Справочник XOps Network — WMI Справочник Доступа к Контроллерам Доменов

Обзор

Этот справочник поможет вам устранить оповещение о сбое синхронизации WMI, которое может возникнуть из-за множества проблем, таких как разрешения или неверные учетные данные.

Проверка неудавшейся запланированной синхронизации

• В рабочей области Историй используйте предустановку сетевых операций и добавьте новый фильтр индикаций с "Сбой подключения к контроллеру домена - WMI"
  
• Убедитесь, что создана история, как показано ниже.
  
• Проверьте сообщение события истории и IP-адрес источника, чтобы найти ошибку и исходный сервер.
  
• В CMA перейдите к Доступ > Службы каталогов > LDAP, найдите запись и нажмите "Тест соединения", чтобы подтвердить ошибку.
• Перейдите в соответствующий раздел по устранению неисправностей и выполните описанные шаги для решения проблемы.

NT_STATUS_ACCESS_DENIED

Это сообщение об ошибке указывает на проблему с разрешениями. Приложение Управления Cato уведомляет, когда не может получить доступ к контроллеру домена. Это сообщение об ошибке обычно сопровождается событием «DC_Connectivity_Failure» в разделе аналитики. Приложение Управления Cato создает это событие (один раз в час) при сбое соединения с контроллером домена.

Ошибка появляется в CMA при выборе "Тест соединения" в разделе Доступ > Службы каталогов > LDAP для синхронизации в реальном времени или при отправке электронной почты администраторам учетных записей.

Возможные причины

• Контроллер домена отключен
• Правила брандмауэра, блокирующие трафик на контроллере домена 
• Проблемы с маршрутизацией к контроллеру домена
• Некорректная конфигурация контроллера домена
• Неправильный пароль, введенный в Cato, или истечение срока действия пароля

Шаги устранения неисправностей

1. Проверьте имя пользователя и пароль. Убедитесь, что введено правильное имя входа DN и пароль. 
2. Убедитесь, что сокет Cato передает правильное имя пользователя при попытке соединения, захватывая пакеты (PCAP) на интерфейсе ЛВС сокета или самого контроллера домена.
   • Отфильтруйте захват по IP-адресу контроллера домена и порту назначения 135.
   • Используя Wireshark, вы должны видеть пакет сОшибкой в начале поля информации иnca_s_fault_access_denied в конце. Пакет перед этим содержит имя пользователя и домен, отправленные Cato на контроллер домена, как показано на изображении ниже:
3. Проверьте разрешения пользователя на чтение журнала событий из настроек контроллера домена. Следуйте онлайн-руководству по настройке Windows.
4. Если вы включили ежедневную синхронизацию групп пользователей службы каталогов и пользователей (Осведомленность), убедитесь, что вы настроили контроллеры домена для реальной временной синхронизации. Нажмите "Тест соединения" и посмотрите, получите ли вы результат "Успешное соединение".
5. Проверьте события в разделе Мониторинг. Вы можете отфильтровать события по типу события: система и подтипу события: Службы каталогов и искать ошибки подключения к контроллеру домена или синхронизации.
6. Посмотрите в онлайновом руководстве и проверьте настройки конфигурации контроллера домена.
7. Проверьте, блокирован ли трафик интернетом или брандмауэром WAN. Правило брандмауэра, блокирующее неидентифицированных пользователей, может блокировать пользователя синхронизации Cato и службы каталогов.
8. Пройдите все шаги настройки в онлайновом руководстве еще раз, чтобы убедиться, что каждый шаг выполнен правильно. Если разрешения не настроены правильно для учетной записи службы, используемой для соединения, вы получите ошибку доступа к соединению.

NT_STATUS_UNSUCCESSFUL

Ошибка появится, когда точка присутствия не может получить доступ к контроллеру домена для реальной временной синхронизации. Эта ошибка появляется при выборе "Тест соединения" в CMA в разделе Доступ > Службы каталогов > LDAP для реальной временной синхронизации.

Эта ошибка обычно указывает на некорректную настройку параметров функции Осведомленности пользователей. Она также может возникнуть из-за неправильной настройки брандмауэра или маршрутизации. 

