XOps 网络手册 - WMI DC 连接性手册

概述

本手册指导您解决 WMI 同步失败警报,这可能由于多种问题引起,例如权限或无效凭据。

验证计划的同步失败

  • 在 XDR 发现事件中使用网络运维预设,并添加一个新的指示过滤器 "DC 连接失败 - WMI"
    indication_filter_wmi.jpg
  • 验证如下面所示生成了一次事件。
    wmi_story.jpg
  • 检查事件消息和源 IP 以查找错误和源服务器。
    dtory_event_message.jpg
  • 在 CMA 中,浏览到 访问 > 目录服务 > LDAP,找到条目并点击 "测试连接" 以确认错误。
  • 转到相应的故障排除部分并按照所列步骤解决问题。

NT_STATUS_ACCESS_DENIED

此错误消息表明权限问题。 无法访问 DC 时,Cato 管理应用程序会通知。 此错误消息通常伴随在分析部分中的“DC_连接性_失败”事件。 当与 DC 的连接失败时,Cato 管理应用程序每小时生成一次该事件。

当选择 "测试连接" 在访问 > 目录服务 > LDAP 部分进行实时同步时,或发送电子邮件给账户管理员时,在 CMA 中出现错误。

可能的原因

  • DC 已下线
  • DC 上阻止流量的防火墙规则 
  • DC 的路由问题
  • 域控制器的配置错误
  • Cato中输入了错误密码或密码过期

故障排除步骤

  1. 检查用户名和密码。 验证您输入了正确的登录 DN 和密码。 
  2. 通过捕获 Socket 或 DC 本身的 LAN 接口上的数据包(PCAP),验证 Cato Socket 在连接尝试中发送的用户名是否正确。
    • 过滤捕获文件中的 DC 的 IP 地址和目标端口 135。
    • 使用 Wireshark,您应该在信息字段的开头看到一个带有错误的包,末尾有nca_s_fault_access_denied。 该包之前包含了由 Cato 发送给 DC 的用户名和域,如下面截图所示:
  3. 检查用户权限以从域控制器设置中读取事件日志。 遵循在线帮助指南 - Windows 配置。
  4. 如果您启用了每日同步目录服务组和用户(用户意识),请验证您配置了域控制器用于实时同步。 单击“测试连接”并查看是否获得“连接成功”的结果。
  5. 检查监控部分的事件。 您可以根据事件类型过滤事件:系统及事件子类型:目录服务,并查找 DC 连通性或同步错误。
  6. 遵循在线帮助指南并验证域控制器配置设置。
  7. 检查流量是否未被互联网或 WAN 防火墙阻止。 阻止未识别用户的防火墙规则可能会阻止 Cato 同步用户并阻止目录服务。
  8. 再次浏览在线帮助指南中的所有配置步骤,以验证每一步是否正确执行。 如果连接中使用的服务账户权限设置不正确,您将收到访问被拒绝的错误。

NT_STATUS_UNSUCCESSFUL

当 PoP 无法访问用于实时同步的域控制器时,会显示错误。 此错误在选择 "测试连接" 在 CMA 中访问 > 目录服务 > LDAP 部分进行实时同步时显示。

此错误通常指示用户意识功能设置的配置错误。 也可能由于防火墙或路由配置错误而发生。 

可能的原因

  • 用户未在事件和分析中被识别
  • 由于用户未被识别,流量被互联网/WAN 防火墙阻止 
  • 客户的新用户意识设置并收到 DC 同步错误 
  • 用户意识的配置错误
  • 路由问题

故障排除步骤

  1. 检查事件并验证是否存在未识别用户的事件。
  2. 检查由于未识别用户导致的流量是否被互联网/WAN 防火墙阻止。
  3. 如果这是您第一次启用用户意识功能,并出现 DC 同步错误,请验证每个步骤是否正确配置。 
  4. 确认 DC 已在线并运行。
  5. 从 Socket UI 运行流量捕获,捕获在局域网接口上的数据包(PCAP)。 
    • 点击显示状态按钮。 
    • 停止捕获,查找捕获文件中的 Cato PoP 的 WMI 查询和服务器响应(使用任何网络数据包分析工具,如 Wireshark)。 如果 DC 位于 IPsec 站点后面,请在 DC 上运行捕获。

NT_RPC_NT_CALL_FAILED

错误表明 DC 上的 RPC 服务没有响应。 在域控制器中点击 “显示状态” 按钮进行实时同步时出现此错误。 

可能的原因

  • RPC 服务或其依赖项已停止或无响应。
  • WMI 服务已停止或挂起
  • 高 CPU 或内存利用率导致 RPC 超时。

故障排除步骤

  1. 验证域控制器已启动并运行,并检查 CPU 和内存。 有时高 CPU 或内存使用导致服务器过载。
  2. 验证 DC Windows 服务已启动并设置为自动启动:
    • 服务器
    • 远程注册表
    • WMI

NT Code 0x80010111

错误意味着 PoP 无法与 DC 通信,因为 PoP 和 DC 的 RPC 头不匹配。

uacode.png

可能的原因

此错误在 Windows Server 2022 上特别常见,此时验证了 DC 的 RPC 版本。 这是客户可能遇到的已知问题。 

故障排除步骤

如果收到此错误,请打开 Cato 支持工单以解决问题。

UA 同步错误 NT 代码 0xc002001b

当域控制器上的 RPC 服务未能响应时,出现错误。

选择访问 > 用户意识 > LDAP 下的 "测试连接" 或向账户管理员发送电子邮件时会出现此错误。 可能的结果:

