リアルタイム同期の接続エラーに対するドメインコントローラーのトラブルシューティング

概要

Cato管理アプリケーションでドメインコントローラ(DC)のエラーメッセージが表示されています。 私たちはここでお手伝いします! この記事では、ディレクトリサービス > ドメインコントローラー 同期のリアルタイム セクションで接続テストを行う際の一般的なエラーに対するトラブルシューティングの手順と解決策について説明します。

詳細については、「ディレクトリサービス用Windowsサーバーの設定」を参照してください。

エラー - ドメインコントローラーに接続できません(コード 6)

以下のように、Cato管理アプリケーションでコード6接続エラーが表示された場合:

問題を解決するために取れるいくつかの手順があります。

ソケットの再接続

この問題は、ソケットWebUIを使用してCatoクラウドからソケットを切断して再接続すると解決することがあります。

警告! ソケット再接続アクションは、サイトですべての現在のセッションを切断します。 ソケットは数秒以内にCatoクラウドに再接続され、その後、接続が直ちに復元されます。 しかし、一部の接続に敏感なトラフィック(電話のようなもの)が切断されます。

ソケットで再接続アクションを実行するには:

  1. ソケットWebUIに接続し、ウェブブラウザでhttps://<Cato ソケットIPアドレス>
    例:https://10.0.0.26を入力します。
  2. ユーザ名とパスワードを入力してください。
  3. Cato 接続設定 タブを選択します。
  4. 再接続 をクリックします。
  5. ソケットWebUIからログアウトします。

DCへの接続性のトラブルシューティング

ソケット再接続アクションを実行した後もDCエラーが続く場合、DCへの接続性のトラブルシューティングの追加の提案を以下に示します:

  1. DCのCatoクラウドへの接続を確認します。
  2. DCとCatoクラウドの間で双方向通信があることを確認します。

DCがCatoクラウドに接続されていることを確認するには:

  1. DCが電源オンであることを確認します。
  2. Cato管理アプリケーションに入り、ホーム > 接続構成に移動し、DCがあるサイトがCatoクラウドに接続されていることを確認します。
  3. 異なるサイトのホストからDCにpingを実行するか、Cato VPNに接続している間にpingを実行していることを確認します。
  4. もしDCにpingできない場合は、問題を解決するためのいくつかの方法を以下に示します:
    • Cato管理アプリケーションでホーム > イベント をチェックして、ブロックイベントを確認してください。 ICMPトラフィックをDCへ許可するためにWANファイアウォール ポリシーを変更する必要がありますか?
    • DCのルーティングテーブルを確認し、トラフィックがCatoソケットまたはIPsecトンネルにルートされていることを確認してください。
    • DCでWindowsファイアウォールポリシーを確認して、ICMPトラフィックがブロックされていないことを確認してください。

DCとCato Cloud間の通信を確認するには:

  1. ソケットのLANインタフェースでパケットキャプチャを実行します。
    • DCがIPsecサイトの背後にある場合、キャプチャをDC自体で実行します。
  2. 双方向通信がある場合、デフォルトでCato VPN範囲(10.41.0.0/16)から開始されたDCへのTCP/135接続が表示されます。
    注意: Catoは接続を開始するためにVPN範囲から任意のIPアドレスを使用できます。
    注意: Windows Server 2008以降、任意のファイアウォールを介してWMIプロセスのためにTCP 49152-65535も許可する必要があります。 WMIサービス専用のWindowsファイアウォールルールを追加することも可能です。  参照してください : https://docs.microsoft.com/ja/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 双方向通信を示す接続が見つからない場合、問題をトラブルシュートするための手順は次のとおりです:
    • VPN範囲からDCへのトラフィックが表示されない場合は、Catoサポートに問い合わせてください。
    • Cato VPN範囲からDCへのTCP/135上のSYNパケットのみが表示される場合、DCの接続性を確認してください:
      1. DCでルーティングテーブルを検査し、トラフィックがCatoソケットまたはIPsecトンネルにルーテッドされていることを確認してください。
      2. DCでWindowsファイアウォールポリシーを確認し、トラフィックがブロックされていないことを確認してください。

エラー: ドメインコントローラーに接続できません 0xc0000022 NT_STATUS_ACCESS DENIED

Cato管理アプリケーションに以下のようなアクセス拒否エラーメッセージが表示される場合:

認証問題をトラブルシュートするために取ることができるいくつかの手順があります:

  1. Cato管理アプリケーションでユーザ名とパスワードを確認します。
    • ユーザ名が正しいことを確認してください
    • パスワードを再入力してみてください - タイプミスがあったかもしれません
  2. Catoが接続試行で正しいユーザ名を送信していることを確認してください。 ソケットまたはDC自体のLANインタフェースでパケットキャプチャを実行します。
    • DCのIPアドレスと宛先ポート135のためにキャプチャをフィルターします。
    • Wiresharkを使用中、情報フィールドの先頭にFault 、末尾にnca_s_fault_access_denied が表示されるパケットを確認できるはずです。 このパケットの前には、以下のスクリーンショットに示すように、CatoによってDCに送信されたユーザ名とドメインを含むパケットがあります。
  3. 各ステップが正しく実行されたことを確認するために、オンラインヘルプガイドのすべての設定手順をもう一度実行してください。 接続に使用されるサービスアカウントの権限が正しく設定されていない場合、アクセス拒否エラーが発生します。
    ヒント: DC上の権限問題によってエラーが発生しているかを確認するために、一時的にドメイン管理者をサービスユーザーとして設定することができます。 ドメイン管理者はデフォルトで全ての必要な権限を持っています。

エラー: ドメインコントローラーに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL

Cato管理画面に次のような失敗したステータスエラーメッセージが表示される場合:

ドメインコントローラーに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL。 ドメインコントローラーがCatoネットワークと正しく統合されていることを確認してください。 問題が続く場合は、Catoサポートに問い合わせるしてください。 詳細はここをクリックしてください。

これはドメインコントローラーの誤った設定が原因である可能性のある一般的なエラーです。 構成ガイドに従うことをお勧めします。

 

この記事は役に立ちましたか?

2人中0人がこの記事が役に立ったと言っています

0件のコメント