В этой статье описываются распространенные проблемы службы каталогов и осведомленности пользователей, а также предлагаемые решения. Для получения дополнительной информации см. Настройка сервера Windows для служб каталогов.

Ошибка: Невозможно подключиться к контроллеру домена

Задача

Это сообщение об ошибке указывает на сбой соединения с контроллером домена (DC) в основном из-за недействительных учетных данных. За этим сообщением об ошибке обычно следует сообщение об ошибке «Недействительные учетные данные».

Решение

Проверьте, что вы правильно ввели Настройки Аутентификации LDAP (Имя входа DN, Базовый DN и Пароль) в Приложении Управления Cato (Доступ > Службы каталогов).

Ошибка: NT_STATUS_ACCESS_DENIED

Задача

Это сообщение об ошибке указывает на проблему с разрешениями. Приложение Управления Cato уведомляет, когда не может получить доступ к контроллеру домена. За этим сообщением об ошибке обычно следует событие: «DC_Connectivity_Failure» в разделе аналитики. Приложение Управления Cato генерирует это событие (раз в час), когда соединение с контроллером домена не удается.

Решение

Следуйте этим шагам, чтобы устранить эту проблему:

1. Проверьте имя пользователя и пароль. Проверьте, что вы ввели правильные Имя входа DN и Пароль. Проверьте, отправляет ли сокет Cato правильное имя пользователя в попытке соединения, захватив пакеты (PCAP) на интерфейсе ЛВС сокета или самого контроллера домена.
2. Проверьте разрешения пользователя для чтения журнала событий из настроек контроллера домена. Следуйте онлайн-руководству по помощи - конфигурация Windows.
3. Если вы включили ежедневную синхронизацию групп и пользователей Службы каталогов (Осведомленность Пользователя), проверьте, что вы настроили контроллеры домена для синхронизации в реальном времени. Нажмите «Проверить соединение» и убедитесь, что вы получили результат «Соединение успешно».
4. Проверьте наличие событий в разделе Мониторинг. Вы можете отфильтровать события по типу события: система и по подтипу события: Службы каталогов и искать ошибки соединения или синхронизации DC.
5. Следуйте онлайн-руководству по помощи и проверьте настройки конфигурации контроллера домена.
6. Проверьте, что трафик не блокируется Интернетом или Брандмауэром WAN. Правило брандмауэра, блокирующее неопознанных пользователей, может блокировать синхронизированного пользователя Cato и блокировать службы каталогов.
7. Пройдите через все шаги конфигурации в онлайн-руководстве помощи еще раз, чтобы убедиться, что каждый шаг был выполнен правильно. Если разрешения на учетной записи службы, используемой для соединения, настроены неправильно, вы получите ошибку отказа в доступе.

Ошибка: NT_STATUS_UNSUCCESSFUL

Задача

Приложение Управления Cato создает эту ошибку, когда PoP не может получить доступ к контроллеру домена для синхронизации в реальном времени. Эта ошибка появляется при нажатии кнопки «Показать Статус» в разделе контроллеров домена для синхронизации в реальном времени или по электронной почте администраторам аккаунтов.

Решение

Эта ошибка обычно указывает на некорректную настройку параметров функции Осведомленность Пользователя. Она также может возникать из-за конфигурации брандмауэра или маршрутизации. Следуйте этим шагам, чтобы устранить проблему:

1. Проверьте события и подтвердите, есть ли события неопознанных пользователей.
2. Проверьте, что трафик не блокируется Брандмауэром Интернет/WAN из-за неопознанных пользователей.
3. Если это первый раз, когда вы включили функцию Осведомленность Пользователя и получаете ошибки синхронизации DC, подтвердите, что каждый шаг настроен правильно. 
4. Убедитесь, что контроллер домена работает и функционирует.
5. Запустите захват трафика из пользовательского интерфейса сокета, фиксируя пакеты (PCAP) на интерфейсе ЛВС сокета. Нажмите на кнопку Показать Статус. Остановите захват и ищите запрос WMI от PoP Cato и ответ сервера в файле захвата (используя любой инструмент анализа сетевых пакетов, такой как Wireshark). Если контроллер домена находится за площадкой IPsec, запустите захват на самом контроллере домена.

Ошибка: NT_RPC_NT_CALL_FAILED

Задача

Ошибка NT_RPC_NT_CALL_FAILED указывает, что служба RPC на контроллере домена не отвечает. Эта ошибка появляется при нажатии кнопки «Показать Статус» в разделе контроллеров домена для синхронизации в реальном времени. 

Решение

1. Убедитесь, что контроллер домена работает и функционирует, и проверьте использование ЦП и память. Иногда высокое использование ЦП или памяти вызывает перегрузку сервера.
2. Убедитесь, что службы Windows на контроллере домена запущены и настроены на автоматический запуск:
   • Сервер
   • Удаленный реестр
   • WMI

Ошибка: NT код 0x80010111

Проблема

Эта ошибка означает, что PoP не может связаться с контроллером домена из-за несовпадения заголовка RPC между PoP и контроллером домена.

Решение

Эта ошибка часто встречается на Windows Server 2022, где проверяется версия RPC контроллера домена. Это известная проблема, с которой могут столкнуться клиенты. Если вы получили эту ошибку, пожалуйста, откройте тикет в поддержку Cato, чтобы решить эту проблему.

Ошибка синхронизации UA код NT 0xc002001b

Проблема

Ошибка 0xc002001b код NT 0xc002001b появится, когда служба RPC на контроллере домена не смогла ответить.

Эта ошибка может возникать при нажатии "Тест соединения" в разделе Доступ > Осведомленность Пользователя > LDAP или при отправке электронных писем администраторам аккаунтов. 

Эта проблема может вызвать:

• Пользователи не идентифицированы в Событиях и Аналитике.
• Трафик блокируется межсетевым экраном Интернет/WAN из-за неидентифицированных пользователей.
• Новая настройка Осведомленности Пользователя у клиента и получение ошибок синхронизации с контроллером домена. 

Возможная причина

Эта проблема может возникнуть из-за исчерпания ресурсов на контроллере домена.

Поиск и устранение неисправностей

Следующие шаги можно использовать для поиска и устранения неисправностей: 

• Убедитесь, что контроллер домена работает и ресурсы не исчерпаны (нет пиков использования ЦП или памяти).

  • Если возможно, увеличьте количество памяти и процессоров на сервере.
  • Если невозможно добавить больше физических ресурсов на сервер, выполните следующие шаги, чтобы увеличить объем памяти службы провайдера WMI, обработать квоты и уменьшить размер журналов событий безопасности:
    
    • Увеличьте WMI MemoryPerHost значение (см. Увеличьте свойства квоты WMI до максимальных значений)
    Следуйте инструкциям ниже, чтобы уменьшить максимальный размер журнала безопасности до 1МБ:
    
    1. Откройте Просмотр событий
    2. Перейдите в Просмотр событий > Журналы Windows > Безопасность
    3. Щелкните правой кнопкой мыши на Безопасность и выберите Свойства
    4. Установите Максимальный размер журнала (КБ) на 1024
    5. При достижении максимального размера журнала событий выберите Перезаписать события по необходимости (самые старые сначала) или Архивировать журнал, когда он будет полон, не перезаписывать события.
    6. Нажмите ОК

• Убедитесь, что требуемые службы контроллера домена запущены (откройте services.msc и проверьте, что Сервер, Удаленный реестр и Управление Windows запущены и настроены на автоматический запуск).

• Если контроллер домена показывает признаки нагрузки, возможно, потребуется перезапустить сервер.

Ошибка: Не удается подключиться к контроллеру домена 0xc0000001 NT_STATUS_UNSUCCESSFUL

Если вы видите сообщение об ошибке непройденного статуса в Приложении Управления Cato, как показано ниже:

“Не удается подключиться к контроллеру домена 0xc0000001 NT_STATUS_UNSUCCESSFUL. Проверьте, что вы правильно интегрировали контроллер домена с сетью Cato. Если проблема сохраняется, обратитесь в поддержку Cato за помощью. Щелкните здесь для подробностей.”

Это общая ошибка, которая может быть результатом неправильной конфигурации контроллера домена. Мы рекомендуем следовать руководству по настройке.

Ошибка - Не удается подключиться к контроллеру домена (код 6)

Если вы видите ошибку соединения с кодом 6 в Приложении Управления Cato, как показано ниже:

Существует несколько шагов, которые вы можете предпринять для устранения проблемы.

Переподключение сокета Cato

Иногда эта проблема решается, когда вы используете Веб-интерфейс сокета для отключения и повторного подключения сокета к облаку Cato.

Предупреждение! Переподключение сокета отключает все текущие сессии для сайта. Сокет подключается обратно к облаку Cato в течение нескольких секунд, после чего подключение восстанавливается немедленно. Однако, часть трафика, чувствительного к подключению (например, телефонные звонки), будет отброшена.

Чтобы выполнить действие переподключения на сокете:

1. Подключитесь к Веб-интерфейсу сокета, в вашем веб-браузере введите https://<IP-адрес Сокета Cato>
   Например: https://10.0.0.26
2. Введите имя пользователя и пароль.
3. Выберите вкладку Настройки соединения Cato.
4. Нажмите Переподключить.
5. Выйти из веб-интерфейса сокета.

Устранение неполадок подключения к DC

После выполнения действия переподключения сокета ошибка DC все ещё сохраняется, ниже приведены дополнительные рекомендации по устранению неполадок подключения к DC:

1. Проверьте соединение DC с облаком Cato.
2. Убедитесь, что между DC и облаком Cato существует двусторонняя связь.

Чтобы убедиться, что DC подключен к облаку Cato:

1. Убедитесь, что ваш DC включен.
2. В приложении управления Cato перейдите в Домашняя > Топология и убедитесь, что площадка с DC подключена к облаку Cato.
3. Убедитесь, что вы можете пинговать DC с хоста на другой площадке, или пока вы подключены к Cato VPN.
4. Если не удается пинговать DC, вот некоторые способы устранения проблемы:
   • В приложении управления Cato проверьте Домашняя > События для события блокировки. Нужно ли изменить политику Межсетевого экрана WAN, чтобы разрешить ICMP трафик к DC?
   • Проверьте таблицу маршрутизации на DC и убедитесь, что трафик маршрутизируется к сокету Cato или туннелю IPsec.
   • Проверьте политику брандмауэра Windows на DC, чтобы убедиться, что трафик ICMP не блокируется.

Чтобы проверить связь между DC и облаком Cato:

1. Запустите захват пакетов на интерфейсе ЛВС сокета.
   • Если DC находится за IPsec площадкой, выполните захват на самом DC.
2. Если существует двусторонняя связь, вы можете увидеть соединение на TCP/135 к вашему DC, инициированное из диапазона Cato VPN (по умолчанию 10.41.0.0/16).
   Примечание: Cato может использовать любой IP-адрес из диапазона VPN для инициирования соединения.
   Примечание: Начиная с Windows Server 2008, вы также должны разрешить TCP 49152-65535 для процесса WMI через любой брандмауэр. Также возможно добавить правило брандмауэра Windows для службы WMI специально.  См. : https://docs.microsoft.com/ru/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
3. Если вы не можете найти соединение, показывающее двустороннюю связь, вот несколько способов устранения проблемы:
   • Если вы не видите трафика из диапазона VPN к DC, свяжитесь с поддержкой Cato.
   • Если вы видите только пакеты SYN на TCP/135 из диапазона VPN Cato к вашему DC, проверьте подключение DC:
     1. Инспектируйте таблицу маршрутизации на DC и убедитесь, что трафик маршрутизируется к Сокету Cato или туннелю IPsec.
     2. Проверьте политику брандмауэра Windows на DC и убедитесь, что трафик не блокируется.

Пользователь не отображается осведомленностью пользователя

Проблема

В некоторых случаях пользователи отображаются как "неотображенные пользователи" в окне обнаружения событий. Причина, по которой пользователь не отображается: PoP смог обнаружить имя пользователя в реальном времени (используя запросы WMI), но этот пользователь не был импортирован в процессе синхронизации LDAP и не идентифицирован. Следовательно, в поле имени AD события отображается неотображенный пользователь.

Решение

1. Проверьте, что пользователь принадлежит к группе. Если вы настроили службы каталогов Cato для импорта пользователей и групп с DC, и пользователь не принадлежит настроенной группе, то он отображается как неотображенный пользователь.
2. Проверьте конфигурацию политики аудита для DC. Для получения дополнительной информации см. Конфигурирование политики аудита для контроллера домена.

События входа в систему не отображаются в обнаружении событий

Проблема

Если вы включили Осведомленность Пользователя для вашего аккаунта, но не видите события входа пользователей в Обнаружение, выполните действия, описанные в следующем решении.

Решение

Проверьте конфигурацию Политика аудита на Контроллер домена. Для получения дополнительной информации смотрите Конфигурирование Аудит для Контроллера домена.

Синхронизация служб каталогов не импортирует пользователей

Проблема

С Осведомленностью Пользователя показывается в реальном времени, какие имена пользователей находятся за сайтами. Это позволяет видеть имена пользователей хостов, а не только IP-адреса в разделах Аналитика. Пользователи заполняются из Синхронизация служб каталогов. Синхронизация использует LDAP для запроса сервера Active Directory (AD). Иногда синхронизация LDAP не удается по различным причинам. Например, в Microsoft LDAP есть известное ограничение, позволяющее возвращать в одном запросе только объекты с менее чем 1500 атрибутами. Крупные организации могут легко иметь более 1500 участников, назначенных в группу. Таким образом, когда PoP выполняет запрос LDAP, любые группы с более чем 1500 участниками вернут пустой список участников в Приложение Управления Cato, что приведет к деактивации/удалению пользователей в CMA.

Решение

Как упомянуто в Синхронизации Пользователей с LDAP, чтобы предотвратить нежелательную деактивацию/удаление пользователей из-за этого ограничения, вы можете настроить максимум пользователей, которые могут изменить членство в группе пользователей в одной синхронизации, настроив опцию "Предотвратить обновление членства в группе" в CMA.

Чтобы решить проблему пустого ответа на запрос от Контроллера домена, выполните следующие действия:

1. Убедитесь, что следующие службы Windows на Контроллер домена работают и установлены в автоматический режим:

• Сервер
• WMI
• Удаленный реестр

2. Вы можете настроить атрибут политики Microsoft LDAP для MaxValRange на Контроллер домена. Этот атрибут контролирует, сколько значений будет возвращено. Используйте следующие две статьи, чтобы повысить MaxValRange или полностью убрать ограничение. Если вы не хотите изменять атрибут AD, Cato может собирать группы с менее чем 1500 пользователями.

Статья MS о том, как настроить MaxValRange с использованием инструмента ntdsutil: https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

Статья/блог MS о том, как полностью убрать ограничение:
https://docs.microsoft.com/ru/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

Отсутствуют Аудит События при использовании GPO

Проблема

Если вы используете GPO с расширенными настройками политики безопасности аудита и не все ID событий фиксируются в журнале, следуйте шагам, описанным в решении.

Решение

Проверьте конфигурацию Политика аудита для Контроллер домена. Для получения дополнительной информации смотрите Конфигурирование Аудит для Контроллера домена.

Конфигурирование Аудит для Контроллера домена

Политика аудита может быть определена локально на Контроллер домена или применена через GPO. GPO переопределяет локальную политику безопасности. Расширенные настройки политики аудита переопределяют базовые настройки политики аудита.

Убедитесь, что политика аудита настроена на регистрация ID событий, которые Осведомленность Пользователя использует в журнале безопасности Windows для сопоставления пользователей с IP-адресами.

Следующий список содержит ID событий, которые Cato использует в политике аудита:

• 4768 - Запрошен Kerberos аутентификационный тикет (TGT)
• 4769 - Запрошен Kerberos сервисный тикет
• 4770 - Kerberos сервисный тикет был обновлён
• 4776 - Контроллер домена попытался подтвердить учетные данные для Учетная запись\
• 4624 - Учетная запись была успешно вошла в систему
• 4648 - Была выполнена попытка входа с использованием явных учетных данных
• 5140 - Было выполнено обращение к объекту общего доступа сети
• 5145 - Проверен объект общего доступа сети, чтобы определить, может ли Клиент получить желаемый доступ

Настроить политику аудита локально на контроллере домена

1. Открыть Локальную политику безопасности.
2. Перейдите к Безопасность > Локальные политики > Политика аудита, чтобы настроить базовую политику аудита, или перейдите к Безопасность > Расширенная конфигурация политики аудита > Политика аудита, чтобы настроить продвинутую политику аудита, обеспечивающую более детальный контроль над логированием.

Настроить политику аудита с использованием групповой политики:

1. Откройте Редактор управления групповой политикой.
2. Щелкните правой кнопкой мыши на объекте GPO, который применяется ко всем контроллерам домена, и выберите "Редактировать"
3. Разверните Конфигурация компьютера > Политики > Настройки Windows > Безопасность > Локальные политики > Политика аудита для базовой политики аудита или Конфигурация компьютера > Политики > Настройки Windows > Безопасность > Расширенная конфигурация политики аудита > Политика аудита для продвинутой политики аудита.

Следующий список содержит идентификаторы событий, используемые осведомленностью пользователя Cato:

Базовая политика аудита

• Аудит событий входа в систему - 4624, 4648
• Аудит событий входа в учетную запись - 4768, 4769, 4770, 4776
• Аудит доступа к объектам - 5140, 5145

Расширенная политика аудита

• Вход в учетную запись
  • Аудит службы аутентификации Kerberos – 4768
  • Аудит операций с тикетами сервиса Kerberos - 4769, 4770
  • Аудит проверки учетных данных – 4776
• Вход/Выход
  • Аудит входа - 4624, 4648
• Доступ к объектам
  • Аудит файлового доступа – 5140
  • Аудит детального доступа к файлам - 5145

Вы можете проверить, какая эффективная политика аудита на контроллере домена, выполнив следующую команду в командной строке: auditpol /get /category:*