目录服务和用户意识错误故障排除

本文描述了常见的目录服务和用户意识问题以及建议的解决方案。 有关更多信息,请参见配置 Windows 服务器用于目录服务

错误:无法连接到域控制器

挑战

此错误消息表示与域控制器 (DC) 的连接失败,通常是由于凭据无效。 此错误消息通常伴随“凭据无效”的错误消息。

解决方案

请确认您在 Cato 管理应用程序(访问 > 目录服务)中正确输入了 LDAP 身份验证连接设置(登录 DN、基础 DN 和密码)。

错误:NT_STATUS_ACCESS_DENIED

挑战

此错误消息表示权限问题。 当无法访问 DC 时,Cato 管理应用程序会发出通知。 此错误消息通常在分析部分后跟事件:“DC_Connectivity_Failure”。 Cato 管理应用程序在与 DC 的连接失败时(每小时一次)生成此事件。

解决方案

按照以下步骤排查此问题:

  1. 检查用户名和密码。 请确认您输入了正确的登录 DN 和密码。 通过在 Socket 或 DC 本身的局域网接口上捕获数据包(PCAP),验证 Cato 套接字是否在连接尝试中发送正确的用户名。
  2. 检查用户读取域控制器设置中的事件日志的权限。 按照在线帮助指南 - Windows 配置进行操作。
  3. 如果您启用了每日同步目录服务群组和用户(用户意识),请确认您已配置域控制器用于实时同步。 点击“测试连接”,查看您是否得到“连接成功”的结果。
  4. 检查监控部分中的事件。 您可以根据事件类型过滤事件:系统和事件子类型:目录服务,并查找 DC 连接或同步错误
  5. 遵循在线帮助指南并验证域控制器配置设置。
  6. 检查流量是否被互联网或 WAN 防火墙阻止。 阻止未识别用户的防火墙规则可能会阻止 Cato 同步用户并阻碍目录服务。
  7. 再次按步骤逐一操作在线帮助指南中所有配置步骤,以确认每一步执行正确。 如果在用于连接的服务帐户上未正确设置权限,您将收到访问被拒绝的错误。

错误:NT_STATUS_UNSUCCESSFUL

挑战

当 PoP 无法访问 DC 进行实时同步时,Cato 管理应用程序会生成此错误。 在域控制器的实时同步部分或通过电子邮件向账户管理员点击“显示状态”按钮时会出现此错误。

解决方案

此错误通常表示用户意识功能设置配置不当。 还可能由于防火墙或路由配置导致。 按照以下步骤来排查问题:

  1. 检查事件并验证是否存在未识别用户的事件。
  2. 检查流量是否因为未识别用户而被互联网/WAN 防火墙阻止。
  3. 如果这是您第一次启用用户意识功能并收到 DC 同步错误,请确认每一步设置正确。 
  4. 请确保 DC 处于上线状态。
  5. 从 Socket UI 中运行流量捕获,捕获 Socket 的局域网接口上的数据包(PCAP)。 点击 显示状态按钮。 停止捕获并在捕获文件中查找来自 Cato PoP 的 WMI 查询和服务器响应(使用任何网络数据包分析工具,如 Wireshark)。 如果 DC 位于 IPsec 站点后面,请在 DC 本身上运行捕获。

错误: NT_RPC_NT_CALL_FAILED

挑战

错误 NT_RPC_NT_CALL_FAILED 表示 DC 上的 RPC 服务无响应。 点击域控制器的实时同步部分的“显示状态”按钮时会出现此错误。 

解决方案

  1. 请确认域控制器处于上线状态,并检查 CPU 和内存。 有时高 CPU 或内存使用会导致服务器过载。
  2. 请确认 DC 的 Windows 服务已启动并设置为自动启动:
    • 服务器
    • 远程注册表
    • WMI

错误:NT 代码 0x80010111

挑战

此错误表示由于 PoP 和 DC 之间的 RPC 头不匹配,PoP 无法与 DC 通信。

解决方案

此错误在 Windows Server 2022 中尤其常见,此处验证了 DC 的 RPC 版本。这是客户可能遇到的已知问题。 如果您收到此错误,请打开 Cato 支持的工单来解决它。

UA 同步错误 NT 代码 0xc002001b

问题

当域控制器的 RPC 服务未能响应时,将出现错误 0xc002001b NT 代码 0xc002001b。

此错误可能会在“访问 > 用户意识 > LDAP”下点击“测试连接”或发送电子邮件给账户管理员时出现。 

该问题可能导致:

  • 用户在事件和分析中没有被识别。
  • 由于用户未被识别,流量被互联网/WAN 防火墙阻止。
  • 客户的用户意识新设置并收到 DC 同步错误。 

可能原因

此问题可能由于域控制器上的资源耗尽而发生。

故障排除

以下步骤是可以遵循的故障排除步骤: 

