Este artigo descreve problemas comuns de serviços de diretório e consciência do usuário e soluções sugeridas. Para mais informações, veja Configurando o Windows Server para Serviços de Diretório.

Erro: Incapaz de Conectar-se ao Controlador de Domínio

Desafio

Esta mensagem de erro indica uma falha de conectividade com o controlador de domínio (DC) principalmente devido a credenciais inválidas. Esta mensagem de erro é geralmente seguida pela mensagem de erro "Credenciais Inválidas".

Solução

Verifique se você inseriu corretamente as Configurações de Conexão de Autenticação LDAP (DN de Login, DN Base e senha) no Aplicativo de Gerenciamento Cato (Acesso > Serviços de Diretório).

Erro: NT_STATUS_ACCESS_DENIED

Desafio

Esta mensagem de erro indica um problema de permissões. O Aplicativo de Gerenciamento Cato notifica quando não consegue acessar o DC. Esta mensagem de erro é geralmente seguida pelo evento: "DC_Connectivity_Failure" na seção de análises. O Aplicativo de Gerenciamento Cato gera este evento (uma vez por hora) quando a conexão com o DC falha.

Solução

Siga estes passos para resolver este problema:

1. Verifique o nome de usuário e a senha. Verifique se você inseriu o DN de Login e a senha corretos. Verifique se o Socket Cato envia o nome de usuário correto na tentativa de conexão capturando os pacotes (PCAP) na interface LAN do Socket ou no próprio DC.
2. Verifique as permissões do usuário para ler o log de eventos das configurações do controlador de domínio. Siga o guia de ajuda online - configuração do Windows.
3. Se você ativou a Sincronização Diária de Grupos e Usuários de Serviços de Diretório (Consciência do Usuário), verifique se configurou os Controladores de Domínio para Sincronização em Tempo Real. Clique em "Testar Conexão" e veja se você recebe o resultado "Conexão Bem-sucedida".
4. Verifique os eventos na seção de Monitoramento. Você pode filtrar os eventos com base no tipo de evento: sistema e sub tipo de evento: Serviços de Diretório e procurar por erros de conectividade ou sincronização do DC.
5. Siga o guia de ajuda online e verifique as configurações de configuração do controlador de domínio.
6. Verifique se o tráfego não está sendo bloqueado pela Internet ou pelo Firewall WAN. Uma regra de Firewall que bloqueia usuários não identificados pode bloquear o usuário de sincronização Cato e bloquear os serviços de diretório.
7. Revise todas as etapas de configuração no Guia de Ajuda Online novamente para verificar se cada etapa foi executada corretamente. Se as permissões não estiverem definidas corretamente na conta de serviço usada para a conexão, você receberá um erro de acesso negado.

Erro: NT_STATUS_UNSUCCESSFUL

Desafio

O Aplicativo de Gerenciamento Cato gera este erro quando o PoP não consegue acessar o DC para sincronização em tempo real. Este erro aparece ao clicar no botão "Mostrar Status" na seção Controladores de Domínio para Sincronização em Tempo Real ou por e-mail aos Administradores de Conta.

Solução

Este erro geralmente indica uma configuração incorreta das configurações da funcionalidade de Consciência do Usuário. Também pode ocorrer devido a configurações de firewall ou roteamento. Siga estes passos para resolver o problema:

1. Verifique os Eventos e confirme se existem eventos de usuários não identificados.
2. Verifique se o tráfego não está sendo bloqueado pela Internet/Firewall WAN devido a usuários não identificados.
3. Se esta é a primeira vez que você ativou o recurso de Consciência do Usuário e está recebendo erros de sincronização do DC, confirme que cada etapa esteja configurada corretamente. 
4. Certifique-se de que o DC esteja ativo e em execução.
5. Execute uma captura de tráfego a partir da IU do Socket, capturando os pacotes (PCAP) na interface LAN do Socket. Clique no botão Mostrar Status. Pare a captura e verifique a consulta WMI do PoP Cato e a resposta do servidor no arquivo de captura (usando qualquer ferramenta de análise de pacotes de rede como o Wireshark). Se o DC estiver atrás de um site IPsec, execute a captura no próprio DC.

Erro: NT_RPC_NT_CALL_FAILED

Desafio

O erro NT_RPC_NT_CALL_FAILED indica que o serviço RPC no DC não responde. Este erro aparece ao clicar no botão "Mostrar Status" nos controladores de domínio para Sincronização em Tempo Real. 

Solução

1. Verifique se o controlador de domínio está ativo e em execução, e verifique o Uso de CPU e a Memória. Às vezes, o alto uso de CPU ou Memória causa a sobrecarga do servidor.
2. Verifique se os serviços do Windows do DC estão iniciados e configurados para inicialização automática:
   • Servidor
   • Registro Remoto
   • WMI

Erro: Código NT 0x80010111

Desafio

Este erro significa que o PoP não pode se comunicar com o DC devido a uma incompatibilidade de cabeçalho RPC entre o PoP e o DC.

