WMIベースのUser Awarenessによりマップされていないユーザー

問題

User Awarenessを構成し、アクセス > User AwarenessでWMIコントローラ接続テストが成功したことを確認した後も、一部のユーザーがまだ識別されていません。

解決策

1. ドメインコントローラーで監査ポリシーを確認

各ドメインコントローラのローカルセキュリティポリシーで監査アカウントログインイベント および 監査ログインイベント成功 に設定されていることを確認してください。 

監査ポリシーはローカルセキュリティポリシー設定のセキュリティ設定 > ローカルポリシー > 監査ポリシー下にあります。

注意: 監査ポリシーはGPOによって制御されます。 "監査アカウントログインイベント" が "監査なし" に設定されており、ポリシーがGPOによって制御されている場合、GPOで設定を編集する必要があります。 ローカルセキュリティポリシーで設定を変更することはできません。

ログインイベントが成功に設定されている場合、DCのイベントビューアでイベントを確認できます。 CatoはUser Awarenessの目的で以下のイベントIDを読み取ります:

  • 4624
  • 4768
  • 4769
  • 4770
  • 5140
  • 5145

2. ドメインコントローラーがリアルタイム同期用のWMIコントローラにCato管理アプリケーションで追加されていることを確認してください

監査イベントはドメインコントローラ間で複製されないため、ユーザーが認証できるすべてのDCをCato管理アプリケーションのリアルタイム同期用WMIコントローラ設定に追加する必要があります。 構成に追加されていないDCでユーザーが認証した場合、Catoはそのユーザーのログインイベントを読み取ることができず、ユーザーは識別されません。

すべてのドメインコントローラーがCato管理アプリケーションに追加された後、接続テストがすべて成功することも確認してください。

3. ドメインコントローラーが起動していること、およびリソースが尽きていないことを確認してください

ドメインコントローラーで、User AwarenessのWMIクエリに影響を与える可能性のあるCPU使用率またはメモリスパイクが発生していないことを確認します。 ドメインコントローラがリソースを消耗している場合は、以下の手順に従ってください:

  • 可能であれば、サーバーのRAMとCPU使用率を増加させてください。
  • サーバーに物理的資源を追加できない場合は、以下の手順に従ってWMI Provider Serviceのメモリを増加させ、ハンドルクォータを管理し、セキュリティイベントログのサイズを縮小させてください:
    セキュリティログのサイズ制限を1MBに減らす手順は以下の通りです:
    1. イベント ビューアーを開く
    2. イベント ビューアー > Windows ログ > セキュリティ へ移動
    3. セキュリティ を右クリックして プロパティ をクリック
    4. 最大ログサイズ (KB)1024 に設定
    5. 最大イベントログサイズに達した時 必要に応じてイベントを上書き(最も古いイベントから) または ログが満杯になったらアーカイブし、イベントを上書きしない を選択する
    6. OKをクリック

4. ユーザーがドメインコントローラにログオンイベントを生成したことを確認してください。

ユーザーのコンピュータでコマンドプロンプトから任意の次のコマンドを使用して、ユーザーが認証したDCを特定できます:

  • set l
  • echo %logonserver%
  • nltest /dsgetdc:domain.com

認証用のDCを特定した後、そのDCでイベント ビューアーを開き、Windows ログ > セキュリティ に移動します。 上記のリストからログオンイベントIDのフィルタを追加し、ユーザー名を検索することができます。例: 4624。 

ユーザーの成功したログオンイベントが見つかり、そのDCがCato管理画面のWMIコントローラのリアルタイム同期接続テストに合格した場合、UAはユーザーに対して機能しているはずです。 それでもUAが機能しない場合は、Cato サポートに問い合わせる。

ユーザーの成功したログオンイベントが見当たらない場合は、ドメイン接続されたコンピュータのコマンドプロンプトからWMIクエリを実行して、ユーザーがコンピュータにログオンしているか確認できます。

IPアドレスを使用したWMIクエリ:

WMIC /NODE: <IPアドレス> COMPUTERSYSTEM GET USERNAME

例:

5. CMAでユーザーが有効化されていることを確認してください

CMAにインポートされたユーザーは、IdP側でユーザーグループから削除するか、CMAで手動で無効にすることで無効化できます。 無効 ステータスのユーザーはUAによってマッピングされません。

ユーザーがCMAで有効にされていることを確認してください。

 

この記事は役に立ちましたか?

1人中0人がこの記事が役に立ったと言っています

0件のコメント