  • 请确认域控制器已上线,并且资源未耗尽(无中央处理器使用率或 RAM 峰值)。

    • 如果可能,增加服务器上的 RAM 和 CPU 数量。
    • 如果无法向服务器添加更多物理资源,请执行以下步骤以增加WMI提供程序服务内存、处理配额并减小安全事件日志的大小:
      请执行以下步骤,将安全日志大小限制减少至1MB:
      1. 打开事件查看者
      2. 导航至事件查看器 > Windows 日志 > 安全
      3. 右键单击安全并单击属性
      4. 最大日志大小(KB)设置为1024
      5. 当达到最大事件日志大小时选择按需要覆盖事件(最旧事件优先)日志满时存档,不覆盖事件。
      6. 单击确定

  • 验证所需的域控制器服务是否正在运行(打开 services.msc 并检查服务器、远程注册表和 Windows 管理工具是否已启动并设置为自动启动)。

  • 如果域控制器显示出压力迹象,可能需要重新启动服务器。

错误: 无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL

如果您在 Cato 管理应用程序中看到如下的未成功状态错误消息:

无法连接到域控制器 0xc0000001 NT_STATUS_UNSUCCESSFUL 。 验证您已正确将域控制器与Cato网络集成。 如果问题仍然存在,请联系 Cato 支持以获取帮助。 点击这里查看详情。

这是一个常规错误,可能是由于域控制器配置错误导致的。 我们建议遵循配置指南。

错误 - 无法连接到域控制器(代码6)

如果您在 Cato 管理应用程序中看到代码6连接错误,如下所示:

您可以采取一些步骤来排除故障。

重新连接 Cato Socket

有时,当您使用 Socket WebUI 断开并重新连接 Socket 到 Cato 云时,该问题会得到解决。

警告! Socket 重新连接操作会断开站点的所有当前会话。 Socket 在几秒内重新连接到 Cato 云,然后连接性立即恢复。 然而,一些对连接敏感的流量(如电话)会被中断。

要对 Socket 执行重新连接操作:

  1. 在浏览器中连接到 Socket WebUI,输入 https://<Cato Socket IP地址>
    例如:https://10.0.0.26
  2. 输入用户名和密码。
  3. 选择Cato 连接设置标签。
  4. 点击重新连接
  5. 退出 Socket WebUI。

排查到 DC 的连接问题

执行 Socket 重新连接操作后,DC 错误依然存在,以下是一些其他建议来排查到 DC 的连接问题:

  1. 验证 DC 到 Cato 云的连接。
  2. 验证 DC 和 Cato 云之间是否存在双向通信。

要验证 DC 是否连接到 Cato 云:

  1. 确保您的 DC 已开机。
  2. 在 Cato 管理应用程序中,转到 主页 > 拓扑并确保拥有 DC 的站点连接到了 Cato 云。
  3. 验证您从不同站点的主机ping DC,或者在连接到 Cato VPN 时进行。
  4. 如果您不能 ping DC,这是解决问题的方法:
    • 在 Cato 管理应用程序中,检查 主页 > 事件是否有阻止事件。 您是否需要更改WAN 防火墙策略以允许 ICMP 流量到 DC?
    • 检查 DC 上的路由表,确保流量被路由到 Cato Socket 或 IPsec 隧道。
    • 检查 DC 上的 Windows 防火墙策略,确保 ICMP 流量没有被阻止。

要验证 DC 和 Cato 云之间的通信:

  1. 在 Socket 的 LAN 接口上运行数据包捕获。
    • 如果 DC 在 IPsec 站点后面,请在 DC 本身上运行捕获。
  2. 如果存在双向通信,您可以看到从 Cato VPN 范围(默认10.41.0.0/16)发起到您 DC 的 TCP/135 连接。
    注意:Cato 可以使用 VPN 范围内的任何 IP 地址发起连接。
    注意:从 Windows Server 2008 开始,您还必须允许 TCP 49152-65535 用于 WMI 进程通过任何防火墙。 也可以专门为 WMI 服务添加一条 Windows 防火墙规则。  请参阅:https://docs.microsoft.com/zh-cn/windows/win32/wmisdk/connecting-to-wmi-remotely-starting-with-vista 
  3. 如果您找不到显示双向通信的连接,这是问题的排查方法:
    • 如果您没有看到VPN 范围内的流量到达DC,请联系Cato支持。
    • 如果您只在从Cato VPN 范围到您的DC 的TCP/135 网络通信中看到SYN 数据包,请检查DC的连接性:
      1. 检查 DC 上的路由表,确保流量路由到 Cato Socket 或 IPsec 隧道。
      2. 检查DC 上的 Windows 防火墙策略,确保流量没有被阻止。

用户未由用户意识映射

挑战

在某些情况下,用户在事件发现窗口中显示为"未映射用户"。 未映射用户的原因是 PoP 能够实时发现用户名(使用 WMI 查询),但此用户在 LDAP 同步期间未导入,无法识别。 因此,事件 AD 名称字段显示未映射用户。

