Problema
Después de implementar dos dispositivos virtuales de acceso seguro (VA), la integración de Active Directory (AD) dejó de funcionar en el panel de acceso seguro. Anteriormente, la integración de AD estaba operativa, pero después de la implementación de VA, el conector de AD ahora se muestra como desconectado en el panel de acceso seguro. Se requiere asistencia para restaurar la conectividad de AD.
Entorno
- Tecnología: Asistencia para soluciones (SSPT, contrato necesario)
- Subtecnología: Acceso seguro
- Versión del software: ALL
- Acceso seguro (ventaja/paraguas de DNS)
- Implementación de dos dispositivos virtuales de acceso seguro (VA) en la sede central
- Cambiar evento: La instalación de las AV precedió inmediatamente al fallo del conector AD
- AD Connector funcionaba anteriormente y ahora se muestra como desconectado en el portal de acceso seguro
Resolución
Para resolver el problema de la integración de AD que se muestra como sin conexión en el portal de acceso seguro después de la implementación de VA, lleve a cabo estos pasos detallados de solución de problemas:
Capturar tráfico de red durante el reinicio del conector
Ejecute una captura Wireshark en todas las interfaces del conector AD/controlador de dominio mientras reinicia los servicios del conector. Esto ayuda a identificar cualquier falla de comunicación de red o intento de acceso no autorizado durante la inicialización del conector.
Paso 1: Inicie la captura de Wireshark en todas las interfaces relevantes
Inicie Wireshark y comience a capturar en todas las interfaces del conector AD/controlador de dominio.
Paso 2: Reinicie Connector Services a través del Administrador de servicios de Windows
Abra services.msc, localice el servicio OpenDNS Connector y haga clic en Restart.
Paso 3: Guardar el archivo de captura para un análisis más detallado
Detenga la captura y exporte el archivo .pcap.
Recopilar registros del conector
Recopile registros del conector de AD para obtener información más detallada sobre errores o problemas de autenticación:
- Desplácese hasta el directorio de registro.
C:\Program Files (x86)\OpenDNS\OpenDNS Connector\vX.X.X
- Recopile los archivos de registro relevantes y prepárelos para su revisión. Copie todos los archivos de registro del directorio mencionado en una ubicación segura.
Verificar permisos de cuenta del conector AD
Después de introducir los dispositivos virtuales, la cuenta del conector de AD requiere permisos específicos para funcionar correctamente. Si la cuenta carece de la función Lector de registro de eventos, puede encontrar excepciones de acceso no autorizado.
- Asigne el permiso Lector de registro de eventos a la cuenta del Conector de AD. Use Usuarios y equipos de Active Directory (ADUC) o la directiva de grupo para agregar la cuenta del Conector de AD al grupo Lectores de registro de eventos.
- Confirme que la cuenta tiene el nuevo permiso. Compruebe la pertenencia al grupo de la cuenta del conector de AD para comprobar la inclusión de lectores del registro de eventos.
Excepción común encontrada
Durante la resolución de problemas, esta excepción se puede observar en los registros o en la salida del estado del conector:
* Exception type: system.unauthorizedaccessexception
message: Attempted to perform an unauthorized operation.
Esto indica que la cuenta del conector de AD no tiene permisos suficientes, específicamente la función Event Log Reader, que es obligatoria después de que se introduzcan los VA.
No se encontró ningún comando CLI que muestre el cambio del estado del conector AD sin conexión a en línea.
Causa
La causa subyacente es la falta de permisos suficientes para la cuenta del conector de AD después de la implementación de los dispositivos virtuales de acceso seguro. La cuenta carece del permiso Event Log Reader, que es necesario para la funcionalidad correcta del conector de AD. Esto da como resultado un error "system.unauthorized accessexception" e impide que el conector funcione en línea dentro del portal de acceso seguro.
Contenido relacionado
Comentarios