Solução

Este erro é comum especificamente no Windows Server 2022 onde a versão RPC do DC é validada. Este é um problema conhecido que os clientes podem encontrar. Se você receber este erro, por favor, abra um ticket com o Suporte da Cato para resolvê-lo.

Erro de Sincronização UA Código NT 0xc002001b

Problema

O erro 0xc002001b Código NT 0xc002001b aparecerá quando o Serviço RPC no Controlador de Domínio falhar em responder.

Este erro pode aparecer ao clicar em "Testar Conexão" em Acesso > Consciência do Usuário > LDAP ou ao enviar um e-mail aos Administradores de Conta. 

O problema pode causar:

• Os Usuários não são identificados em Eventos e Análises.
• O Tráfego é bloqueado pelo Firewall de Internet/WAN devido aos Usuários não serem identificados.
• Nova configuração do Cliente de Consciência do Usuário e recebendo erros de sincronia do DC. 

Possível Causa

Este problema pode ocorrer devido a recursos esgotados no controlador de domínio.

Solução de Problemas

Os seguintes passos são etapas de solução de problemas que podem ser seguidas: 

• Verifique se o controlador de domínio está ligado e não está esgotado (sem picos de Uso de CPU ou RAM).

  • Aumente a quantidade de RAM e CPUs no servidor, se possível.
  • Se não for possível adicionar mais recursos físicos ao servidor, siga os passos abaixo para aumentar a memória do Serviço Provedor WMI, gerenciar cotas e diminuir o tamanho dos logs de Evento de Segurança:
    
    • Aumente o WMI Valor de MemóriaPorHost (veja Aumentar as propriedades da cota WMI para valores máximos)
    Siga os passos abaixo para reduzir o limite de tamanho do Log de Segurança para 1MB:
    
    1. Abra o Visualizador de Eventos
    2. Navegue até Visualizador de Eventos > Logs do Windows > Segurança
    3. Clique com o botão direito em Segurança e clique em Propriedades
    4. Configure o Tamanho máximo do log (KB) para 1024
    5. Quando o tamanho máximo do log de eventos for alcançado selecione Substituir eventos conforme necessário (eventos mais antigos primeiro) ou Arquivar o log quando cheio, não substitua eventos.
    6. Clique em OK

• Verifique se os Serviços necessários do Controlador de Domínio estão em execução (abra services.msc e verifique se Servidor, Registro Remoto e Instrumentação de Gerenciamento do Windows foram iniciados e configurados para inicialização automática).

• Caso o controlador de domínio esteja mostrando sinais de estresse, pode ser necessário reiniciar o servidor.

Erro: Não é possível conectar ao Controlador de Domínio 0xc0000001 NT_STATUS_UNSUCCESSFUL

Se você vir a mensagem de erro de status malsucedido no Aplicativo de Gerenciamento Cato como segue:

“Não é possível conectar ao Controlador de Domínio 0xc0000001 NT_STATUS_UNSUCCESSFUL . Verifique se você integrou corretamente o Controlador de Domínio com a Rede Cato. Se o problema persistir, contate o Suporte da Cato para assistência. Clique aqui para Detalhes.”

Este é um erro geral que pode ser resultado de configurações incorretas do Controlador de Domínio. Recomendamos seguir o guia de configuração.

Erro - Não é possível conectar ao Controlador de Domínio (código 6)

Se você vir um erro de conexão código 6 no Aplicativo de Gerenciamento Cato, como segue:

Há alguns passos que você pode seguir para resolver o problema.

Reconectando o Socket Cato

Às vezes, esse problema é resolvido quando você usa a Interface Web do Socket para desconectar e reconectar o Socket à Nuvem da Cato.

Aviso! Uma Ação de reconexão do Socket desconectará todas as sessões atuais do Site. O Socket reconecta-se à Nuvem da Cato em poucos segundos e, em seguida, a conectividade é restaurada imediatamente. No entanto, algum tráfego sensível à conexão (como chamadas telefônicas) é interrompido.

Para realizar uma ação de reconexão no Socket:

1. Conecte-se à Interface Web do Socket, no seu navegador, insira https://<Endereço IP do Socket Cato>
   Por exemplo: https://10.0.0.26
2. Digite o nome de usuário e a senha.
3. Selecione a aba Configurações de Conexão da Cato.
4. Clique em Reconectar.
5. Saia da Interface Web do Socket.

