XOpsネットワークプレイブック - WMI DC接続性プレイブック

概要

このプレイブックはWMI同期失敗アラートの解決を案内します。これは権限や無効な資格情報など複数の問題によって発生する可能性があります。

スケジュールされた同期失敗を確認する

  • ストーリーワークベンチでネットワーク運用プリセットを使用し、「DC接続の失敗 - WMI」で新しいインディケーションフィルターを追加します。
    indication_filter_wmi.jpg
  • 以下に示すようにストーリーが生成されることを確認します。
    wmi_story.jpg
  • ストーリーイベントメッセージと送信元IPアドレスをチェックして、エラーと送信元サーバーを見つけます。
    dtory_event_message.jpg
  • CMAで、アクセス > ディレクトリサービス > LDAPを参照し、エントリを見つけて「接続テスト」をクリックし、エラーを確認します。
  • 対応するトラブルシューティングセクションに進み、問題を解決するためのステップに従います。

NT_STATUS_ACCESS_DENIED

このエラーメッセージは権限の問題を示しています。 Cato管理アプリケーションは、DCへのアクセスができない場合に通知します。 このエラーメッセージは通常、アナリティクスセクションに「DC_Connectivity_Failure」イベントが続きます。 DCとの接続が失敗した場合、Cato管理アプリケーションはこのイベントを(1時間ごとに)生成します。

リアルタイム同期のためにアクセス > ディレクトリサービス > LDAPセクションで「接続テスト」を選択する場合、またはアカウント管理者にメールを送信する場合に、CMAでエラーが表示されます。

考えられる原因

  • DCがダウンしています
  • DCのトラフィックをブロックするファイアウォールルール 
  • DCへのルーティング問題
  • ドメインコントローラーの不良な設定
  • Catoに間違ったパスワードが入力されている、またはパスワードの有効期限

トラブルシューティングのステップ

  1. ユーザ名とパスワードを確認してください。 正しいログインDNとパスワードが入力されていることを確認してください。 
  2. Cato Socketが接続試行で正しいユーザ名を送信することを、ソケットまたはDC自体のLANインターフェースでパケット(PCAP)をキャプチャして確認します。
    • DCのIPアドレスと宛先ポート135でキャプチャをフィルタリングします。
    • Wiresharkを使用して、情報フィールドの先頭にFaultがあり、末尾にnca_s_fault_access_deniedがあるパケットを見ることができます。 この前のパケットには、以下のスクリーンショットに示すように、CatoからDCに送信されたユーザ名とドメインが含まれています。
  3. ユーザがドメインコントローラ設定からイベントログを読み取る権限を確認してください。 オンラインヘルプガイド - Windows設定に従ってください。
  4. 日次同期ディレクトリサービスグループとユーザ(ユーザアウェアネス)が有効な場合、リアルタイム同期のためにドメインコントローラを設定していることを確認してください。 「接続テスト」をクリックして、「接続成功」結果が得られるか確認します。
  5. モニタリングセクションのイベントをチェックします。 イベントタイプでイベントをフィルタリングできます:システムとイベントサブタイプ:ディレクトリサービスでDC接続性または同期エラーを探します。
  6. オンラインヘルプガイドに従い、ドメインコントローラーの設定を確認してください。
  7. インターネットまたはWANファイアウォールによってトラフィックがブロックされていないことを確認してください。 未認識のユーザをブロックするファイアウォールルールがCato同期ユーザをブロックし、ディレクトリサービスをブロックすることがあります。
  8. すべての設定ステップをもう一度オンラインヘルプガイドで確認し、ステップがすべて正確に実行されたかを確認してください。 接続に使用されるサービスアカウントに権限が正しく設定されていない場合、アクセス拒否エラーが表示されます。

NT_STATUS_UNSUCCESSFUL

PoPがリアルタイム同期のためにドメインコントローラーにアクセスできない場合に、このエラーが表示されます。 
CMAで「接続テスト」を選択すると、このエラーが表示されます。アクセス > ディレクトリサービス > LDAPリアルタイム同期の下でこのエラーが表示されます。

このエラーは、ユーザアウェアネス機能設定が誤って構成されていることを示すことがよくあります。 また、ファイアウォールやルーティングの誤配置が原因で発生することもあります。 

