XOps Network Playbook - WMI DC Conectividade Playbook

Visão geral

Este playbook guia você na resolução do alerta de falha de Sincronização WMI, que pode ocorrer devido a vários problemas, como permissões ou credenciais inválidas.

Verifique se a sincronização agendada falhou

• Na Bancada de Trabalho de Histórias use o preset de Operações de Rede e adicione um novo filtro de Indicação com "Falha de Conectividade do DC - WMI"
  
• Verifique se uma história é gerada conforme mostrado abaixo.
  
• Verifique a mensagem do evento da história e o IP de Origem para encontrar o erro e o servidor de origem.
  
• Na Aplicativo de Gerenciamento Cato, navegue para Acesso > Serviços de Diretório > LDAP, encontre a entrada e clique em "Testar Conexão" para confirmar o erro.
• Avance para a correspondente seção de solução de problemas e siga os passos descritos para resolver o problema.

NT_STATUS_ACCESS_DENIED

Esta mensagem de erro indica um problema de permissões. O Aplicativo de Gerenciamento Cato notifica quando não consegue acessar o DC. Esta mensagem de erro costuma ser seguida pelo evento “Falha de Conectividade do DC” na seção de análises. O Aplicativo de Gerenciamento Cato gera este evento (uma vez por hora) quando falha a conexão com o DC.

O erro aparece na Aplicativo de Gerenciamento Cato ao selecionar "Testar Conexão" na seção Acesso > Serviços de Diretório > LDAP para Sincronização em Tempo Real, ou ao enviar um email para os Administradores de Contas.

Causas Possíveis

• O DC está inativo
• Regras de firewall que bloqueiam tráfego no DC 
• Problemas de roteamento para o DC
• Má configuração do Controlador de Domínio
• Senha errada inserida na Cato, ou expiração da senha

Passos de Solução de Problemas

1. Verifique o nome de usuário e senha. Verifique se você inseriu o DN de Login correto e a senha. 
2. Verifique se o Socket da Cato envia o nome de usuário correto na tentativa de conexão capturando os pacotes (PCAP) na interface LAN do Socket ou no próprio DC.
   • Filtre a captura para o endereço IP do DC e porta de destino 135.
   • Usando Wireshark, você deve ver um pacote com Fault no início do campo de informações e nca_s_fault_access_denied no final. O pacote anterior a este contém o nome de usuário e domínio enviados pela Cato para o DC conforme mostrado na captura de tela abaixo:
3. Verifique as permissões do usuário para ler o log de eventos das configurações do controlador de domínio. Siga o guia de ajuda online - configuração do Windows.
4. Se você ativou a Sincronização Diária Grupos de Serviço de Diretório e Usuários (Consciência do Usuário), verifique se você configurou os Controladores de Domínio para Sincronização em Tempo Real. Clique em “Testar Conexão” e veja se você obtém um resultado “Conexão Bem Sucedida”.
5. Verifique se há eventos na seção de Monitoramento. Você pode filtrar os eventos com base no tipo de evento: sistema e subtipo de evento: Serviços de Diretório e procurar por erros de sincronização ou conectividade do DC.
6. Siga o guia de ajuda online e verifique as configurações de configuração do controlador de domínio.
7. Verifique se o tráfego não está sendo bloqueado pelo firewall da internet ou WAN. Uma regra de firewall que bloqueia usuários não identificados pode bloquear o usuário de sincronização da Cato e bloquear os serviços de diretório.
8. Percorra todos os passos de configuração no guia de ajuda online novamente para verificar se cada passo foi realizado corretamente. Se as permissões não estiverem configuradas corretamente na conta de serviço usada para a conexão, você receberá um erro de acesso negado.

NT_STATUS_UNSUCCESSFUL

O erro aparecerá quando o PoP não puder acessar o Controlador de Domínio para sincronização em tempo real. 
Este erro aparece ao selecionar "Testar Conexão" na Aplicativo de Gerenciamento Cato, em Acesso > Serviços de Diretório > LDAP para Sincronização em Tempo Real.

Este erro geralmente indica uma má configuração das configurações de Consciência do Usuário. Também pode ocorrer devido a uma má configuração de firewall ou roteamento. 