解决方案

  1. 验证用户是否属于该组。 如果您配置了Cato的目录服务以从域控制器导入用户和群组,而某个用户不属于已配置的群组,则该用户将显示为未映射用户。
  2. 检查域控制器的审计策略配置。 欲了解更多信息,请参见配置域控制器的访问权限策略

登录事件未显示在信息搜集中

挑战

如果您已为您的账户启用用户意识,但未在信息搜集中看到任何用户登录事件,请按照以下解决方案中描述的步骤进行操作。

解决方案

检查域控制器上的审计策略配置。 欲了解更多信息,请参见配置域控制器的访问权限策略

目录服务同步未导入用户

挑战

使用用户意识,可实时显示站点背后主机的用户名。 这使您不只能在分析部分中看到主机名,还能看到用户名。 用户根据目录服务同步进行填充。 该同步使用LDAP查询活动目录(AD)服务器。 有时由于不同原因LDAP同步会失败。 例如,Microsoft LDAP的一个已知限制是只允许在单次查询中返回少于1500个属性的对象。 大型组织通常很容易在一个群组中分配超过1500个成员。 因此,当PoP运行LDAP查询时,任何成员超过1500的群组将返回一个空的成员列表到Cato 管理应用程序中,导致CMA中用户被停用或删除。

解决方案

使用LDAP同步用户中所述,为防止因限制而导致的不必要用户停用/删除,您可以通过在CMA中配置“防止更新群组成员资格”选项自定义一个同步中更改用户群组成员资格的最大用户数量。

要解决来自域控制器的空查询响应,您可以按以下步骤操作:

  1. 验证以下DC内的Windows服务正在运行并设置为自动:
  • 服务器
  • WMI
  • 远程注册表
  1. 您可以调整DC的Microsoft LDAP策略属性MaxValRange。 此属性控制返回的值数量。 使用以下两篇文章来增加MaxValRange或完全移除限制。 如果您不想修改AD属性,则Cato可以收集少于1500用户的群组。

关于如何使用工具ntdsutil调整MaxValRange的MS文章:https://support.microsoft.com/en-gb/help/315071/how-to-view-and-set-ldap-policy-in-active-directory-by-using-ntdsutil

关于如何完全去掉限制的MS文章/博客:
https://docs.microsoft.com/zh-cn/archive/blogs/qzaidi/override-the-hardcoded-ldap-query-limits-introduced-in-windows-server-2008-and-windows-server-2008-r2

使用GPO时缺失的审计事件

挑战

如果您使用具有高级安全审计策略设置的GPO,并且并不是所有事件ID都被记录下来,请按照解决方案中描述的步骤操作。

解决方案

检查DC的审计策略配置。 欲了解更多信息,请参见配置域控制器的访问权限策略

配置域控制器的审计策略

审计策略可以在DC上本地定义或通过GPO应用。 GPO覆盖本地安全策略。 高级审计策略设置会覆盖基本审计策略设置。

验证审计策略是否配置了用户意识在Windows安全日志中使用的事件ID,以便将用户映射到IP地址。

以下是Cato在审计策略中使用的事件ID列表:

  • 4768 - 请求了Kerberos认证工单(TGT)
  • 4769 - 请求了Kerberos服务工单
  • 4770 - Kerberos服务工单已续订
  • 4776 - 域控制器尝试验证账户凭据\
  • 4624 - 账户已成功登录
  • 4648 - 使用显式凭据尝试登录
  • 5140 - 访问了网络共享对象
  • 5145 - 检查网络共享对象以确定客户端能否获得所需访问权限

 

在DC上本地配置审计策略

  1. 打开本地安全策略。
  2. 进入安全设置>本地策略>审计策略来配置基本审计策略,或进入安全设置>高级审计策略配置>审计策略来配置可提供更细致控制的高级审计策略。

 

使用组策略配置审计策略:

  1. 打开组策略管理编辑器。
  2. 右键点击作用于所有域控制器的GPO并选择“编辑”。
  3. 展开计算机配置>策略>Windows设置>安全设置>本地策略>审计策略以配置基本审计策略或展开计算机配置>策略>Windows设置>安全设置>高级审计策略配置>审计策略以配置高级审计策略。

 

以下是Cato用户意识使用的事件ID列表:

基本审计策略

  • 审计登录事件 - 4624, 4648
  • 审计账户登录事件 - 4768, 4769, 4770, 4776
  • 审计对象访问 - 5140, 5145

 

高级审计策略

  • 账户登录
    • 审计Kerberos认证服务 – 4768
    • 审计Kerberos服务工单操作 - 4769, 4770
    • 审计凭证验证 – 4776
  • 登录/注销
    • 审计登录 - 4624, 4648
  • 对象访问
    • 审计文件共享 – 5140
    • 审计详细文件共享 - 5145

您可以通过从命令提示符运行以下命令来验证 DC 上的有效审计策略:auditpol /get /category:*

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论