ディレクトリサービスとユーザー認識エラーのトラブルシューティング

この記事は、一般的なディレクトリサービスとユーザー認識に関する問題と推奨される解決策について説明しています。 詳細については、「ディレクトリサービス用のWindows Serverの設定」を参照してください。

エラー: ドメインコントローラーに接続できません

課題

このエラーメッセージは、主に無効な認証情報が原因でドメインコントローラー(DC)との接続が失敗したことを示しています。 このエラーメッセージの後には通常「無効な認証情報」エラーメッセージが続きます。

解決策

Cato管理画面(アクセス > ディレクトリサービス)でLDAP認証接続設定(ログインDN、ベースDN、およびパスワード)を正しく入力したことを確認してください。

エラー: NT_STATUS_ACCESS_DENIED

課題

このエラーメッセージは、権限に関する問題を示しています。 Cato管理画面は、DCへのアクセスができない場合に通知を行います。 このエラーメッセージの後には通常、分析セクションで「DC_Connectivity_Failure」イベントが続きます。 Cato管理画面は、DCとの接続が失敗した際に(毎時一度)このイベントを生成します。

解決策

この問題をトラブルシューティングする手順に従ってください:

  1. ユーザー名とパスワードを確認してください。 正しいログインDNとパスワードを入力したことを確認してください。 ソケットまたはDC自体のLANインターフェースでパケット(PCAP)をキャプチャして、接続試行中にCatoソケットが正しいユーザー名を送信することを確認してください。
  2. ドメインコントローラー設定からイベントログを読むためのユーザーの権限を確認してください。 オンラインヘルプガイドに従ってください - Windows設定。
  3. 毎日の同期ディレクトリサービスグループとユーザー(User Awareness)を有効にした場合、ドメインコントローラーをリアルタイム同期するように設定していることを確認してください。 「接続テスト」をクリックし、「接続成功」結果が得られるか確認してください。
  4. モニタリングセクションのイベントでイベントをチェックしてください。 イベントタイプ:システムおよびイベントサブタイプ:ディレクトリサービスに基づいてイベントをフィルタリングし、DC接続性または同期エラーを探すことができます
  5. オンラインヘルプガイドに従ってドメインコントローラーの設定を確認してください。
  6. トラフィックがインターネットまたはWANファイアウォールでブロックされていないことを確認してください。 未認識のユーザーをブロックするファイアウォールルールが、Cato同期ユーザーとディレクトリサービスをブロックする可能性があります。
  7. オンラインヘルプガイドのすべての構成手順をもう一度確認し、すべての手順が正しく実行されたことを確認してください。 接続に使用されるサービス アカウントで権限が正しく設定されていない場合、アクセス拒否エラーが発生します。

エラー: NT_STATUS_UNSUCCESSFUL

挑戦

PoPがリアルタイム同期のためにDCにアクセスできない場合、Cato管理アプリケーションはこのエラーを生成します。 このエラーは、ドメインコントローラーのリアルタイム 同期セクションで[ステータス表示] ボタンをクリックするか、アカウント管理者にメールで送信する際に表示されます。

解決策

このエラーは通常、ユーザー アウェアネス 機能の設定の不正な設定を示します。 ファイアウォールまたはルーティング 設定の問題が原因で発生することもあります。 この問題のトラブルシューティングを行うには、次の手順に従います:

  1. イベント を確認し、識別されていないユーザーのイベントがあるかどうかを確認します。
  2. 識別されていないユーザーが原因で、インターネット/WAN ファイア ウォール によってトラフィックがブロックされないことを確認します。
  3. ユーザー アウェアネス 機能を初めて有効にしていて、DC 同期エラーが発生している場合は、手順がすべて正しく設定されていることを確認します。 
  4. ドメイン コントローラが起動して稼働していることを確認します。
  5. ソケット WebUI からトラフィックキャプチャー を実行し、ソケットのLAN インターフェイスでパケット (PCAP) をキャプチャします。 クリックして [ステータス表示] ボタンをクリックします。 キャプチャーを停止し、Cato PoPからのWMI クエリとキャプチャー ファイル内のサーバー応答を確認します (Wireshark などのネットワークパケットアナライザー ツールを使用)。 DCがIPsecサイトの後ろにある場合は、DCそのものでキャプチャーを実行します。

エラー: NT_RPC_NT_CALL_FAILED

挑戦

エラーNT_RPC_NT_CALL_FAILEDは、DC 上のRPC サービスが応答しないことを示しています。 このエラーは、ドメイン コントローラー の [リアルタイム同期] セクションで[ステータス表示] ボタンをクリックすると表示されます。 

