概览

您在Cato管理应用程序中看到域控制器（DC）的错误信息。我们在这里为您提供帮助！本文讨论在目录服务 > 域控制器实时同步部分进行连接测试时常见错误的故障排除步骤和解决方案。

错误 - 无法连接到域控制器（代码 6）

如果您在 Cato 管理应用程序中看到代码 6 连接错误，如下所示：

您可以采取一些步骤来解决此问题。

有时使用Socket WebUI断开然后重新连接到Cato Cloud可以解决此问题。

警告！ Socket 重新连接操作将断开当前的所有站点会话。 Socket 会在几秒钟内重新连接到 Cato Cloud，并立即恢复连接性。然而，一些对连接敏感的流量（如电话呼叫）将会丢弃。

要在Socket上执行重新连接操作：

连接到Socket WebUI，在您的浏览器中输入 https://<Cato Socket IP地址>
例如：https://10.0.0.26
输入用户名和密码。
选择 Cato 连接设置 标签页。
点击 重新连接。
登出Socket WebUI。

在您执行 Socket 重新连接操作后，DC 错误仍然存在。以下是一些其他建议来排查与 DC 的连接性问题：

要验证DC是否连接到Cato Cloud：

确保DC已开机。
在Cato管理应用程序中，转到主页 > 拓扑 ，确保带有DC的站点已连接到Cato云。
确认您从不同站点的主机ping DC，或在连接到Cato VPN时ping DC。
如果你无法ping DC，这里有一些解决问题的方法：
- 检查主页 > 事件，在 Cato 管理应用程序中查找阻止事件。您是否需要更改 WAN防火墙 策略以允许对DC的ICMP流量？
- 检查DC的路由表，确保流量路由到Cato Socket或IPsec隧道。
- 检查DC上的Windows防火墙策略，确保ICMP流量未被阻止。

要验证DC与Cato Cloud之间的通信：

在Socket的局域网接口上运行数据包捕获。
- 如果DC位于IPsec站点后面，请在DC本身上运行捕获。
如果有双向通信，您可以看到从 Cato VPN 范围（默认情况下为 10.41.0.0/16）启动到您的 DC 的 TCP/135 上的连接。
注意：Cato 可以使用 VPN 范围内的任何 IP 地址启动连接。
注意： 从 Windows Server 2008 开始，您还必须允许 TCP 49152-65535 通过任何防火墙用于 WMI 进程。也可以为WMI服务添加Windows防火墙规则。请参见：https://docs.microsoft.com/zh-cn/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista
如果找不到显示双向通信的连接，请采取以下步骤进行故障排除：
- 如果您没有看到来自VPN范围到DC的任何流量，请联系Cato支持。
- 如果您只看到从Cato VPN范围到DC的TCP/135的SYN包，请检查DC的连接性：
  1. 检查DC的路由表，确保流量路由到Cato Socket或IPsec隧道。
  2. 检查DC上的Windows防火墙策略，确保流量未被阻止。

如果您在Cato 管理应用程序中看到如下的访问被拒绝错误消息：

您可以采取一些步骤来解决身份验证问题：

检查Cato 管理应用程序中的用户名和密码。
- 确保用户名正确
- 尝试重新输入密码 - 可能有拼写错误
验证Cato在连接尝试中是否发送了正确的用户名。在Socket的LAN接口或DC本身上运行数据包捕获。
- 对DC的IP地址和目标端口135进行捕获过滤。
- 使用Wireshark，应该能看到在信息字段开头有故障，在末尾有nca_s_fault_access_denied的数据包。此数据包之前包含由 Cato 发送给 DC 的用户名和域，如下图所示。
再次查看在线帮助指南的所有配置步骤，以确认每一步都是正确执行的。如果用于连接的服务账户没有正确设置权限，您将收到访问被拒绝的错误。
提示：要验证DC上权限问题是否导致错误，可以暂时将域管理员设置为服务用户。默认情况下，域管理员具有所有必要的权限。

如果您在Cato 管理应用程序中看到如下不成功状态的错误消息：

“无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL. 验证您是否已正确集成了域控制器和Cato 网络。如果问题仍然存在，请联系Cato支持以获得帮助。点击这里查看详情。”

此常规错误可能是由于域控制器配置错误导致的。我们建议您遵循配置指南。

如果CMA显示一个安全事件，类似于下图所示，显示错误0xc00000b5 NT_STATUS_IO_TIMEOUT请联系我们的支持团队