实时同步连接错误的域控制器故障排除

概览

您在Cato管理应用程序中看到域控制器(DC)的错误信息。 我们在这里为您提供帮助! 本文讨论了一些故障排除步骤和解决方案,以解决在目录服务 > 实时同步域控制器 部分进行连接测试时常见的错误。

有关更多信息,请参见配置Windows服务器的目录服务

错误 - 无法连接到域控制器(代码 6)

如果您在Cato 管理应用程序中看到如下的代码6连接错误:

您可以采取一些步骤来解决此问题。

重新连接Cato Socket

有时使用Socket WebUI断开然后重新连接到Cato Cloud可以解决此问题。

警告! Socket重新连接操作会断开该站点的所有当前会话。 Socket会在几秒钟内重新连接到Cato Cloud,然后连接立即恢复。 然而,某些对连接敏感的流量(如电话)会被丢掉。

要在Socket上执行重新连接操作:

  1. 连接到Socket WebUI,在您的浏览器中输入 https://<Cato Socket IP地址>
    例如:https://10.0.0.26
  2. 输入用户名和密码。
  3. 选择 Cato 连接设置 标签页。
  4. 点击 重新连接
  5. 登出Socket WebUI。

故障排除 DC 连接

在执行Socket重新连接操作后,如果DC的错误仍然存在,这里有一些其他建议来解决DC的连接性问题:

  1. 验证DC到Cato Cloud的连接。
  2. 确保DC与Cato Cloud之间有双向通信。

要验证DC是否连接到Cato Cloud:

  1. 确保DC已开机。
  2. 在Cato管理应用程序中,转到主页 > 拓扑 ,确保带有DC的站点已连接到Cato云。
  3. 确认您从不同站点的主机ping DC,或在连接到Cato VPN时ping DC。
  4. 如果你无法ping DC,这里有一些解决问题的方法:
    • 在Cato管理应用程序中,检查 主页 > 事件中的阻止事件。 您是否需要更改 WAN防火墙 策略以允许对DC的ICMP流量?
    • 检查DC上的路由表,确保流量被路由到Cato Socket或IPsec隧道。
    • 检查DC上的Windows防火墙策略,确保ICMP流量未被阻止。

要验证DC与Cato Cloud之间的通信:

  1. 在Socket的LAN接口上运行数据包捕获。
    • 如果DC位于IPsec站点后面,请在DC本身上运行捕获。
  2. 如果存在双向通信,您可以看到从Cato VPN范围(默认为10.41.0.0/16)发起的到DC的TCP/135连接。
    注意: Cato可以使用VPN范围内的任何IP地址发起连接。
    注意: 从Windows Server 2008开始,您还必须允许TCP 49152-65535用于通过任何防火墙的WMI过程。 也可以专门为WMI服务添加Windows防火墙规则。  请参见:https://docs.microsoft.com/zh-cn/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 如果您找不到显示双向通信的连接,这里有一些解决问题的方法:
    • 如果您没有看到从VPN范围到DC的流量,请联系Cato支持。
    • 如果您只看到从Cato VPN范围到DC的TCP/135的SYN包,请检查DC的连接性:
      1. 检查DC上的路由表,确保流量被路由到Cato Socket或IPsec隧道。
      2. 检查DC上的Windows防火墙策略,确保流量未被阻止。

错误:无法连接到域控制器 0xc0000022 NT_STATUS_ACCESS DENIED

如果您在Cato 管理应用程序中看到如下的访问被拒绝错误消息:

您可以采取一些步骤来解决身份验证问题:

  1. 检查Cato 管理应用程序中的用户名和密码。
    • 确保用户名正确
    • 尝试重新输入密码 - 可能有拼写错误
  2. 验证Cato在连接尝试中是否发送了正确的用户名。 在Socket的LAN接口或DC本身上运行数据包捕获。
    • 对DC的IP地址和目标端口135进行捕获过滤。
    • 使用Wireshark,您应会看到在信息字段开头有Fault ,在结尾有nca_s_fault_access_denied 的数据包。 在此之前的数据包包含由Cato发送给DC的用户名和域,如下图所示。
  3. 再一次遍历所有在线帮助指南中的配置步骤,确保每一步都已正确执行。 如果用于连接的服务账户上的权限设置不正确,您将收到访问被拒绝的错误。
    提示: 要验证错误是否由DC上的权限问题引起,您可以临时将域管理员设置为服务用户。 默认情况下,域管理员具有所有必要的权限。

错误:无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL

如果您在Cato 管理应用程序中看到如下不成功状态的错误消息:

无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL . 验证您是否已正确集成了域控制器和Cato 网络。 如果问题仍然存在,请联系Cato支持以获得帮助。 点击这里查看详情。

这是一个常见错误,可能是由于域控制器配置错误导致的。 我们建议遵循配置指南。

 

这篇文章有帮助吗?

2 人中有 0 人觉得有帮助

0 条评论