お問い合わせ内容
2つのセキュアアクセス仮想アプライアンス(VA)を導入した後、Active Directory(AD)統合はセキュアアクセスダッシュボード内で機能しなくなりました。 以前は、AD統合は運用可能でしたが、VAの導入後は、ADコネクタがSecure Accessダッシュボードでオフラインとして表示されるようになりました。 AD接続の復元にはサポートが必要です。
環境
- テクノロジー:ソリューションサポート(SSPT – 契約が必要)
- サブテクノロジー:セキュアなアクセス
- ソフトウェアバージョン:すべて
- セキュアアクセス(DNS-Advantage/Umbrella)
- 本社での2つのセキュアアクセス仮想アプライアンス(VA)の導入
- 変更イベント:直前にADコネクタ障害が発生したVAのインストール
- 以前に動作していたADコネクタが、Secure Accessポータルでオフラインとして表示されるようになりました。
解決策
VA導入後にSecure Accessポータルでオフラインと表示されるAD統合の問題に対処するには、次の詳細なトラブルシューティング手順を実行します。
コネクタ再起動時のネットワークトラフィックのキャプチャ
コネクタサービスの再起動中に、ADコネクタ/ドメインコントローラのすべてのインターフェイスでWiresharkキャプチャを実行します。 これにより、コネクタの初期化中にネットワーク通信の失敗や不正アクセスの試みを特定できます。
ステップ1:関連するすべてのインターフェイスでWiresharkキャプチャを開始します。
Wiresharkを起動し、すべてのADコネクタ/ドメインコントローラインターフェイスでキャプチャを開始します。
手順2: Windowsサービスマネージャーを使用してコネクタサービスを再起動する
services.mscを開き、OpenDNS Connector serviceを見つけて、Restartをクリックします。
ステップ3:詳細な分析のためにキャプチャファイルを保存する
キャプチャを停止し、.pcapファイルをエクスポートします。
コネクタログの収集
ADコネクタからログを収集して、エラーまたは認証の問題をより詳細に把握します。
- ログディレクトリに移動します。
C:\Program Files (x86)\OpenDNS\OpenDNS Connector\vX.X.X
- 関連するログファイルを収集し、レビューの準備をします。 前述のディレクトリから安全な場所にすべてのログファイルをコピーします。
ADコネクタアカウント権限の確認
仮想アプライアンスを導入した後、ADコネクタアカウントが正しく機能するには、特定の権限が必要です。 アカウントにEvent Log Readerロールがない場合、不正アクセス例外が発生する可能性があります。
- ADコネクタアカウントにイベントログリーダー権限を割り当てます。 Active Directoryユーザーとコンピューター(ADUC)またはグループポリシーを使用して、ADコネクタアカウントをイベントログリーダーグループに追加します。
- アカウントに新しい権限があることを確認します。 ADコネクタアカウントのグループメンバーシップを確認し、イベントログリーダーが含まれていることを確認します。
共通例外が見つかりました
トラブルシューティング中、この例外はログまたはコネクタステータス出力で確認できます。
* Exception type: system.unauthorizedaccessexception
message: Attempted to perform an unauthorized operation.
これは、ADコネクタアカウントに十分な権限、具体的にはイベントログリーダーロールがないことを示します。これはVAの導入後に必須です。
ADコネクタのステータスがオフラインからオンラインに変わったことを示すCLIコマンドは見つかりませんでした。
原因
根本的な原因は、セキュアアクセス仮想アプライアンスの導入後にADコネクタアカウントの権限が不十分なことにあります。 このアカウントには、適切なADコネクタ機能に必要なイベントログリーダー権限がありません。 この結果、「system.unauthorizedaccessexception」エラーが発生し、セキュアアクセスポータル内でコネクタがオンラインで動作しなくなります。
関連コンテンツ
フィードバック