解決策

  1. ドメインコントローラー が起動して稼働していること、CPU 使用率およびメモリ を確認します。 高い CPU使用率またはメモリは サーバーの過負荷を引き起こす場合があります。
  2. DC Windowsサービスが開始され、自動で起動するように設定されていることを確認します:
    • サーバー
    • リモート レジストリ
    • WMI

エラー: NT Code 0x80010111

挑戦

このエラーは、PoPとDCの間のRPC ヘッダーの不一致 のため、PoPがDCと通信できないことを示しています。

解決策

このエラーは特に Windows Server 2022 上で一般的です。ここでは、DC の RPC バージョンが検証されます。これは、顧客が遭遇する可能性のある既知の問題です。 このエラーが発生した場合は、Cato サポートとチケットを開いて解決してください。

UA同期エラーNTコード0xc002001b

問題

エラー0xc002001b NTコード0xc002001bは、ドメインコントローラ上のRPCサービスが応答に失敗した場合に表示されます。

このエラーは、アクセス>ユーザーアウェアネス>LDAPの下で「接続テスト」をクリックするか、アカウント管理者にメールを送信する際に表示されることがあります。 

問題は次のことを引き起こす可能性があります:

  • ユーザーはイベントおよび分析において識別されません。
  • ユーザーが識別されないため、インターネット/WANファイアウォールによってトラフィックがブロックされます。
  • 顧客の新しいユーザーアウェアネスのセットアップとDCの同期エラーの受信。 

可能な原因

この問題は、ドメインコントローラー上のリソースが枯渇したために発生する可能性があります。

トラブルシューティング

以下の手順は、問題を解決するために従うことができる手順です: 

  • ドメインコントローラーが稼働しており、枯渇していないことを確認します(CPUおよびRAMのスパイクがない)。

    • 可能であれば、サーバーのRAMとCPUを増やします。
    • サーバーに物理的なリソースを追加できない場合は、以下のステップに従ってWMIプロバイダサービスのメモリを増やし、クオータを処理し、セキュリティイベントログのサイズを減らします:
      以下の手順に従って、セキュリティログのサイズ制限を1MBに減らします:
      1. イベントビューアを開く
      2. イベントビューア > Windowsログ > セキュリティに移動
      3. セキュリティを右クリックし、プロパティをクリック
      4. 最大ログサイズ(KB)1024に設定
      5. 最大イベントログサイズに達したときに、必要に応じてイベントを上書き(最も古いイベントを優先)またはログがいっぱいになったときにアーカイブし、イベントを上書きしないを選択
      6. OKをクリック

  • 必須のドメインコントローラ サービスが実行中であることを確認します(services.mscを開き、サーバー、リモート レジストリ、Windows管理インストゥルメンテーションが開始され、自動起動に設定されていることを確認)。

  • ドメインコントローラがストレスの兆候を示している場合、サーバーを再起動する必要があるかもしれません。

エラー: ドメインコントローラに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL

Cato管理画面で以下のように失敗した状態エラーメッセージが表示される場合:

ドメインコントローラに接続できません 0xc0000001 NT_STATUS_UNSUCCESSFUL 。 ドメインコントローラとCatoネットワークが正しく統合されていることを確認してください。 問題が解決しない場合は、Catoサポートに問い合わせてサポートを受けてください。 詳細はここをクリックしてください。

これはドメインコントローラの設定ミスが原因となる一般的なエラーです。 設定ガイドに従うことをお勧めします。

エラー - ドメインコントローラに接続できません (コード 6)

Cato管理画面で以下のようにコード6の接続エラーが表示される場合:6

問題をトラブルシューティングするためのステップがあります。

Catoソケットの再接続

ソケットWebUIを使用してソケットをCatoクラウドから切断し、再接続すると、問題が解決することがあります。

警告! ソケットの再接続アクションにより、サイトのすべての現在のセッションが切断されます。 ソケットは数秒以内にCatoクラウドに再接続され、その後すぐに接続が回復します。 ただし、一部の接続に敏感な通信(例:電話)は中断されます。

ソケットで再接続アクションを実行するには:

  1. ソケットWebUIに接続し、Webブラウザに https://<Cato Socket IPアドレス> を入力します
    例:https://10.0.0.26
  2. ユーザ名とパスワードを入力します。
  3. Cato 接続設定 タブを選択します。
  4. 再接続をクリックします。
  5. ソケットWebUIからログアウトします。