Solução de Problemas de Conectividade com o DC

Após realizar a ação de reconexão do Socket, o erro do DC ainda persiste, aqui estão algumas sugestões adicionais para solucionar a conectividade com o DC:

1. Verifique a conexão do DC com a Nuvem Cato.
2. Verifique se há comunicação bidirecional entre o DC e a Nuvem Cato.

Para verificar se o DC está conectado à Nuvem Cato:

1. Certifique-se de que seu DC esteja ligado.
2. No Aplicativo de Gerenciamento Cato, vá para Inicial > Topologia e certifique-se de que o Site com o DC está conectado à Nuvem Cato.
3. Verifique que você possa fazer ping ao DC a partir de um host em um Site diferente, ou enquanto você está conectado ao VPN da Cato.
4. Se você não pode fazer ping no DC, aqui estão algumas formas de solucionar o problema:
   • No Aplicativo de Gerenciamento Cato, verifique Inicial > Eventos para um evento de bloqueio. Você precisa alterar a Política de Firewall WAN para permitir tráfego ICMP para o DC?
   • Verifique a Tabela de Roteamento no DC e certifique-se de que o tráfego está sendo roteado para o Socket Cato ou túnel IPsec.
   • Verifique a política do Windows Firewall no Controlador de Domínio para garantir que o tráfego ICMP não seja bloqueado.

Para verificar a comunicação entre o Controlador de Domínio e a Nuvem Cato:

1. Execute uma captura de pacotes na interface LAN do Socket.
   • Se o DC estiver atrás de um site IPsec, execute a captura no próprio DC.
2. Se houver comunicação bidirecional, você poderá ver uma conexão no TCP/135 para seu DC iniciada a partir da faixa VPN Cato (10.41.0.0/16 por padrão).
   Nota: Cato pode usar qualquer endereço IP da faixa VPN para iniciar a conexão.
   Nota: Iniciando no Windows Server 2008, você também deve permitir TCP 49152-65535 para o processo WMI através de qualquer firewall. Também é possível adicionar uma regra do firewall do Windows especificamente para o serviço WMI.  Veja : https://docs.microsoft.com/pt-br/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Se você não conseguir encontrar uma conexão que mostre comunicação bidirecional, aqui estão algumas dicas para resolver o problema:
   • Se você não vir nenhum tráfego vindo da faixa VPN para o Controlador de Domínio, entre em contato com o suporte Cato.
   • Se você vir apenas pacotes SYN no TCP/135 da faixa VPN Cato para o seu Controlador de Domínio, verifique a conectividade do DC:
     1. Inspecionar a Tabela de Roteamento no DC e certifique-se de que o tráfego esteja roteado para o Socket Cato ou o túnel IPsec.
     2. Verifique a política do Windows Firewall no Controlador de Domínio e certifique-se de que o tráfego não seja bloqueado.

Usuário não é mapeado por Consciência do Usuário

Desafio

Em alguns casos, os usuários são exibidos como "usuário não mapeado" na janela de Descoberta de Eventos. A razão de um usuário não mapeado é que o PoP foi capaz de descobrir o nome de usuário em tempo real (usando consultas WMI), mas este usuário não foi importado durante a sincronização LDAP e está não identificado. Portanto, o campo Nome da Política de AD do evento mostra usuário não mapeado.

Solução

1. Verifique se o usuário pertence ao grupo. Se você configurou os Serviços de Diretório de Cato para importar usuários e grupos do Controlador de Domínio, e um usuário não pertence ao grupo configurado, ele então aparece como um usuário não mapeado.
2. Verifique a configuração da política de auditoria para o Controlador de Domínio. Para mais informações veja Configuração da Política de Auditoria para o Controlador de Domínio.

Eventos de Logon Não Aparecem na Descoberta de Eventos

Desafio

Se você ativou Consciência do Usuário para sua conta, mas não consegue ver nenhum evento de logon de usuários na Descoberta de Eventos, siga os passos descritos na solução seguinte.

Solução

Verifique a configuração da política de auditoria no Controlador de Domínio. Para mais informações veja Configuração da Política de Auditoria para o Controlador de Domínio.

A Sincronização de Serviços de Diretório Não Importa Usuários

Desafio

Com Consciência do Usuário, mostra em tempo real quais são os nomes de usuário dos hosts atrás dos sites. Permite que você veja os nomes de usuário dos hosts e não apenas os endereços IP nas seções de Análises. Usuários são populados a partir da Sincronização de Serviços de Diretório. A Sincronização usa LDAP para consultar o servidor Active Directory (AD). Às vezes, a sincronização LDAP falha por diferentes motivos. Por exemplo, o LDAP da Microsoft tem uma limitação conhecida que só permite o retorno de objetos com menos de 1500 atributos em qualquer consulta única. Grandes organizações podem facilmente ter mais de 1500 membros atribuídos a um grupo. Assim, quando o PoP executa a consulta LDAP, qualquer grupo com mais de 1500 membros retornará uma lista de membros vazia para o Aplicativo de Gerenciamento Cato, resultando em usuários desativados/excluídos no CMA.