Causas Possíveis

• Usuários não são identificados em Eventos e Análises
• O tráfego é bloqueado pelo Firewall da Internet/WAN devido a usuários não identificados 
• Nova configuração do Cliente da Consciência do Usuário e recebendo erros de sincronização do DC 
• Má configuração da Consciência do Usuário
• Problema de roteamento

Passos de Solução de Problemas

1. Verifique os Eventos e confirme se há eventos de usuários não identificados.
2. Verifique se o tráfego não está sendo bloqueado pelo Firewall da Internet/WAN devido a usuários não identificados.
3. Se for a primeira vez que você ativou a funcionalidade de Consciência do Usuário e está recebendo erros de sincronização do DC, verifique se cada passo está configurado corretamente. 
4. Certifique-se de que o DC está ativo e funcionando.
5. Execute uma captura de tráfego da Interface do Socket, capturando os pacotes (PCAP) na interface LAN do Socket. 
   • Clique no botão Mostrar Status. 
   • Parem a captura e procurem pela consulta WMI do PoP da Cato e pela resposta do servidor no arquivo de captura (usando qualquer ferramenta de analisador de pacotes de rede, como o Wireshark). Se o DC estiver por trás de um site IPsec, execute a captura no próprio DC.

NT_RPC_NT_CALL_FAILED

O erro indica que o serviço RPC no DC não está respondendo. Este erro aparece ao clicar no botão "Mostrar Status" nos Controladores de Domínio para Sincronização em Tempo Real. 

Causas Possíveis

• Serviço RPC ou suas dependências estão interrompidos ou não respondendo.
• O serviço WMI está parado ou travado
• Alta utilização de CPU ou memória está causando timeouts de RPC.

Passos de Solução de Problemas

1. Verifique se o Controlador de Domínio está ativado e funcionando, e verifique a CPU e a memória. Às vezes, uma alta utilização de CPU ou memória faz com que o servidor fique sobrecarregado.
2. Verifique se os serviços do Windows DC foram iniciados e configurados para inicialização automática:
   • Servidor
   • Registro Remoto
   • WMI

Código NT 0x80010111

Este erro significa que o PoP não consegue se comunicar com o DC devido a uma incompatibilidade de cabeçalho RPC entre o PoP e o DC.

Causas Possíveis

Este erro específico é comum no Windows Server 2022, onde a versão RPC do DC é validada. Este é um problema conhecido que os clientes podem enfrentar. 

Passos de Solução de Problemas

Se você receber este erro, por favor, abra um ticket com o Suporte Cato para resolvê-lo.

Erro de Sincronização UA Código NT 0xc002001b

O erro aparece quando o serviço RPC no controlador de domínio falhou em responder.

Este erro pode aparecer ao selecionar "Testar Conexão" em Acesso > Consciência do Usuário > LDAP ou ao enviar um email para os Administradores de Contas. Resultado possível:

• Usuários não são identificados em Eventos e Análises.
• O tráfego é bloqueado pelo Firewall da Internet/WAN devido a usuários não identificados.
• Nova configuração do Cliente da Consciência do Usuário e recebendo erros de sincronização do DC.

Causas Possíveis

Este problema pode acontecer devido a recursos esgotados no controlador de domínio.

Passos de Solução de Problemas

Os seguintes são passos de solução de problemas que podem ser seguidos: 

1. Verifique se o controlador de domínio está ativado e não está esgotado (sem picos de CPU ou RAM).
2. Aumente a quantidade de RAM e CPUs no servidor, se possível.
   • Se adicionar mais recursos físicos ao servidor não for possível, siga os passos abaixo para aumentar a memória de Serviço de Provedor WMI, lidar com cotas e diminuir o tamanho dos logs de Eventos de Segurança:
   • Aumente o valor WMI MemoryPerHost (veja Aumente os valores de propriedades de Quota do WMI ao máximo)
   • Siga os passos abaixo para reduzir o limite de tamanho do Log de Segurança para 1MB:
     • Abra o Visualizador de Eventos
     • Navegue para Visualizador de Eventos > Logs do Windows > Segurança
     • Clique com o botão direito em Segurança e clique em Propriedades
     • Defina o tamanho máximo do log (KB) para 1024
     • Quando o tamanho máximo do log de eventos for atingido, selecione Substituir eventos conforme necessário (eventos mais antigos primeiro) ou Arquivar o log quando cheio, não substitua eventos.
     • Clique em OK
3. Verifique se os serviços obrigatórios do controlador de domínio estão em execução (abra serviços.msc e verifique se Servidor, Registro Remoto e Instrumentação de Gerenciamento do Windows estão iniciados e configurados para inicialização automática.
4. Caso o controlador de domínio esteja mostrando sinais de estresse, pode ser necessário reiniciar o servidor.