  • 用户未在事件和分析中被识别。
  • 由于用户未被识别,流量被互联网/WAN 防火墙阻止。
  • 客户的新用户意识设置并收到 DC 同步错误。

可能的原因

此问题可能是由于域控制器上的资源耗尽导致的。

故障排除步骤

以下步骤是可以遵循的故障排除步骤: 

  1. 验证域控制器已上线,并且没有资源耗尽(无 CPU 或 RAM 峰值)。
  2. 如有可能,请增加服务器上的 RAM 和 CPU 数量。
    • 如果无法为服务器添加更多物理资源,请按照以下步骤增加 WMI 提供程序服务内存,处理配额,并减少安全事件日志的大小:
    • 增加 WMI MemoryPerHost 值(参见 增加 WMI 配额属性到最大值
    • 按照以下步骤将安全日志大小限制减少至 1MB:
      • 打开 事件查看器
      • 导航到 事件查看器 > Windows 日志 > 安全性
      • 右击 安全性 并点击 属性
      • 设置 最大日志大小 (KB)1024
      • 当达到最大事件日志大小时,选择 根据需要覆盖事件(最旧的事件优先)日志已满时存档,不覆盖事件。
      • 点击确定
  3. 验证所需的域控制器服务正在运行(打开 services.msc 并检查服务器、远程注册表、Windows 管理工具是否已启动并设置为自动启动。
  4. 如果域控制器显示压力迹象,可能需要重启服务器。

无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL

此常规错误可能是由于域控制器的配置错误导致的。 我们建议遵循配置指南。

无法连接到域控制器(代码 6)

RPC 失败/访问或连接性问题,指示系统无法与域控制器(DC)建立通信

可能的原因

  • DC 和 Cato 云之间的连接问题
  • DC 离线、重启或过载。
  • RPC 服务或依赖关系在 DC 上未运行

故障排除步骤

有时,通过使用 Socket WebUI 断开并重新连接 Socket 到 Cato 云可以解决此问题。 

请参阅:https://support.catonetworks.com/hc/en-us/articles/4413265669905-Accessing-the-Socket-WebUI 

警告! Socket 重新连接操作会断开站点的所有当前会话。 Socket 在几秒钟内重新连接到 Cato 云,连接性立即恢复。 然而,一些连接敏感的流量(如电话)被丢弃。

要在 Socket 上执行重新连接操作:

  1. 连接到 Socket WebUI,在您的浏览器中输入 https://<Cato Socket IP 地址>
    例如:https://10.0.0.26
  2. 输入用户名和密码。
  3. 选择 Cato 连接设置 标签。
  4. 点击 重新连接:
  1. 退出 Socket WebUI。

在执行 Socket 重新连接操作后,DC 错误仍然存在。 以下是一些额外的建议来排除 DC 的连接性问题:

  1. 验证 DC 到 Cato 云的连接。
  2. 验证 DC 和 Cato 云之间是否有双向通信。

要验证 DC 是否连接到 Cato 云:

  1. 确保 DC 已开机。
  2. 在 Cato 管理应用程序中,转到 主页 > 拓扑 并确保 DC 的站点已连接到 Cato 云。
  3. 验证您是从不同站点的主机ping DC,或者在连接到Cato VPN时进行ping。
  4. 如果您无法ping DC,以下是一些解决问题的方法:
    • 在Cato管理应用程序中检查主页>事件,寻找阻止事件。 您是否需要更改WAN防火墙策略以允许ICMP流量到DC?
    • 检查DC的路由表并确保流量路由到Cato Socket或IPsec隧道。
    • 检查DC上的Windows防火墙策略,以确保ICMP流量未被阻止。

验证DC和Cato Cloud之间的通信:

  1. 在Socket的局域网接口上运行数据包捕获。 请参见:https://support.catonetworks.com/hc/en-us/articles/4413265670673-How-to-Capture-Traffic-on-a-Socket 
    • 如果DC位于IPsec站点之后,请在DC上运行捕获。
  2. 如果有双向通信,您可以看到从Cato VPN范围(默认情况下是10.41.0.0/16)到您的DC上TCP/135的连接。
    注意:Cato可以从VPN范围的任何IP地址发起连接。
    注意:从Windows Server 2008开始,您还必须允许通过任何防火墙的TCP 49152-65535用于WMI进程。 添加用于WMI服务的Windows防火墙规则也是可能的。 请参见:https://docs.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 如果您找不到显示双向通信的连接,以下是一些步骤来解决问题:
    • 如果您没有看到来自VPN范围到DC的任何流量,请联系Cato支持。
    • 如果您只看到来自Cato VPN范围到您的DC上的TCP/135的SYN数据包,请检查DC的连接性:
      • 检查DC的路由表并确保流量路由到Cato Socket或IPsec隧道。
      • 检查DC上的Windows防火墙策略并确保流量未被阻止。

将案例提交给Cato支持

如果遵循此攻略未能解决问题,请提交支持工单。 为了获得最有帮助的请求响应,管理员应提供所采取的故障排除步骤的结果。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论