Пользователь не сопоставлен осведомленностью пользователя на основе WMI

Проблема

После настройки Осведомленности пользователя и убедившись, что тесты соединения контроллера WMI успешны в Доступ > Осведомленность пользователя, некоторые пользователи все равно не идентифицированы.

Решение

1. Проверьте Политику на контроллерах домена

Убедитесь, что Аудит событий входа учетной записи и Аудит событий входа установлены на Успех в Локальной политике безопасности на каждом контроллере домена. 

Политику можно найти в Настройках безопасности > Локальные политики > Политика аудита в Локальной политике безопасности.

Примечание: Политика может управляться GPO. Если "Аудит событий входа учетных записей" установлен на "Нет аудита" и политика управляется GPO, вам необходимо редактировать настройки в GPO. Вы не сможете изменить настройку в Локальной политике безопасности.

Если события входа настроены на успех, вы сможете видеть события в Просмотре событий на контроллере домена. Cato читает следующие ID событий для целей Осведомленности Пользователя:

• 4624
• 4768
• 4769
• 4770
• 5140
• 5145

2. Убедитесь, что все контроллеры домена добавлены к WMI контроллерам для синхронизации в реальном времени в Приложение управления Cato

События аудита не реплицируются между контроллерами домена, поэтому необходимо добавить все контроллеры домена, к которым пользователи могут аутентифицироваться, в WMI контроллеры для синхронизации в реальном времени конфигурации в Приложение управления Cato. Если пользователь аутентифицируется на контроллере домена, который не добавлен в конфигурацию, Cato не сможет прочитать событие входа для этого пользователя, и пользователь не будет идентифицирован.

После добавления всех контроллеров домена в Приложение управления Cato, также убедитесь, что тест соединения для всех из них прошел успешно.

3. Убедитесь, что контроллер домена подключен и не исчерпал ресурсы

Подтвердите, что на контроллере домена нет пиков использования ЦП или памяти, которые могут повлиять на запросы WMI для осведомленности пользователя. Если контроллер домена проявляет исчерпание ресурсов, следуйте шагам ниже:

• Увеличьте количество памяти и ЦП на сервере, если это возможно.
• Если добавить больше физических ресурсов на сервер невозможно, следуйте шагам ниже, чтобы увеличить память службы WMI Provider, объемы обработки и уменьшить размер журналов событий безопасности:
  
  • Увеличьте WMI MemoryPerHost значение (см. Увеличение свойств квоты WMI до максимальных значений)
  Следуйте шагам ниже, чтобы уменьшить предельный размер журнала безопасности до 1МБ:
  
  1. Откройте Просмотр событий
  2. Перейдите в Просмотр событий > Журналы Windows > Безопасность
  3. Щелкните правой кнопкой мыши на Безопасность и выберите Свойства
  4. Установите Максимальный размер журнала (КБ) на 1024
  5. Когда достигнут максимальный размер журнала событий выберите Перезаписывать события по мере необходимости (самые старые события в первую очередь) или Архивировать журнал при заполнении, не перезаписывать события.
  6. Нажмите ОК

4. Проверьте, что пользователь создал событие входа на контроллер домена.

Вы можете определить, на какой контроллер домена пользователь аутентифицировался, с помощью любого из следующих команд из командной строки на компьютере пользователя:

• set l
• echo %logonserver%
• nltest /dsgetdc:domain.com

После определения аутентифицирующего контроллера домена откройте Просмотр событий на этом контроллере и перейдите в Журналы Windows > Безопасность. Вы можете добавить фильтр для ID события входа из списка выше, например 4624, а затем искать имя пользователя. 

Если вы найдете успешное событие входа для пользователя, и этот контроллер домена прошел тест соединения WMI контроллеров для синхронизации в реальном времени в Приложение управления Cato, то Осведомленность Пользователя должна работать для этого пользователя. Если Осведомленность Пользователя все еще не работает, пожалуйста, свяжитесь с Поддержкой Cato для получения помощи.

Если вы не найдете успешное событие входа для пользователя, вы можете запустить запрос WMI из командной строки на компьютере, подключенном к домену, чтобы проверить, что пользователь вошел в компьютер.

Запрос WMI с использованием IP-адреса:

WMIC /NODE: <IP-адрес> COMPUTERSYSTEM GET USERNAME

Пример:

5. Убедитесь, что пользователь включен в CMA

Пользователи, импортированные в CMA, могут быть отключены либо путем удаления их из группы пользователей на стороне IdP, либо путем ручного отключения в CMA. Пользователи со статусом отключен не будут соотнесены UA.

Убедитесь, что пользователь включен в CMA.