XOps 네트워크 플레이북 - WMI DC 연결성 플레이북

개요

이 플레이북은 권한 또는 잘못된 자격 증명과 같은 여러 문제로 인해 발생할 수 있는 WMI 동기화 실패 알림을 해결하는 과정을 안내합니다.

예약된 동기화 실패 확인

• Stories Workbench에서 네트워크 운영 프리셋을 사용하고 "DC 연결 실패 - WMI"로 새로운 지표 필터를 추가합니다.
  
• 아래와 같이 스토리가 생성되었는지 확인합니다.
  
• 스토리 이벤트 메시지와 소스 IP를 확인하여 오류와 소스 서버를 찾습니다.
  
• CMA에서 클라우드 액세스 > 디렉토리 서비스 > LDAP으로 이동하여 항목을 찾고 "연결 테스트"를 클릭하여 오류를 확인합니다.
• 해당 문제 해결 섹션으로 이동하여 문제를 해결하기 위해 제시된 단계를 따릅니다.

NT_STATUS_ACCESS_DENIED

이 오류 메시지는 권한 문제를 나타냅니다. Cato 관리 애플리케이션은 DC에 접근할 수 없을 때 알림을 제공합니다. 이 오류 메시지는 보통 분석 섹션에서 "DC_연결 실패" 이벤트 뒤에 나타납니다. Cato 관리 애플리케이션은 한 시간에 한 번씩 DC와의 연결이 실패할 때 이 이벤트를 생성합니다.

이 오류는 CMA에서 연결 테스트를 선택할 때 클라우드 액세스 > 디렉토리 서비스 > LDAP 섹션에서 실시간 동기화 또는 계정 관리자에게 이메일을 보낼 때 나타납니다.

가능한 원인

• DC는 연결 해제됨
• DC에서 트래픽을 차단하는 방화벽 규칙 
• DC로의 라우팅 문제
• 도메인 컨트롤러의 잘못된 구성
• Cato에 잘못된 비밀번호 입력 또는 비밀번호 만료

문제 해결 단계

1. 사용자 이름과 비밀번호를 확인합니다. 올바른 로그인 DN과 비밀번호를 입력했는지 확인합니다. 
2. Cato 소켓이 LAN 인터페이스의 소켓 또는 DC 자체에서 PCAP을 통해 패킷을 캡처하여 올바른 사용자 이름을 전송했는지 확인합니다.
   • DC의 IP 주소 및 목적지 포트 135에 대한 캡처 필터를 설정합니다.
   • Wireshark를 사용하여 info 필드 시작 부분에 Fault와 끝 부분에 nca_s_fault_access_denied가 있는 패킷을 확인합니다. 아래 스크린샷에서 확인할 수 있듯이 패킷 전에는 Cato가 DC로 전송한 사용자 이름과 도메인을 포함합니다.
3. 도메인 컨트롤러 설정에서 이벤트 로그를 읽기 위한 사용자 권한을 확인합니다. 온라인 도움말 가이드 - Windows 구성을 따릅니다.
4. 사용자 인식) 일일 동기화 디렉토리 서비스 그룹 및 사용자를 활성화한 경우 실시간 동기화를 위해 도메인 컨트롤러를 구성했는지 확인합니다. "연결 테스트"를 클릭하고 "연결 성공" 결과가 나오는지 확인합니다.
5. 모니터링 섹션의 이벤트에서 이벤트를 확인합니다. 이벤트 유형: 시스템 및 이벤트 하위 유형: 디렉토리 서비스로 이벤트 필터링하고 DC 연결성 또는 동기화 오류를 확인합니다.
6. 온라인 도움말 가이드를 따라 도메인 컨트롤러 구성 설정을 확인합니다.
7. 인터넷 또는 WAN 방화벽에 의해 트래픽이 차단되지 않았는지 확인합니다. 식별되지 않은 사용자를 차단하는 방화벽 규칙은 Cato 동기화 사용자와 디렉토리 서비스를 차단할 수 있습니다.
8. 모든 구성 단계를 온라인 도움말 가이드에서 다시 확인하여 모든 단계가 올바르게 수행되었는지 확인합니다. 서비스 계정에 대한 권한이 연결에 사용된 경우 올바르게 설정되지 않으면 접근 거부 오류가 발생합니다.

NT_STATUS_UNSUCCESSFUL

이 오류는 PoP가 실시간 동기화를 위해 도메인 컨트롤러에 접근할 수 없는 경우 나타납니다. 
이 오류는 CMA에서 연결 테스트를 선택할 때 클라우드 액세스 > 디렉토리 서비스 > LDAP 섹션의 실시간 동기화에서 나타납니다.

이 오류는 보통 사용자 인식 기능 설정의 오구성 문제를 나타냅니다. 방화벽 또는 라우팅 오구성으로 인해 발생할 수 있습니다. 

가능한 원인

• 사용자가 이벤트 및 분석에서 식별되지 않음
• 사용자가 식별되지 않아 Internet/WAN 방화벽에 의해 트래픽이 차단됨 
• 고객의 새로운 사용자 인식 설정 및 DC 동기화 오류 발생 
• 사용자 인식의 잘못된 구성
• 라우팅 문제

문제 해결 단계

1. 이벤트를 확인하고 식별되지 않은 사용자 이벤트가 있는지 확인합니다.
2. 사용자가 식별되지 않아 Internet/WAN 방화벽에 의해 트래픽이 차단되지 않았는지 확인합니다.
3. 사용자 인식 기능을 처음 활성화하고 DC 동기화 오류가 발생한 경우 모든 단계가 올바르게 구성되었는지 확인합니다. 
4. DC가 연결되고 실행 중인지 확인합니다.
5. 소켓 UI에서 트래픽 캡처를 실행하여 LAN 인터페이스의 소켓에서 패킷(PCAP)을 캡처합니다. 
   • "상태 보기" 버튼을 클릭합니다. 
   • 캡처를 중지하고 Cato PoP에서 WMI 쿼리를 찾고 서버 응답을 캡처 파일에서 찾습니다(네트워크 패킷 분석 도구 사용). DC가 IPsec 사이트 뒤에 있는 경우, DC 자체에서 캡처를 실행합니다.

NT_RPC_NT_CALL_FAILED

오류는 DC의 RPC 서비스가 응답하지 않는다는 것을 나타냅니다. 이 오류는 도메인 컨트롤러에서 실시간 동기화를 위한 "상태 보기" 버튼을 클릭할 때 나타납니다. 

가능한 원인

• RPC 서비스 또는 그 종속성이 중지되거나 응답하지 않음.
• WMI 서비스가 중지되었거나 멈춤
• 높은 CPU 또는 메모리 사용률이 RPC 타임아웃을 초래함.

문제 해결 단계

1. 도메인 컨트롤러가 연결되고 실행 중인지 확인하고 CPU와 메모리를 확인합니다. 가끔 높은 CPU 또는 메모리 사용량으로 인해 서버가 과부하가 됩니다.
2. DC Windows 서비스가 시작되었으며 자동 시작으로 설정되었는지 확인합니다:
   • 서버
   • 원격 레지스트리
   • WMI

NT 코드 0x80010111

이 오류는 PoP와 DC 간의 RPC 헤더 불일치로 인해 PoP가 DC와 통신할 수 없음을 의미합니다.

가능한 원인

이 오류는 Windows Server 2022에서 공통으로 나타나며 DC의 RPC 버전이 검증됩니다. 고객이 겪을 수 있는 알려진 문제입니다. 

문제 해결 단계

이 오류를 받았을 경우 해결을 위해 Cato 지원팀에 티켓을 열어주세요.

UA 동기화 오류 NT 코드 0xc002001b

이 오류는 도메인 컨트롤러의 RPC 서비스가 응답 실패한 경우에 나타납니다.

이 오류는 클라우드 액세스 > 사용자 인식 > LDAP에서 연결 테스트를 선택하거나 계정 관리자에게 이메일을 보낼 때 나타날 수 있습니다. 가능한 결과:

• 사용자가 이벤트 및 분석에서 식별되지 않음.
• 사용자가 식별되지 않아 Internet/WAN 방화벽에 의해 트래픽이 차단됨.
• 고객의 새로운 사용자 인식 설정 및 DC 동기화 오류 발생.

가능한 원인

이 문제는 도메인 컨트롤러의 자원이 고갈되어 발생할 수 있습니다.

문제 해결 단계

다음 단계는 문제 해결 단계입니다. 

1. 도메인 컨트롤러가 연결되고 자원이 고갈되지 않았는지 확인합니다 (CPU 또는 RAM 급증 없음).
2. 가능한 경우 서버의 RAM과 CPU 수량을 늘립니다.
   • 서버에 물리적 자원을 추가할 수 없다면, 아래 단계를 따라 WMI 공급자 서비스 메모리를 증가시키고 할당량을 관리하며 보안 이벤트 로그 크기를 줄이십시오:
   • WMI MemoryPerHost 값을 증가시킵니다 (보기 Increase WMI Quota properties to maximum values)
   • 보안 로그 크기 제한을 1MB로 줄이기 위해 아래 단계를 따릅니다:
     • 이벤트 뷰어를 엽니다.
     • 이벤트 뷰어 > Windows 로그 > 보안으로 이동합니다.
     • 보안을 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭합니다.
     • 최대 로그 크기 (KB)를 1024로 설정합니다.
     • 최대 이벤트 로그 크기가 도달하면, 필요한 경우 가장 오래된 이벤트 먼저 덮어쓰기또는 로그가 가득 차면 로그를 보관하고, 이벤트를 덮어쓰지 않음.을 선택합니다.
     • 확인 클릭
3. 필수 도메인 컨트롤러 서비스가 실행되는지 확인하십시오(services.msc를 열고 서버, 원격 레지스트리 및 Windows 관리 기능이 시작되고 자동 시작으로 설정되었는지 확인합니다).
4. 도메인 컨트롤러가 스트레스 신호를 보일 경우 서버를 재시작해야 할 수 있습니다.