Não é possível conectar ao Controlador de Domínio 0xc0000001 NT_STATUS_UNSUCCESSFUL

Este erro geral pode resultar de configurações incorretas do Controlador de Domínio. Recomendamos seguir o guia de configuração.

Não é possível conectar ao Controlador de Domínio (código 6)

Falha/acesso RPC ou problemas de conectividade, indicando que o sistema não consegue estabelecer comunicação com um Controlador de Domínio (DC)

Causas possíveis

• Problema de conectividade entre o DC e a Nuvem Cato
• DC está offline, reiniciando, ou sobrecarregado.
• Serviço RPC ou dependências não estão em execução no DC

Passos de Solução de Problemas

Às vezes, este problema é resolvido quando você usa a Interface Web do Socket para desconectar e reconectar o Socket à Nuvem Cato. 

Por favor, veja: https://support.catonetworks.com/hc/pt-br/articles/4413265669905-Using-the-Socket-WebUI 

ATENÇÃO! Uma ação de reconectar o Socket desconecta todas as sessões atuais para o site. O Socket se reconecta à Nuvem Cato em poucos segundos, e a conectividade é restaurada imediatamente. No entanto, algum tráfego sensível à conexão (como chamadas telefônicas) é descartado.

Para executar uma ação de reconectar no Socket:

1. Conecte-se à Interface Web do Socket, no seu navegador web, digite https://<endereço IP do Socket Cato>
   Por exemplo: https://10.0.0.26
2. Digite o nome de usuário e senha.
3. Selecione a aba Configurações de Conexão Cato.
4. Clique em Reconectar:

5. Saia da Interface Web do Socket.

Após você realizar a ação de reconectar o Socket, o erro do DC persiste. Aqui estão algumas sugestões adicionais para solucionar problemas de conectividade com o DC:

1. Verifique a conexão do DC com a Nuvem Cato.
2. Verifique se há comunicação bidirecional entre o DC e a Nuvem Cato.

Para verificar se o DC está conectado à Nuvem Cato:

1. Certifique-se de que o seu DC está ligado.
2. Na Aplicativo de Gerenciamento Cato, vá para Inicial > Topologia e certifique-se de que o site com o DC está conectado à Nuvem Cato.
3. Verifique se você pinga o DC de um host em um site diferente ou enquanto estiver conectado à VPN Cato.
4. Se você não consegue pingar o DC, aqui estão algumas maneiras de solucionar o problema:
   • Verifique Inicial > Eventos para um evento de bloqueio na Aplicação de Gerenciamento Cato. Você precisa alterar a política de Firewall WAN para permitir tráfego ICMP para o DC?
   • Verifique a tabela de roteamento do DC e certifique-se de que o tráfego está sendo roteado para o Socket Cato ou túnel IPsec.
   • Verifique a política de Firewall do Windows no DC para se certificar de que o tráfego ICMP não está bloqueado.

Para verificar a comunicação entre o DC e a Cato Cloud:

1. Execute uma captura de pacotes na interface LAN do Socket. Por favor, veja: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
   • Se o DC estiver por trás de um site IPsec, execute a captura no próprio DC.
2. Se houver comunicação bidirecional, você pode ver uma conexão em TCP/135 para o seu DC iniciada a partir da faixa VPN Cato (10.41.0.0/16 por padrão).
   Nota: Cato pode iniciar a conexão com qualquer endereço IP da faixa VPN.
   Nota: A partir do Windows Server 2008, você deve também permitir TCP 49152-65535 para o processo WMI em qualquer firewall. É possível também adicionar uma regra de firewall do Windows para o serviço WMI. Veja: https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Se você não conseguir encontrar uma conexão que mostre comunicação bidirecional, aqui estão alguns passos para solucionar o problema:
   • Contate o Suporte da Cato se você não visualizar nenhum tráfego da faixa VPN para o DC.
   • Se você só visualizar pacotes SYN em TCP/135 da faixa VPN Cato para o seu DC, verifique a conectividade do DC:
     • Inspecione a tabela de roteamento do DC e certifique-se de que o tráfego está sendo roteado para o Socket Cato ou túnel IPsec.
     • Verifique a política de Firewall do Windows no DC e certifique-se de que o tráfego não está bloqueado.

Levantando Casos para o Suporte da Cato

Se seguir este playbook não resolveu um problema, envie um ticket de Suporte. Para obter a resposta mais útil a uma solicitação, um administrador deve fornecer os resultados das etapas de solução de problemas realizadas.