Возможные причины

• Пользователи не идентифицированы в событиях и аналитике
• Трафик блокируется брандмауэром Интернета/WAN из-за того, что пользователи не идентифицированы 
• Новая установка клиента функции Осведомленности пользователей и получение ошибок синхронизации контроллера домена 
• Некорректная конфигурация функции Осведомленности пользователей
• Проблемы с маршрутизацией

Шаги устранения неисправностей

1. Проверьте события и убедитесь, что есть события неидентифицированных пользователей.
2. Проверьте, что трафик не заблокирован брандмауэром Интернета/WAN из-за неидентифицированных пользователей.
3. Если это первый раз, когда вы включили функцию Осведомленности пользователей и получаете ошибки синхронизации контроллера домена, убедитесь, что каждый шаг настроен правильно. 
4. Убедитесь, что контроллер домена включен и работает.
5. Запустите захват трафика из интерфейса пользователя сокета, захватив пакеты (PCAP) на интерфейсе ЛВС сокета. 
   • Нажмите кнопку Показывать Статус. 
   • Остановите захват и найдите запрос WMI от точки присутствия Cato и ответа сервера в файле захвата (используйте любой инструмент анализа сетевых пакетов, такой как Wireshark). Если контроллер домена находится за сайтом IPsec, запустите захват непосредственно на контроллере домена.

NT_RPC_NT_CALL_FAILED

Ошибка указывает на то, что служба RPC на контроллере домена не отвечает. Эта ошибка появляется при нажатии кнопки 'Показать Статус' в контроллерах домена для реальной временной синхронизации. 

Возможные причины

• Служба RPC или её зависимости остановлены или не отвечают.
• Служба WMI остановлена или зависла
• Высокая загруженность процессора или памяти вызывает таймауты RPC.

Шаги устранения неисправностей

1. Убедитесь, что контроллер домена включен и работает, и проверьте загруженность процессора и памяти. Иногда высокая загруженность процессора или памяти вызывает перегрузку сервера.
2. Убедитесь, что службы Windows на контроллере домена запущены и настроены на автоматический запуск:
   • Сервер
   • Удаленный Реестр
   • WMI

NT Code 0x80010111

Эта ошибка означает, что точка присутствия не может связаться с контроллером домена из-за несовпадения заголовка RPC между точкой присутствия и контроллером домена.

Возможные причины

Эта ошибка специфична для Windows Server 2022, где проверяется версия RPC контроллера домена. Это известная проблема, с которой могут столкнуться клиенты. 

Шаги устранения неисправностей

Если вы получили эту ошибку, пожалуйста, откройте заявку в поддержку Cato для её решения.

Ошибка синхронизации UA код NT 0xc002001b

Ошибка появляется, когда служба RPC на контроллере домена не отвечает.

Эта ошибка может возникнуть при выборе "Тест соединения" в разделе Доступ > Осведомленность пользователей > LDAP или при отправке электронной почты администраторам учетных записей. Возможный результат:

• Пользователи не идентифицированы в событиях и аналитике.
• Трафик блокируется брандмауэром Интернета/WAN из-за того, что пользователи не идентифицированы.
• Новая установка клиента функции Осведомленности пользователей и получение ошибок синхронизации контроллера домена.

Возможные причины

Эта проблема может возникать из-за исчерпанных ресурсов на контроллере домена.

Шаги устранения неисправностей

Следующие шаги являются шагами устранения неисправностей, которые можно выполнить: 

1. Убедитесь, что контроллер домена работает и не исчерпан (нет всплесков ЦП или ОЗУ).
2. Увеличьте количество ОЗУ и процессоров на сервере, если это возможно.
   • Если невозможно добавить больше физических ресурсов на сервер, следуйте приведенным ниже шагам для увеличения памяти службы провайдера WMI, обработки квот и уменьшения размера журналов событий безопасности:
   • Увеличьте значение WMI MemoryPerHost (см. Увеличение свойств квот WMI до максимальных значений)
   • Следуйте приведенным ниже шагам, чтобы уменьшить ограничение размера журнала безопасности до 1 МБ:
     • Откройте Просмотр событий
     • Перейдите к Просмотр событий > Журналы Windows > Безопасность
     • Щелкните правой кнопкой мыши Безопасность и выберите Свойства
     • Установите Максимальный размер журнала (КБ) на 1024
     • Когда достигнут максимальный размер журнала событий, выберите Перезаписать события по мере необходимости (сначала самые старые события) или Архивировать журнал при заполнении, события не перезаписывать.
     • Нажмите ОК
3. Убедитесь, что требуемые службы контроллера домена запущены (откройте services.msc и проверьте, что сервер, удаленный реестр и средства управления Windows запущены и настроены на автоматический запуск).
4. Если контроллер домена показывает признаки стресса, возможно потребуется перезагрузить сервер.