考えられる原因

  • イベントとアナリティクスでユーザが識別されていません
  • ユーザが識別されないため、インターネット/WANファイアウォールによってトラフィックがブロックされています 
  • 顧客の新しいユーザアウェアネスの設定とDC同期エラーの取得 
  • ユーザアウェアネスの誤った設定
  • ルーティングの問題

トラブルシューティングのステップ

  1. イベントを確認して、未確認のユーザーのイベントがあるかどうかを確認します。
  2. 未確認のユーザーが原因でトラフィックがインターネット/WANファイアウォールによってブロックされていないか確認します。
  3. これが初めてユーザアウェアネス機能を有効にしてDC同期エラーが発生している場合、各ステップが正しく設定されていることを確認してください。 
  4. DCがアクティブで稼働していることを確認してください。
  5. Socket UIからトラフィックキャプチャを実行し、SocketのLANインターフェースでパケット(PCAP)をキャプチャします。 
    • 「ステータス表示」ボタンをクリックします。 
    • キャプチャを停止して、Cato PoPからのWMIクエリとキャプチャファイル内のサーバー応答を探します(Wiresharkなどのネットワークパケットアナライザーツールを使用)。 DCがIPsecサイトの背後にある場合、DC自体でキャプチャを実行します。

NT_RPC_NT_CALL_FAILED

このエラーは、DC上のRPCサービスが応答していないことを示しています。 このエラーは、リアルタイム同期のためのドメインコントローラーで「ステータス表示」ボタンをクリックしたときに表示されます。 

考えられる原因

  • RPCサービスまたはその依存関係が停止しているか、応答していません。
  • WMIサービスが停止しているか、ハングしています
  • 高いCPUまたはメモリ使用率がRPCのタイムアウトを引き起こしています。

トラブルシューティングのステップ

  1. ドメインコントローラが稼働しているか確認し、CPUとメモリを確認します。 高いCPUまたはメモリ使用量がサーバーの過負荷を引き起こすことがあります。
  2. DC Windowsサービスが開始され、自動スタートアップに設定されていることを確認してください。
    • サーバー
    • リモートレジストリ
    • WMI

NTコード0x80010111

このエラーは、PoPとDC間でRPCヘッダーの不一致があるために、PoPがDCと通信できないことを意味します。

uacode.png

考えられる原因

このエラーは特にWindows Server 2022で一般的で、DCのRPCバージョンが検証されています。 これは顧客が遭遇する可能性のある既知の問題です。 

トラブルシューティングのステップ

このエラーを受け取った場合は、Catoサポートにチケットを開いて対処してください。

UA同期エラーNTコード0xc002001b

このエラーは、ドメインコントローラー上のRPCサービスが応答に失敗したときに表示されます。

アクセス > ユーザアウェアネス > LDAPの下で「接続テスト」を選択する場合やアカウント管理者にメールを送信する場合に、このエラーが表示されます。 可能な結果:

  • イベントとアナリティクスでユーザーが特定されていません。
  • ユーザーが特定されていないため、インターネット/WANファイアウォールによってトラフィックがブロックされています。
  • 顧客の新しいユーザアウェアネスの設定とDC同期エラーの取得。

考えられる原因

この問題は、ドメインコントローラー上でリソースが枯渇したために発生する可能性があります。

トラブルシューティングのステップ

以下のステップは、従うことができるトラブルシューティングのステップです: 

  1. ドメインコントローラがアクティブで、リソースが枯渇していないことを確認します(CPUやRAMのスパイクがない)。
  2. 可能であれば、サーバーのRAMとCPUの量を増やします。
    • サーバーに物理リソースを追加できない場合、以下のステップに従ってWMIプロバイダーサービスのメモリを増やし、クォータを処理し、セキュリティイベントログのサイズを減らします。
    • WMIMemoryPerHost値を増加させます(WMIクォータのプロパティを最大値に設定するを参照)。
    • 以下のステップに従って、セキュリティログサイズの制限を1MBに減少させます:
      • イベントビューアを開きます
      • イベントビューア > Windowsログ > セキュリティに移動します
      • セキュリティを右クリックし、プロパティをクリックします。
      • 最大ログサイズ(KB)を1024に設定します
      • 最大イベントログサイズに達した場合、必要に応じてイベントを上書きする(最も古いイベントから)または満杯時にログをアーカイブし、イベントを上書きしないを選択します。
      • OKをクリックします
  3. 必要なドメインコントローラーサービスが実行中であることを確認します(services.mscを開き、Server、Remote Registry、およびWindows Management Instrumentationが開始され、自動スタートアップに設定されていることを確認します)。
  4. ドメインコントローラーがストレスの兆候を示している場合、サーバーを再起動する必要があるかもしれません。

