リアルタイム同期の接続エラーに対するドメインコントローラーのトラブルシューティング

概要

Cato管理アプリケーションでドメインコントローラ(DC)のエラーメッセージが表示されています。 私たちはここでお手伝いします! この記事では、ディレクトリサービス > リアルタイム同期用ドメインコントローラー セクションで接続テストを行った際に発生する一般的なエラーのトラブルシューティング手順と解決策について説明します。

詳細については、「ディレクトリサービス用Windowsサーバーの設定」を参照してください。

エラー - ドメインコントローラーに接続できません(コード 6)

Cato管理画面でコード6の接続エラーが次のように表示される場合:

問題を解決するために取れるいくつかの手順があります。

ソケットの再接続

この問題は、ソケットWebUIを使用してCatoクラウドからソケットを切断して再接続すると解決することがあります。

警告! Socket再接続アクションは、サイトの現在のすべてのセッションを切断します。 Socketは数秒以内にCato Cloudに再接続され、接続性は直ちに回復します。 しかし、電話のような接続に敏感なトラフィックは失われます。

ソケットで再接続アクションを実行するには:

  1. ソケットWebUIに接続し、ウェブブラウザでhttps://<Cato ソケットIPアドレス>
    例:https://10.0.0.26を入力します。
  2. ユーザ名とパスワードを入力してください。
  3. Cato 接続設定 タブを選択します。
  4. 再接続 をクリックします。
  5. ソケットWebUIからログアウトします。

DCへの接続性のトラブルシューティング

Socket再接続アクションを実行した後でも、DCエラーは持続します。 DCへの接続性をトラブルシューティングするための追加の提案はこちらです:

  1. DCのCatoクラウドへの接続を確認します。
  2. DCとCatoクラウドの間で双方向通信があることを確認します。

DCがCatoクラウドに接続されていることを確認するには:

  1. DCが電源オンであることを確認します。
  2. Cato管理アプリケーションに入り、ホーム > 接続構成に移動し、DCがあるサイトがCatoクラウドに接続されていることを確認します。
  3. 異なるサイトのホストからDCにpingを実行するか、Cato VPNに接続している間にpingを実行していることを確認します。
  4. もしDCにpingできない場合は、問題を解決するためのいくつかの方法を以下に示します:
    • ホーム > イベント でCato管理画面のブロックイベントを確認します。 ICMPトラフィックをDCへ許可するためにWANファイアウォール ポリシーを変更する必要がありますか?
    • DCのルーティングテーブルを確認し、トラフィックがCato SocketまたはIPsecトンネルにルーティングされていることを確認してください。
    • DCでWindowsファイアウォールポリシーを確認して、ICMPトラフィックがブロックされていないことを確認してください。

DCとCato Cloud間の通信を確認するには:

  1. SocketのLANインターフェースでパケットキャプチャーを実行します。
    • DCがIPsecサイトの背後にある場合、キャプチャをDC自体で実行します。
  2. 双方向の通信がある場合、Cato VPN範囲(デフォルトでは10.41.0.0/16)から開始されるDCへのTCP/135の接続を見ることができます。
    注: CatoはVPN範囲の任意のIPアドレスで接続を開始できます。
    注: Windows Server 2008以降では、WMIプロセスのためにファイアウォールでTCP 49152-65535も許可する必要があります。 WMIサービスのためにWindowsファイアウォールルールを追加することもできます。 参照: https://docs.microsoft.com/ja/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 双方向通信を示す接続が見つからない場合、問題をトラブルシューティングするための手順はこちらです:
    • VPN範囲からDCへのトラフィックが見当たらない場合は、Catoサポートに問い合わせてください。
    • Cato VPN範囲からDCへのTCP/135上のSYNパケットのみが表示される場合、DCの接続性を確認してください:
      1. DCのルーティングテーブルを検査し、トラフィックがCato SocketまたはIPsecトンネルにルーティングされていることを確認してください。
      2. DCでWindowsファイアウォールポリシーを確認し、トラフィックがブロックされていないことを確認してください。

エラー: ドメインコントローラーに接続できません 0xc0000022 NT_STATUS_ACCESS DENIED

Cato管理アプリケーションに以下のようなアクセス拒否エラーメッセージが表示される場合:

認証問題をトラブルシュートするために取ることができるいくつかの手順があります:

  1. Cato管理アプリケーションでユーザ名とパスワードを確認します。
    • ユーザ名が正しいことを確認してください
    • パスワードを再入力してみてください - タイプミスがあったかもしれません
  2. Catoが接続試行で正しいユーザ名を送信していることを確認してください。 ソケットまたはDC自体のLANインタフェースでパケットキャプチャを実行します。
    • DCのIPアドレスと宛先ポート135のためにキャプチャをフィルターします。
    • Wiresharkを使用して、情報フィールドの先頭にFaultと表示され、最後にnca_s_fault_access_deniedと表示されるパケットを見るべきです。 この前のパケットには、CatoがDCに送信したユーザ名とドメインが含まれています。下のスクリーンショットに示されています。
  3. Online Help Guideのすべての設定手順をもう一度確認して、すべてのステップが正しく実行されたことを確認してください。 接続に使用されるサービスアカウントでアクセス権が正しく設定されていない場合、アクセス拒否エラーが発生します。
    ヒント: DCでアクセス権の問題がエラーの原因であることを確認するには、一時的にドメイン管理者をサービスユーザとして設定できます。 ドメイン管理者はデフォルトで全ての必要な権限を持っています。

エラー: ドメインコントローラーに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL

Cato管理画面に次のような失敗したステータスエラーメッセージが表示される場合:

ドメインコントローラに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL。 ドメインコントローラーがCatoネットワークと正しく統合されていることを確認してください。 この問題が続く場合はCatoサポートにお問い合わせください。 詳細はここをクリックしてください。

この一般エラーは、ドメインコントローラの誤設定から発生する可能性があります。 設定ガイドに従うことをお勧めします。

 

エラー: 0xc00000b5 NT_STATUS_IO_TIMEOUT

CMAで以下の画像に示されているような 0xc00000b5 NT_STATUS_IO_TIMEOUT エラーを伴うセキュリティイベントが表示される場合は、サポートに連絡してください

 

この記事は役に立ちましたか?

2人中0人がこの記事が役に立ったと言っています

0件のコメント