تكامل Active Directory Offline بعد نشر أجهزة Secure Access الظاهرية

مسألة

بعد نشر جهازي Secure Access Virtual (VAs)، توقف تكامل Active Directory (AD) عن العمل داخل لوحة معلومات Secure Access. في السابق، كان دمج AD قيد التشغيل، ولكن بعد نشر VA، يظهر موصل AD الآن كغير متصل في لوحة معلومات Secure Access. يلزم تقديم المساعدة لاستعادة اتصال AD.

البيئة

• التقنية: دعم الحلول (SSPT - العقد مطلوب)
• التقنية الفرعية: الوصول الآمن
• إصدار البرامج: الكل
• الوصول الآمن (DNS-advantage/Umbrella)
• نشر جهازين افتراضيين للوصول الآمن في المقر
• تغيير الحدث: فشل تثبيت VA السابق لموصل AD على الفور
• موصل AD قيد التشغيل سابقا ويعرض الآن دون اتصال في مدخل الوصول الآمن

قرار

لمعالجة مشكلة دمج AD الذي يظهر كغير متصل في مدخل الوصول الآمن بعد نشر VA، قم بتنفيذ خطوات أستكشاف الأخطاء وإصلاحها التفصيلية التالية:

التقاط حركة مرور بيانات الشبكة أثناء إعادة تشغيل الموصل

قم بتشغيل التقاط Wireshark على جميع واجهات موصل AD/وحدة التحكم بالمجال أثناء إعادة تشغيل خدمات الموصل. يساعد ذلك في التعرف على أي حالات فشل لاتصالات الشبكة أو محاولات وصول غير مصرح بها أثناء تهيئة الموصل.

الخطوة 1: بدء التقاط Wireshark على جميع الواجهات ذات الصلة

بدء تشغيل Wireshark وبدء الالتقاط على جميع واجهات وحدة التحكم في المجال/موصل AD.

الخطوة 2: إعادة تشغيل خدمات الموصل عبر إدارة خدمات Windows

افتح services.msc، حدد موقع خدمة موصل OpenDNS، وانقر فوق إعادة التشغيل.

الخطوة 3: حفظ ملف الالتقاط لمزيد من التحليل

أوقف الالتقاط وقم بتصدير ملف .pcap.

تجميع سجلات الموصلات

قم بتجميع السجلات من موصل AD للحصول على رؤية أعمق حول الأخطاء أو مشكلات المصادقة:

1.  انتقل إلى دليل السجل.

C:\Program Files (x86)\OpenDNS\OpenDNS Connector\vX.X.X

1.  تجميع ملفات السجلات ذات الصلة وإعدادها للمراجعة. انسخ كافة ملفات السجلات من الدليل المذكور أعلاه إلى موقع آمن.

التحقق من أذونات حساب موصل AD

بعد إدخال الأجهزة الافتراضية، يتطلب حساب موصل AD أذونات معينة للعمل بشكل صحيح. إذا كان الحساب يفتقر إلى دور قارئ سجل الأحداث، فقد يواجه إستثناءات وصول غير مصرح بها.

1. قم بتعيين إذن لقارئ سجل الأحداث إلى حساب موصل AD. أستخدم Active Directory Users and Computers (ADUC) أو نهج المجموعة لإضافة حساب موصل AD إلى مجموعة قراء سجل الأحداث.
2. تأكد من أن الحساب لديه الإذن الجديد. تحقق من عضوية المجموعة لحساب "موصل AD" للتحقق من تضمين قراء سجل الأحداث.

تم العثور على إستثناء شائع

أثناء أستكشاف الأخطاء وإصلاحها، يمكن ملاحظة هذا الاستثناء في السجلات أو إخراج حالة الموصل:

* Exception type: system.unauthorizedaccessexception
message: Attempted to perform an unauthorized operation.

وهذا يشير إلى أن حساب موصل AD ليس لديه أذونات كافية، وتحديدا دور قارئ سجل الأحداث، والذي يكون إلزاميا بعد إدخال وحدات VA.

لم يتم العثور على أمر CLI الذي يظهر التغيير من حالة موصل AD غير متصل إلى متصل.

السبب

السبب الأساسي هو عدم كفاية الأذونات لحساب "موصل AD" بعد نشر أجهزة Secure Access الظاهرية. يفتقر الحساب إلى إذن قارئ سجل الأحداث المطلوب لوظيفة موصل AD الصحيحة. ينتج عن ذلك خطأ "system.unauthoredaccessexception" ويمنع الموصل من العمل عبر الإنترنت ضمن مدخل Secure Access.

المحتوى ذي الصلة

• الدعم الفني والتنزيلات من Cisco