“ドメインコントローラに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL 。

この一般的なエラーは、ドメインコントローラーのミス構成から生じる可能性があります。 設定ガイドに従うことをお勧めします。

ドメインコントローラに接続できません(コード6)

RPCの失敗/アクセスまたは接続性の問題、システムがドメインコントローラー(DC)との通信を確立できないことを示しています

考えられる原因

  • DCとCato Cloudの間の接続性の問題
  • DCがオフライン、再起動中、または過負荷になっています。
  • DC上でRPCサービスまたは依存関係が実行されていません

トラブルシューティングのステップ

この問題は、ソケットWebUIを使用してCato Cloudへの接続を切断および再接続することで解決されることがあります。 

次を参照してください: https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

警告! ソケット再接続アクションは、サイトの現在のすべてのセッションを切断します。 ソケットは数秒以内にCato Cloudに再接続され、接続は直ちに復元されます。 ただし、電話のような接続感度のあるトラフィックは切断されます。

ソケットで再接続アクションを実行するには:

  1. WebブラウザでソケットWebUIに接続し、https://<Cato Socket IPアドレス>
    例えば、https://10.0.0.26を入力します。
  2. ユーザ名とパスワードを入力します。
  3. Cato接続設定タブを選択します。
  4. 再接続をクリックします。
  1. ソケットWebUIからログアウトします。

ソケット再接続アクションを実行した後でも、DCエラーが続きます。 DCへの接続性をトラブルシューティングするための追加の提案を以下に示します。

  1. DCがCato Cloudに接続されていることを確認します。
  2. DCとCato Cloudの間に双方向通信があることを確認してください。

DCがCato Cloudに接続されていることを確認するには:

  1. DCの電源が入っていることを確認します。
  2. Cato管理アプリケーションで、ホーム > トポロジに移動し、DCのあるサイトがCato Cloudに接続されていることを確認してください。
  3. 異なるサイトのホストからDCへのpingを確認するか、Cato VPNに接続している間に確認してください。
  4. DCにpingを打てない場合、問題のトラブルシューティング方法を以下に示します:
    • Cato管理アプリケーションでブロックイベントを確認するには、ホーム > イベントをチェックしてください。 ICMPトラフィックをDCに許可するためにWANファイアウォールポリシーを変更する必要がありますか?
    • DCのルーティングテーブルを確認し、トラフィックがCato SocketまたはIPsecトンネルにルーティングされていることを確認してください。
    • DC上のWindowsファイアウォールポリシーを確認し、ICMPトラフィックがブロックされていないか確認してください。

DCとCatoクラウド間の通信を確認するために:

  1. SocketのLANインターフェースでパケットキャプチャを実行します。 ご参照ください: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
    • DCがIPsecサイトの背後にある場合、DC自体でキャプチャを実行します。
  2. 双方向通信がある場合、TCP/135でCato VPN範囲(デフォルトでは10.41.0.0/16)からDCへの接続が見ることができます。
    注: Catoは、VPN範囲内の任意のIPアドレスから接続を開始することができます。
    注: Windows Server 2008からは、WMIプロセスのためにTCP 49152-65535を許可する必要もあります。 WMIサービスのためにWindowsファイアウォールルールを追加することも可能です。 参照: https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 双方向通信を示す接続が見つからない場合、問題のトラブルシューティングのいくつかのステップを以下に示します:
    • VPN範囲からDCにトラフィックが見られない場合は、Catoサポートに問い合わせてください。
    • Cato VPN範囲からDCへのTCP/135にSYNパケットのみが見える場合は、DCの接続性を確認してください:
      • DCのルーティングテーブルを点検し、トラフィックがCato SocketやIPsecトンネルにルーティングされていることを確認します。
      • DC上のWindowsファイアウォールポリシーを確認し、トラフィックがブロックされていないことを確認してください。

Cato Supportへのケースの提出

このプレイブックに従っても問題が解決しない場合は、サポートチケットを提出してください。 リクエストに最も役立つ対応を得るために、管理者は取られたトラブルシューティング手順の結果を提供するべきです。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント