XOps Network Playbook - Не удалось синхронизировать LDAP Active Directory

Активный каталог необходим для предоставления пользователей в CMA, обеспечения бесшовной интеграции и доступа к облачным ресурсам. Если синхронизация с AD не удалась, новые пользователи не смогут подключиться или получить доступ к облачным услугам, и политики безопасности могут быть не применены должным образом. Учитывая важность этого процесса, история XOPs будет создана при каждом сбое синхронизации между Active Directory и CMA, что позволит оперативно решить проблему и минимизировать возможные сбои.

При работе с историями XOps сети важно подходить к проблеме систематически. Во-первых, проверьте, что проблема актуальна, затем выполните устранение неполадок и, наконец, подтвердите, что проблема разрешена.

Шаг 1 - Проверка, что сбой синхронизации произошел по расписанию

Следующие способы может использовать администратор приложения управления Cato для проверки, что синхронизация не удалась по расписанию. 

• История XOps будет создана при сбое синхронизации по расписанию.
• Перейдите на страницу Рабочая область Историй и используйте предустановку Сетевые Операции, включая фильтр 'Индикация Содержит LDAP'. Настройте временной интервал по необходимости.
  
• Проверьте, сгенерирована ли история, как показано ниже.
  
• Нажмите на историю, чтобы изучить детали. Она содержит информацию о статусе истории, хронологию инцидента и, что более важно, статус запланированной синхронизации. 
  
• При дальнейшем просмотре в истории вы найдете Хронологию инцидента. Эта хронология выделяет любые изменения в статусе запланированных синхронизаций. На правой панели вы увидите рабочий процесс плейбука, который описывает шаги по устранению неполадок.
  
  

Использование события

Этот раздел описывает инструменты, доступные в Cato, для структурированного подхода к устранению проблем данного типа. Хотя шаги, как правило, предполагается выполнять по порядку, результаты каждой проверки могут влиять на следующий шаг в процессе.

• Чтобы определить, была ли проблема единоразовой, выполните ручную синхронизацию с AD/DC.Перейдите в Доступ > Службы каталогов > LDAP, и нажмите Синхронизировать сейчас.
  
• Если ручная синхронизация завершится успешно, это может указывать на то, что сбой синхронизации по расписанию был единичным инцидентом. Администратор должен проверить, совпадали ли какие-либо сетевые сбои или мероприятия по обслуживанию сервера с временем запланированной синхронизации.
• Если ручная синхронизация также не удалась, это указывает на то, что проблема сохраняется и синхронизация с AD/DC не завершается успешно. В этом случае проверьте, произошли ли какие-либо последние изменения конфигурации, которые могли привести к проблеме.
   

• Просмотрите изменения на странице Журнал аудита, чтобы определить, является ли изменение конфигурации причиной данной проблемы. Этот шаг особенно важен, если запланированная синхронизация работала в нормальном режиме, но перестала функционировать неожиданно.
• Чтобы просмотреть любые изменения конфигурации домена, отфильтруйте Панель управления аудита, установив Тип модели на Домен. Настройте временной интервал по необходимости в соответствии с момента возникновения проблемы.
  
• Например, ниже приведенный снимок показывает, что администратор внес изменения в конфигурацию домена. Если временные рамки этой активности совпадают с моментом сбоя синхронизации по расписанию, администратор может отменить изменения, чтобы определить, являются ли изменения причиной. 
  
• Другим фактором, который может влиять на соединение с доменом, является Статическая резервация хоста, настроенная на сайте, где расположен домен.
• Чтобы проверить, были ли внесены изменения в Статическую резервацию хоста, откройте Панель управления аудитом и отфильтруйте результаты, установив Тип модели на Сайт и Имя модели на сайт, в котором находится домен. В приведенном ниже примере домен находится в центральном офисе. 
  

Выполнение теста соединения с контроллером домена

• Чтобы проверить соединение с контроллером домена, выполните ping тест от LAN интерфейса розетки, где находится контроллер домена.

• Из CMA, откройте Веб-интерфейс сокета, затем перейдите в Инструменты, выбрав вкладку Ping. В разделе Маршрут через выберите LAN, введите IP-адрес контроллера домена, и нажмите Запустить для выполнения теста.
  

• Если ping тест завершается успешно, проблема может быть связана с несоответствием конфигурации между DC и CMA, а не с проблемой соединения.

• Если ping тест не удался, убедитесь, что контроллер домена (DC) включен и доступен. Если DC работает, проверьте, не блокируют ли соединение какие-либо промежуточные устройства (например, файерволы или маршрутизаторы).

   

После идентификации и устранения проблемы, которая вызвала сбой синхронизации по расписанию, убедитесь, что синхронизация теперь отображается как решенная в Истории. 

ПРИМЕЧАНИЕ: Как только проблема будет решена, статус истории изменится с "Открыто" на "Мониторинг". Она останется в этом состоянии в течение следующего часа, если не возникнет дополнительных инцидентов. Для получения дополнительной информации обратитесь к Понимание колонок историй. 

Поднятие ситуаций в поддержку Cato

Если следование этому плейбуку не решило проблему, подайте тикет в поддержку. Чтобы получить наиболее полезный ответ на запрос, администратор должен предоставить результаты выполненных шагов по устранению неполадок.