DCへの接続性のトラブルシューティング

ソケットの再接続後もDCエラーが持続する場合、DCへの接続性をトラブルシューティングするための追加の提案があります:

  1. DCがCatoクラウドに接続されていることを確認します。
  2. DCとCatoクラウド間で双方向通信があることを確認してください。

DCがCatoクラウドに接続されているかどうかを確認するには:

  1. DCの電源がオンになっていることを確認します。
  2. Cato管理アプリケーションのホーム > 接続構成に移動し、DCがあるサイトがCatoクラウドに接続されていることを確認してください。
  3. 異なるサイトのホストまたはCato VPNに接続している間にDCにPINGできることを確認してください。
  4. DCにPINGできない場合は、問題を解決するための方法があります:
    • Cato管理画面で、ホーム > イベントをチェックしてブロックイベントがあるか確認してください。 ICMPトラフィックをDCに許可するためにWANファイアウォール ポリシーを変更する必要がありますか?
    • DCのルートテーブルを確認し、トラフィックがCatoソケットまたはIPsecトンネルにルーティングされていることを確認してください。
    • DCのWindowsファイアウォールポリシーを確認し、ICMPトラフィックがブロックされていないことを確認してください。

DCとCatoクラウド間の通信を確認するには:

  1. ソケットのLANインターフェースでパケットキャプチャを実行します。
    • DCがIPsecサイトの背後にある場合、DC自体でキャプチャを実行します。
  2. 双方向通信がある場合、デフォルトでCato VPN範囲(10.41.0.0/16)から始まるDCへのTCP/135の接続が表示されます。
    注: CatoはVPN範囲から任意のIPアドレスを使って接続を開始できます。
    注: Windows Server 2008から、ファイアウォールを通じてWMIプロセス用のTCP 49152-65535も許可する必要があります。 WMIサービス専用のWindowsファイアウォールルールを追加することも可能です。  参照: https://docs.microsoft.com/ja/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 双方向通信を示す接続が見つからない場合、問題を解決するためのいくつかの方法は次のとおりです:
    • VPN範囲からDCへトラフィックが来ていない場合、Catoサポートに問い合わせる。
    • Cato VPN範囲からDCへのTCP/135でSYNパケットのみが見える場合、DCの接続性を確認します:
      1. DCのルートテーブルを検査し、トラフィックがCatoソケットまたはIPsecトンネルにルーティングされていることを確認してください。
      2. DCのWindowsファイアウォールポリシーをチェックし、トラフィックがブロックされていないことを確認してください。

ユーザーはUser Awarenessにマップされていません

課題

一部のケースでは、イベント探索ウィンドウでユーザーは「マップされていないユーザー」と表示されます。 PoPは実時間でユーザー名を発見できますが(WMIクエリを使用)、このユーザーはLDAP同期中にインポートされず未特定です。 したがって、イベントAD名前フィールドにはマップされていないユーザーが表示されます。

解決策

  1. ユーザーがグループに所属していることを確認してください。 Catoのディレクトリサービスを使用してDCからユーザーとグループをインポートするよう設定し、ユーザーが設定したグループに属していない場合、マップされていないユーザーとして表示されます。
  2. ドメインコントローラの監査ポリシー構成を確認してください。 詳細情報については、ドメインコントローラの監査ポリシーの設定を参照してください。

ログオンイベントがイベント探索に表示されません

課題

もしあなたがアカウントでUser Awarenessを有効にしたが、イベント探索でユーザーのログオンイベントが見えない場合は、以下の解決策で説明された手順に従ってください。

解決策

ドメインコントローラ上の監査ポリシー構成を確認してください。 詳細情報については、ドメインコントローラの監査ポリシーの設定を参照してください。

ディレクトリサービスの同期がユーザーをインポートしません

課題

User Awarenessを使用すると、サイトの背後にあるホストのユーザー名をリアルタイムで表示します。 これは、アナリティクスセクションでホストのIPアドレスだけでなく、ユーザー名も見ることを可能にします。 ユーザーはディレクトリサービスの同期から集約されます。 同期はLDAPを使用してActive Directory(AD)サーバーにクエリを実行します。 時々、LDAPの同期は様々な理由で失敗します。 例えば、Microsoft LDAPには、単一のクエリで1500未満の属性しか返せない制限があります。 大規模な組織は 簡単に1500人以上のメンバーをグループに割り当てることができます。 したがって、PoPがLDAPクエリを実行すると、1500人以上のメンバーがいるグループは、Cato管理アプリケーションに空のメンバーリストを返し、CMAでユーザーの非アクティブ化や削除につながります。

