール同期失敗のトラブルシューティング

このセクションでは、このタイプのインシデントに対する構造化されたトラブルシューティングアプローチのためにCatoで利用可能なツールを概説します。 手順は通常、順番に従うように設計されていますが、各チェックの結果がプロセスの次のステップに影響を与える場合があります。

オンデマンド同期の実行

  • 問題が一時的なものかどうかを判断するために、AD/DCと手動同期を行います。
    アクセス > ディレクトリサービス > LDAPに移動し、今すぐ同期する をクリックします。
  • 手動同期が正常に完了した場合、スケジュール同期失敗が孤立したインシデントである可能性があります。 管理者は、ネットワークの中断やサーバーメンテナンスがスケジュール同期時間と重なっていないか確認する必要があります。
  • 手動同期も失敗する場合、問題が持続しており、AD/DCとの同期が正常に完了していないことを示します。 この場合、問題を引き起こした可能性のある最近の設定変更を確認してください。
     

監査証跡での変更の確認

  • 監査証跡ページを確認して、設定変更がこの問題の原因かどうかを判断します。 このステップは、スケジュール同期が正常に機能していたが突然停止した場合、特に重要です。
  • ドメイン設定に行われた変更を確認するには、モデルタイプをドメインに設定して監査ダッシュボードをフィルタします。 問題が発生した時間に合わせて時間枠を調整します。
  • 例えば、以下のスクリーンショットは、管理者がドメインに設定変更を加えたことを示しています。 このアクティビティのタイミングがスケジュール同期失敗と一致する場合、管理者は変更を元に戻し、変更が原因かどうかを確認できます。 
  • ドメインへの接続性に影響を与えるもう一つの要因は、ドメインが位置するサイトで構成された静的ホスト予約です。
  • 静的ホスト予約に変更が加えられたかどうかを確認するには、監査ダッシュボードを開き、モデルタイプをサイトに、モデル名をドメインのあるサイトに設定して結果をフィルタします。 以下の例では、ドメインはHQオフィスにあります。 

ドメインコントローラへの接続性テストの実行

  • ドメインコントローラへの接続性を確認するために、ドメインコントローラがあるソケットのLANインターフェースからpingテストを実行します。

  • CMAからソケットウェブUIを開き、ツールを選択し、Pingタブを選びます。 経由地LANを選択し、ドメインコントローラのIPアドレスを入力して実行をクリックしてテストを実行します。

  • pingテストが成功した場合、問題は接続性の問題ではなく、DCとCMA間の設定不一致に関連している可能性があります。

  • pingテストが失敗した場合、ドメインコントローラ(DC)が電源オンで到達可能であるか確認してください。 DCが稼働している場合、中間デバイス(ファイアウォールやルーターなど)が接続をブロックしていないか確認してください。

     

ステップ3 - スケジュール同期が動作しているか確認

スケジュール同期の失敗を引き起こした問題を特定して解決した後、ストーリーで同期が解決済みとして表示されていることを確認します。 

ストーリードリルダウンの使用

注: 問題が解決されると、ストーリーのステータスは「オープン」から「モニタリング」に変わります。 次の1時間、追加のインシデントがない限り、この状態が続きます。 詳細情報については、ストーリーの列を理解するを参照してください。 

インシデントタイムライン

インシデントタイムラインは、スケジュール同期のステータスの変化を表示します。 それを使用して、最新のステータスが「クローズド」に更新されたかどうかを確認できます。

 

Catoサポートへのケースの提出

このプレイブックを実行しても問題が解決しない場合は、サポートチケットを提出してください。 要求に対する最も効果的な応答を得るために、管理者は実施したトラブルシューティング手順の結果を提供する必要があります。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント