Обзор

Вы видите сообщение об ошибке в Приложение Управления Cato для контроллера домена (DC). Мы здесь чтобы помочь! В этой статье рассматриваются шаги по устранению неполадок и решения для распространенных ошибок при выполнении теста соединения в разделе Службы каталогов > Контроллеры домена для синхронизации в реальном времени.

Для получения дополнительной информации смотрите Настройка Windows сервера для служб каталогов.

Ошибка - Невозможно подключиться к контроллеру домена (код 6)

Если вы видите ошибку соединения с кодом 6 в Приложение Управления Cato, как показано ниже:

Существуют некоторые шаги, которые вы можете предпринять для устранения проблемы.

Переподключение Сокета Cato

Иногда проблему можно решить, если использовать Веб-интерфейс сокета для отключения и повторного подключения сокета к облаку Cato.

Внимание! Действие переподключения Sockets отключает все текущие сессии сайта. Сокет переподключается к Cato Cloud за несколько секунд, и соединение восстанавливается немедленно. Однако, некоторый чувствительный к соединению трафик (например, телефонные звонки) будет потерян.

Чтобы выполнить действие переподключения на сокете:

1. Подключитесь к Веб-интерфейсу сокета, в вашем браузере введите https://<IP-адрес Cato Socket>
   Например: https://10.0.0.26
2. Введите имя пользователя и пароль.
3. Выберите вкладку Настройки подключения Cato.
4. Нажмите Переподключить к предпочтительному POP.
5. Выйдите из Веб-интерфейса сокета.

Устранение неполадок подключения к DC

После выполнения действия переподключения сокета ошибка контроллера домена сохраняется. Вот некоторые дополнительные предложения по устранению неполадок подключения к контроллеру домена:

1. Проверьте соединение DC с облаком Cato.
2. Убедитесь, что имеется двусторонняя связь между DC и облаком Cato.

Чтобы проверить, что DC подключен к облаку Cato:

1. Убедитесь, что ваш DC включён.
2. В Приложение Управления Cato перейдите в Домашняя > Топология и убедитесь, что сайт с DC подключен к Cato Cloud.
3. Убедитесь, что вы можете отправить запрос ping на DC из хоста на другом сайте или когда вы подключены к Cato VPN.
4. Если вы не можете отправить запрос ping на DC, вот несколько способов для устранения проблемы:
   • Проверьте Домашняя > События на наличие события блокировки в Приложение Управления Cato. Нужно ли вам изменять Политику брандмауэра WAN для разрешения трафика ICMP к DC?
   • Проверьте таблицу маршрутизации контроллера домена и убедитесь, что трафик направляется к Сокету Cato или туннелю IPsec.
   • Проверьте политику брандмауэра Windows на DC, чтобы убедиться, что трафик ICMP не блокируется.

Для проверки общения между DC и облаком Cato:

1. Запустите захват пакетов на LAN-интерфейсе Сокета.
   • Если DC находится за IPsec участком, запустите захват на самом DC.
2. Если существует двусторонняя связь, вы можете увидеть подключение на TCP/135 к вашему контроллеру домена, инициированное из диапазона VPN Cato (по умолчанию 10.41.0.0/16).
   Примечание: Cato может инициировать подключение с любого IP-адреса из диапазона VPN.
   Примечание: Начиная с Windows Server 2008, вы также должны разрешить TCP 49152-65535 для процесса WMI через любой файервол. Возможно, также добавление правила файервола Windows для службы WMI. См. : https://docs.microsoft.com/ru/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Если вы не можете найти соединение, которое показывает двустороннюю связь, вот некоторые шаги для устранения проблемы:
   • Свяжитесь со службой поддержки Cato, если вы не видите никакого трафика из диапазона VPN к контроллеру домена.
   • Если вы видите только пакеты SYN на TCP/135 из диапазона VPN Cato к вашему DC, проверьте подключение DC:
     1. Проверьте таблицу маршрутизации контроллера домена и убедитесь, что трафик направляется к Сокету Cato или туннелю IPsec.
     2. Проверьте политику брандмауэра Windows на DC и убедитесь, что трафик не блокируется.

Ошибка: Невозможно подключиться к контроллеру домена 0xc0000022 NT_STATUS_ACCESS DENIED

Если вы видите сообщение об ошибке Доступ в Приложение Управления Cato, а именно:

Есть некоторые шаги, которые вы можете предпринять, чтобы устранить проблему аутентификации:

1. Проверьте имя пользователя и Пароль в Приложении Управления Cato.
   • Убедитесь, что имя пользователя правильно
   • Попробуйте ввести Пароль снова - возможно, была допущена опечатка
2. Убедитесь, что Cato отправляет правильное имя пользователя в ходе попытки соединения. Запустите захват пакетов на интерфейсе ЛВС Socket или на самом Домене Контроллера.
   • Отфильтруйте захват по IP-адресу Контроллера домена и порту назначения 135.
   • С помощью Wireshark вы должны увидеть пакет с Fault в начале поля информации и nca_s_fault_access_denied в конце. Пакет перед этим содержит имя пользователя и домен, отправленные Cato на контроллер домена, как показано на скриншоте ниже.
3. Повторно пройдите все шаги конфигурации в Руководство Онлайн Помощи, чтобы убедиться, что каждый шаг выполнен правильно. Если разрешения настроены неправильно на учетной записи сервиса, используемой для соединения, вы получите ошибку отказа в доступе.
   Подсказка: Чтобы убедиться, что ошибка вызвана проблемой с разрешениями на контроллере домена, вы можете временно установить Администратора домена в качестве пользователя сервиса. По умолчанию администраторы домена имеют все необходимые разрешения.

Ошибка: Не удается подключиться к контроллеру домена 0xc0000001 NT_STATUS_UNSUCCESSFUL

Если вы видите сообщение об ошибке статуса безуспешной попытки в Приложении Управления Cato, а именно:

“Не удается подключиться к контроллеру домена 0xc0000001 NT_STATUS_UNSUCCESSFUL. Убедитесь, что вы корректно интегрировали Контроллер домена с сетью Cato. Если проблема сохраняется, свяжитесь с Поддержка Cato для получения помощи. Щелкните здесь для подробностей.”

Эта общая ошибка может быть результатом неправильной конфигурации контроллера домена. Мы рекомендуем следовать руководству по настройке.

Ошибка: 0xc00000b5 NT_STATUS_IO_TIMEOUT

В случае если Приложение Управления Cato показывает событие безопасности, как на картинке ниже, показывающее ошибку 0xc00000b5 NT_STATUS_IO_TIMEOUT, пожалуйста, свяжитесь с нашей Поддержкой