Не удается подключиться к контроллеру домена 0xc0000001 NT_STATUS_UNSUCCESSFUL

Эта общая ошибка может возникнуть вследствие неправильных настроек контроллера домена. Рекомендуем следовать руководству по настройке.

Не удается подключиться к контроллеру домена (код 6)

Сбой RPC/доступ или проблемы с подключением, указывающие, что система не может установить связь с контроллером домена

Возможные причины

• Проблемы с подключением между контроллером домена и облаком Cato
• Контроллер домена отключен, перезагружается или перегружен.
• Служба RPC или зависимости не работают на контроллере домена

Шаги устранения неисправностей

Иногда эта проблема решается, когда вы используете веб-интерфейс сокета, чтобы отключить и переподключить сокет к облаку Cato. 

Пожалуйста, см. https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

ВНИМАНИЕ! Действие переподключения сокета отключает все текущие сеансы для сайта. Сокет переподключается к облаку Cato в течение нескольких секунд, и соединение восстанавливается немедленно. Однако некоторый трафик, чувствительный к соединению (например, телефонные звонки), прерывается.

Чтобы выполнить действие переподключения сокета:

1. Подключитесь к веб-интерфейсу сокета, в браузере введите https://<IP-адрес сокета Cato>
   Например: https://10.0.0.26
2. Введите имя пользователя и пароль.
3. Выберите вкладку Настройки соединения Cato.
4. Нажмите Переподключить:

5. Выйдите из веб-интерфейса сокета.

После выполнения действия переподключения сокета ошибка контроллера домена остается. Вот некоторые дополнительные предложения для устранения проблем с подключением к контроллеру домена:

1. Проверьте соединение контроллера домена с облаком Cato.
2. Убедитесь, что есть двусторонняя связь между контроллером домена и облаком Cato.

Чтобы убедиться, что контроллер домена подключен к облаку Cato:

1. Убедитесь, что ваш контроллер домена включен.
2. В Приложении Управления Cato перейдите на Главная > Топология и убедитесь, что сайт с контроллером домена подключен к облаку Cato.
3. Убедитесь, что вы выполняете ping DC из хоста на другом сайте или подключены к VPN Cato.
4. Если вы не можете выполнить ping DC, вот некоторые способы устранения проблемы:
   • Проверьте Домашняя > События на заблокированные события в Приложение Управления Cato. Нужно ли вам изменить политику Брандмауэр WAN, чтобы разрешить трафик ICMP к DC?
   • Проверьте таблицу маршрутизации DC и убедитесь, что трафик направлен через сокет Cato или туннель IPsec.
   • Проверьте политику файервола Windows на DC, чтобы убедиться, что трафик ICMP не заблокирован.

Чтобы проверить связь между DC и облаком Cato:

1. Запустите захват пакетов на интерфейсе ЛВС сокета. Пожалуйста, смотрите: https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
   • Если DC находится за сайтом IPsec, выполните захват на самом DC.
2. Если есть двусторонняя связь, вы можете увидеть соединение на TCP/135 с вашим DC, инициированное из диапазона VPN Cato (10.41.0.0/16 по умолчанию).
   Примечание: Cato может инициировать соединение с любым IP-адресом из диапазона VPN.
   Примечание: Начиная с Windows Server 2008, вы также должны разрешить TCP 49152-65535 для процесса WMI через любой файервол. Добавить правило файервола Windows для сервиса WMI также возможно. См. : https://docs.microsoft.com/ru/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Если вы не можете найти соединение, показывающее двустороннюю связь, вот несколько шагов для устранения проблемы:
   • Связаться со службой поддержки Cato, если вы не видите никакого трафика от диапазона VPN к DC.
   • Если вы видите только пакеты SYN на TCP/135 из диапазона VPN Cato к вашему DC, проверьте соединение DC:
     • Проверьте таблицу маршрутизации DC и убедитесь, что трафик маршрутизируется к сокету Cato или туннелю IPsec.
     • Проверьте политику файервола Windows на DC и убедитесь, что трафик не заблокирован.

Создание заявок в службу поддержки Cato

Если следование этому плейбуку не решило проблему, подайте тикет в поддержку. Чтобы получить наиболее полезный ответ на запрос, администратор должен предоставить результаты выполненных действий по устранению неполадок.