Solução

Como mencionado em Sincronizando Usuários com LDAP, para prevenir a desativação/exclusão indesejada de usuários devido a esta limitação, você pode personalizar o número máximo de usuários que podem alterar a associação a grupos de usuários em uma única sincronização configurando a opção "Prevenir atualização da associação a grupos" no CMA.

Para resolver a resposta de consulta vazia do Controlador de Domínio, você pode seguir estes passos:

1. Verifique se os seguintes serviços do Windows no Controlador de Domínio estão em execução e configurados como automáticos:

• Servidor
• WMI
• Registro Remoto

2. Você pode ajustar o atributo de política LDAP Microsoft para MaxValRange do Controlador de Domínio. Este atributo controla quantos valores serão retornados. Use os seguintes dois artigos para aumentar o MaxValRange ou remover a restrição totalmente. Se você não quiser modificar o atributo AD, então a Cato pode coletar grupos com menos de 1500 usuários.

Artigo MS sobre como ajustar MaxValRange usando a ferramenta ntdsutil: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

Artigo/blog da MS sobre como remover a restrição completamente:
https://docs.microsoft.com/pt-br/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

Eventos de Auditoria Ausentes ao usar o GPO

Desafio

Se você estiver usando um GPO com configurações avançadas de política de auditoria de segurança e nem todos os IDs de Eventos estiverem sendo registrados, siga os passos descritos na solução.

Solução

Verifique a configuração da política de auditoria para o Controlador de Domínio. Para mais informações, veja Configurando a Política de Auditoria para o Controlador de Domínio.

Configurando a Política de Auditoria para o Controlador de Domínio

A política de auditoria pode ser definida localmente no Controlador de Domínio ou aplicada via GPO. GPO sobrescreve a política de segurança local. As configurações de política de auditoria avançadas sobrescrevem as configurações de política de auditoria básicas.

Verifique se a política de auditoria está configurada com os IDs de Eventos que a Consciência do Usuário usa no log de segurança do Windows para mapear usuários com endereços IP.

A lista a seguir contém os IDs de Eventos que a Cato usa na política de auditoria:

• 4768 - Um ticket de autenticação Kerberos (TGT) foi solicitado
• 4769 - Um ticket de serviço Kerberos foi solicitado
• 4770 - Um ticket de serviço Kerberos foi renovado
• 4776 - O controlador de domínio tentou validar as credenciais para uma conta\
• 4624 - Uma conta foi conectada com sucesso
• 4648 - Uma tentativa de logon foi feita usando credenciais explícitas
• 5140 - Um objeto de compartilhamento de rede foi acessado
• 5145 - Um objeto de compartilhamento de rede foi verificado para ver se o cliente pode receber o acesso desejado

Para Configurar a Política de Auditoria Localmente no DC

1. Abrir Política de Segurança Local.
2. Vá para Configurações de Segurança > Políticas Locais > Política de Auditoria para configurar a política de auditoria básica, ou vá para Configurações de Segurança > Configuração Avançada da Política de Auditoria > Política de Auditoria para configurar a política de auditoria avançada que oferece mais controle sobre o log.

Para Configurar a Política de Auditoria usando Política de Grupo:

1. Abrir Editor de Gerenciamento de Políticas de Grupo.
2. Clique com o botão direito no GPO que se aplica a todos os Controladores de Domínio e selecione "Editar"
3. Expanda Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Política de Auditoria para política de auditoria básica ou Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Configuração Avançada da Política de Auditoria > Política de Auditoria para política de auditoria avançada.

A lista a seguir contém os IDs de Eventos que são usados pela Consciência do Usuário da Cato:

Política de Auditoria Básica

• Auditoria de eventos de logon - 4624, 4648
• Auditoria de eventos de logon de contas - 4768, 4769, 4770, 4776
• Auditoria de acesso a objetos - 5140, 5145

Política de Auditoria Avançada

• Logon de Conta
  • Auditoria do Serviço de Autenticação Kerberos – 4768
  • Auditoria das Operações de Ticket de Serviço Kerberos - 4769, 4770
  • Auditoria da Validação de Credenciais – 4776
• Logon/Logoff
  • Auditoria de Logon - 4624, 4648
• Acesso a Objetos
  • Auditoria de Compartilhamento de Arquivo – 5140
  • Auditoria Detalhada de Compartilhamento de Arquivo - 5145

Você pode verificar qual é a política de auditoria efetiva em um Controlador de Domínio executando o seguinte comando em um prompt de comando: auditpol /get /category:*