解決策

LDAPとのユーザー同期にて述べられているように、この制限による不要なユーザーの非アクティブ化/削除を防ぐために、CMAで"グループメンバーシップの更新を防ぐ"オプションを設定して、単一の同期内でユーザーグループメンバーシップを変更できる最大ユーザー数をカスタマイズすることができます。

ドメインコントローラからの空のクエリ応答を解決するために、次の手順に従うことができます:

  1. 以下のドメインコントローラ内のWindowsサービスが実行中であり、自動に設定されていることを確認してください:
  • サーバー
  • WMI
  • リモートレジストリ
  1. ドメインコントローラのMicrosoft LDAPポリシー属性MaxValRangeを調整できます。 この属性は返される値の数を制御します。 以下の2つの記事を使用して、MaxValRangeを上げるか、制限を完全に削除してください。 もしAD属性を変更したくない場合、Catoは1500未満のユーザーを持つグループを収集できます。

NTDSUTILツールを使用してMaxValRangeを調整する方法に関するMS記事: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

制限を完全に削除する方法に関するMS記事/ブログ:
https://docs.microsoft.com/ja/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

GPO使用時の欠落監査イベント

課題

高度なセキュリティ監査ポリシー設定を使用しているGPOを使用し、すべてのイベントIDが記録されない場合は、ソリューションで説明されている手順に従ってください。

解決策

ドメインコントローラの監査ポリシー設定を確認してください。 詳細情報を参照ドメインコントローラーの監査ポリシーの設定

ドメインコントローラの監査ポリシーの設定

監査ポリシーは、DCでローカルに定義されるか、GPOを介して適用されることができます。 GPOはローカルセキュリティポリシーを上書きします。 高度な監査ポリシー設定は基本的な監査ポリシー設定を上書きします。

ユーザーのIPアドレスへのマッピングにおいてWindowsセキュリティログでUser Awarenessが使用するイベントIDを使用して監査ポリシーが設定されていることを確認してください。

次のリストには監査ポリシーでCatoが使用するイベントIDが含まれています:

  • 4768 - Kerberos認証チケット (TGT) がリクエストされました
  • 4769 - Kerberosサービスチケットがリクエストされました
  • 4770 - Kerberosサービスチケットが更新されました
  • 4776 - ドメインコントローラはアカウントの資格情報を検証しようとしました\
  • 4624 - アカウントが正常にログオンされました
  • 4648 - 明示的な資格情報を使用してログオンが試行されました
  • 5140 - ネットワーク共有オブジェクトにアクセスされました
  • 5145 - クライアントに必要なアクセスが付与されるかどうかを確認するためにネットワーク共有オブジェクトがチェックされました

 

DC上でローカルに監査ポリシーを設定するには

  1. ローカルセキュリティポリシーを開く。
  2. 基本監査ポリシーを設定するにはセキュリティ設定 > ローカルポリシー > 監査ポリシーに進み、より詳細な制御を提供する高度な監査ポリシーを設定するにはセキュリティ設定 > 高度な監査ポリシー構成 > 監査ポリシーに進みます。

 

グループポリシーを使用して監査ポリシーを設定するには:

  1. グループポリシー管理エディターを開く。
  2. すべてのドメインコントローラーに適用されるGPOを右クリックして、「編集」を選択
  3. コンピュータ構成 > ポリシー > Windows設定 > セキュリティ設定 > ローカルポリシー > 基本監査ポリシー用の監査ポリシーまたはコンピュータ構成 > ポリシー > Windows設定 > セキュリティ設定 > 高度な設定の監査ポリシー構成 > 高度な監査ポリシー用の監査ポリシーを展開します。

 

次のリストには、Cato User Awarenessで使用されるイベントIDが含まれています:

基本監査ポリシー

  • ログオンイベントの監査 - 4624, 4648
  • アカウントログオンイベントの監査 - 4768, 4769, 4770, 4776
  • オブジェクトアクセスの監査 - 5140, 5145

 

高度な監査ポリシー

  • アカウントログオン
    • Kerberos認証サービスの監査 – 4768
    • Kerberosサービスのチケット操作の監査 - 4769, 4770
    • 資格情報の検証を監査 – 4776
  • ログオン/ログオフ
    • ログオンの監査 - 4624, 4648
  • オブジェクトアクセス
    • ファイル共有の監査 – 5140
    • 詳細ファイル共有の監査 - 5145

コマンドプロンプトから次のコマンドを実行することにより、DC上での有効な監査ポリシーを確認できます: auditpol /get /category:*

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント