XOps网络手册 - LDAP活跃目录同步失败

活跃目录对于用户配置至CMA至关重要，确保用户顺利上线并访问资源。 如果与AD同步失败，新用户可能无法连接或访问必要的服务，并且安全性策略可能无法正确实施。 认识到这一过程的重要性，每当活跃目录与CMA之间发生同步失败时，将生成一个XOPs事件，以实现及时的解决并尽量减少潜在的扰动。

在响应网络XOps事件时，以系统化方式处理问题至关重要。 首先，确认问题是否持续，然后排查问题，最后确认问题已解决。

步骤1 - 验证计划同步失败

下面是Cato管理应用程序管理员可以验证计划同步失败的不同方法。 

• 当计划同步失败时，将生成一个XOps事件。
• 转到XDR发现事件页面并使用网络运维预设，包括过滤器“指示包含LDAP”。 调整时间范围以配合需要。
  
• 验证是否生成符合以下示例的事件。
  
• 单击事件以深入查看详细信息。 它提供有关事件状态、事件时间线以及更重要的是计划同步状态的信息。 
  
• 在事件深入分析中继续向下滚动，您将找到事件时间线。 此时间线强调计划同步状态的任何变化。 在右侧窗格中，您将看到操作手册工作流，勾画出排查问题的步骤。
  
  

使用事件

本节概述了Cato中可用于结构化处理此类事件的工具。 尽管建议按顺序操作，但每次检查的结果可能会影响流程的下一步。

• 为确定问题是否为一次性事件，请执行与AD/DC的手动同步。
  导航到访问 > 目录服务 > LDAP，然后单击立即同步。
  
• 如果手动同步成功完成，这可能表明计划同步失败是一个孤立的事件。 管理员应验证是否有任何网络中断或服务器维护活动与计划同步时间重合。
• 如果手动同步也失败，则表明问题仍然存在，与AD/DC的同步未能成功完成。 在这种情况下，请查看任何可能导致问题的最近配置变更。
   

• 在审计追踪页面上查看变更，以确定配置变更是否为此问题的原因。 如果计划同步以前正常运行但意外停止，此步骤尤其重要。
• 要查看对域配置所做的任何变更，请通过将模型类型设置为域来过滤审计仪表板。 根据需要调整时间范围以匹配问题发生的时间。
  
• 例如，下面的截图显示管理员对域配置进行了变更。 如果此活动的时间与计划同步失败一致，管理员可以还原变更以确定变更是否为原因。 
  
• 可能影响与域连接的另一个因素是在域所在地站点配置的静态主机保留。
• 要检查静态主机保留是否有变更，请打开审计仪表板，并通过设置模型类型为站点及将模型名称设置为域所在的站点来过滤结果。 在下面的示例中，域位于总部办公室。 
  

执行与域控制器的连接性测试

• 要验证与域控制器的连接性，请从域控制器所在扩展器的局域网接口执行ping测试。

• 从CMA打开套接字Web UI，然后导航到工具部分，选择Ping标签。 在通过路由下，选择局域网，输入域控制器的IP地址，然后单击运行以执行测试。
  

• 如果ping测试成功，则问题可能与DC和CMA之间的配置不一致有关，而不是连接性问题。

• 如果ping测试失败，请验证域控制器（DC）是否已开机并且可以到达。 如果DC正在运行，请检查是否有任何中间设备（例如防火墙或路由器）阻碍连接。

   

在识别和解决导致计划同步失败的问题后，验证事件中同步现在是否显示为已解决。 

注意：问题解决后，事件状态将从“开放”变为“监控”。 如果没有进一步的事件，它将在接下来的一小时内保持此状态。 有关更多信息，请参考理解事件列。 

向Cato支持团队报告问题

如果遵循此手册仍未解决问题，请提交支持工单。 为了获得最有帮助的请求响应，管理员应提供已采取的故障排除步骤的结果。