도메인 컨트롤러에 연결할 수 없음 0xc0000001 NT_STATUS_UNSUCCESSFUL

이 일반적인 오류는 도메인 컨트롤러의 오구성에서 발생할 수 있습니다. 구성 가이드를 따르기를 추천합니다.

도메인 컨트롤러에 연결할 수 없음 (코드 6)

RPC 실패/접근 또는 연결성 문제로 인해 시스템이 도메인 컨트롤러(DC)와의 통신을 설정할 수 없음을 의미합니다.

가능한 원인

• DC와 Cato Cloud 간의 연결성 문제
• DC가 오프라인이거나 재부팅 중이거나 과부하 상태입니다.
• DC에서 RPC 서비스 또는 종속성이 실행되지 않음

문제 해결 단계

소켓 웹UI를 사용하여 소켓을 Cato Cloud에 연결 해제하고 다시 연결하면 이 문제가 해결되는 경우가 있습니다. 

참조: https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

주의! 소켓 다시 연결 작업은 사이트의 모든 현재 세션을 해제합니다. 몇 초 내에 소켓이 Cato Cloud에 다시 연결되며 연결성이 즉시 복원됩니다. 그러나 전화 통화와 같은 연결에 민감한 트래픽은 중단됩니다.

소켓에서 다시 연결 작업을 수행하려면:

1. 웹 브라우저에서 소켓 웹UI에 연결하고 https://<Cato 소켓 IP 주소>를 입력합니다,
   예를 들어: https://10.0.0.26
2. 사용자 이름과 비밀번호를 입력합니다.
3. Cato 연결 설정 탭을 선택합니다.
4. 재연결을 클릭합니다:

5. 소켓 웹UI에서 로그아웃합니다.

소켓 다시 연결 작업을 수행한 후 DC 오류가 지속됩니다. DC에 대한 연결 문제를 해결하기 위한 추가 제안을 드리겠습니다:

1. DC의 Cato Cloud 연결을 확인합니다.
2. DC와 Cato Cloud 간의 양방향 통신이 있는지 확인합니다.

DC가 Cato Cloud에 연결되었는지 확인합니다:

1. DC가 켜져 있는지 확인합니다.
2. Cato 관리 애플리케이션에서 홈 > 토폴로지로 이동하고 DC가 포함된 사이트가 Cato Cloud에 연결되었는지 확인합니다.
3. 사이트에서 호스트를 통해 DC로 핑을 보내거나 Cato VPN에 연결된 상태에서 핑을 보내는지 확인하세요.
4. DC에 핑을 보낼 수 없는 경우 문제를 해결하기 위한 방법은 다음과 같습니다:
   • Cato 관리 애플리케이션의 홈페이지 > 이벤트에서 차단 이벤트를 확인하세요. DC로 ICMP 트래픽을 허용하도록 WAN 방화벽 정책을 변경해야 합니까?
   • DC의 라우팅 테이블을 확인하고 트래픽이 Cato 소켓 또는 IPsec 터널로 라우팅되는지 확인하세요.
   • DC의 Windows 방화벽 정책을 확인하여 ICMP 트래픽이 차단되지 않도록 하세요.

DC와 Cato 클라우드 간의 통신을 확인하려면:

1. 소켓의 LAN 인터페이스에서 패킷을 캡처하세요. 참조: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
   • DC가 IPsec 사이트 뒤에 있는 경우 DC 자체에서 캡처를 실행하세요.
2. 양방향 통신이 있을 경우 TCP/135 포트에서 Cato VPN 범위(기본적으로 10.41.0.0/16)와 DC 간의 연결을 볼 수 있습니다.
   참고: Cato는 VPN 범위 내 모든 IP 주소와 연결을 시작할 수 있습니다.
   참고: Windows Server 2008부터는 방화벽을 통해 WMI 프로세스를 위해 TCP 49152-65535도 허용해야 합니다. Windows 방화벽 규칙을 추가하여 WMI 서비스를 허용할 수 있습니다. 참조: https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. 두 방향의 통신을 보여주는 연결을 찾을 수 없는 경우 문제를 해결하기 위한 단계는 다음과 같습니다:
   • VPN 범위에서 DC로 트래픽이 보이지 않는 경우 Cato 지원팀에 문의하세요.
   • Cato VPN 범위에서 DC로 TCP/135 포트의 SYN 패킷만 보인다면 DC의 연결성을 확인하세요:
     • DC의 라우팅 테이블을 검사하고 트래픽이 Cato 소켓 또는 IPsec 터널로 라우팅되는지 확인하세요.
     • DC의 Windows 방화벽 정책을 확인하여 트래픽이 차단되지 않도록 하세요.

Cato 지원팀에 케이스 제출

이 플레이북을 따라도 문제가 해결되지 않은 경우, 지원 티켓을 제출하십시오． 요청에 대해 가장 도움이 되는 답변을 받으려면 관리자에게 문제가 해결된 단계를 제공해야 합니다.