Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

グループ ポリシーを統合した Active Directory のトラブルシューティング

ネットワークが拡大し、複数の物理ロケーションのユーザが含まれるようになると、ネットワークをトローラはダッシュボードと統合するように設定されている必要があります。

この記事では、ダッシュボード グループ ポリシーと Active Directory の統合に関する一般的な問題、解決方法、トラブルシューティング手順について説明します。

設定手順と初期セットアップについては、「Active Directory とグループ ポリシーの統合」を参照してください。

 

予想される動作

MX は Microsoft の Windows Management Instrumentation(WMI)サービスを利用して、Active Directory ドメイン内の指定のドメイン コントローラから一連のログオン セキュリティ イベントをプルします。MX はこれらのセキュリティ イベントから、どのユーザ アカウントがどのコンピュータにログインしたかという重要な情報を得ます。具体的には、これらのイベントにはコンピュータの IP アドレス、およびログオンしている Windows ユーザ名が記録されます。

MX は以下の手順に従って AD グループ メンバーを識別し、該当するグループ ポリシーを適用します。

  1. MX は TLS を使用して、AD ドメイン用の指定されたドメイン コントローラに安全にアクセスします。
  2. MX は DC のセキュリティ イベントから WMI ログオン イベントを読み取り、どのユーザがどのデバイスにログインしたかを判別します。
  3. 各ユーザの AD グループ メンバーシップを収集するために、MX は LDAP/TLS を使用して DC にバインドします。
  4. グループ メンバーシップが MX 上のデータベースに追加されます。
  5. ドメイン ユーザのグループ メンバーシップがダッシュボード内の AD グループ ポリシー マッピングに一致すると、MX は関連するグループ ポリシーをユーザのコンピュータに適用します。

MX はこの情報を継続的にドメイン コントローラから収集するので、新しいユーザがログインするたびに正確に、リアルタイムでポリシーを適用できます。

エラー メッセージ

MX が前述の手順のいずれかを実行できない場合、ダッシュボードにはプロセスで失敗した部分を説明するエラー メッセージが表示されます。特に、サーバとの通信で問題が発生している場合は、[セキュリティ アプライアンス(Security appliance)] > [設定(Configure)] > [Active Directory] > [Active Directory サーバ(Active Directory servers)] の [ステータス(Status)] 列に、赤色の X が表示されます。X にマウスオーバーすると、特定の問題を説明するエラー メッセージが表示されます。

以降の項では、これらのエラー メッセージについて詳しく説明し、メッセージごとに推奨されるトラブルシューティング手順を示します。

ldap_bind:クレデンシャルが無効です(ldap_bind: Invalid credentials)

エラーの説明:[短いドメイン(Short domain)] 、[ドメイン管理者(Domain admin)]、または [パスワード(Password)] の値が、ダッシュボードの [Active Directory サーバ(Active Directory Servers)] に対して正しく設定されていません。

エラーの解決策:次に、ダッシュボードの [セキュリティ アプライアンス(Security appliance)] > [設定(Configure)] > [Active Directory] > [Active Directory サーバ(Active Directory Servers)] に入力する正しい情報の確認手順を説明します。

  • [短いドメイン(Short domain)]:Windows 2000 以前のドメイン名形式(NetBIOS)を使用します。ドメイン コントローラで次のいずれかを実行して、Windows 2000 以前のドメイン名を見つけます。
    • コマンド プロンプトから set コマンドを実行し、USERDOMAIN 値を見つけます。
    • [Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] コンソールのドメインの管理者またはユーザの [アカウントのプロパティ(Account Properties)] タブで、Windows 2000 以前のドメイン名を見つけます。注:ダッシュ ボードに短いドメインを入力するときには、バック スラッシュを使用しないでください。
  • [ドメイン管理者(Domain admin)]:NetBIOS ドメイン名プレフィックスまたは UPN サフィックスなしでドメイン管理者のユーザ ログイン名を使用します。 これは、ドメイン コントローラの [Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] コンソールのドメイン管理者の [アカウントのプロパティ(Account Properties)] で見つかります。 
  • [パスワード(Password)]:ドメイン管理者アカウントのパスワードが正しくないか、またはユーザが Active Directory からロックアウトされています。アカウントがロックされているかどうかを確認するには、ドメイン コントローラの [Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] コンソールのドメイン管理者の [アカウントのプロパティ(Account Properties)] タブを確認します。 

ドメイン コントローラに到達できません(Could not reach domain controller)

エラーの説明:MX が、ドメイン コントローラ上の LDAP および WMI サービスに到達できません。具体的には、MX はこのいずれのサービスとも TCP セッションを確立できません。

エラーの解決策:ドメイン コントローラに到達できない問題を解決するには、次の点を確認してください。

  • ダッシュボードの [サーバ IP(Server IP)] フィールドに、ドメイン コントローラの正しい IP アドレスが入力されている。
  • MX とドメイン コントローラ間で IP 接続が確立されている。
  • ファイアウォールによって、ドメイン コントローラへの LDAP および WMI 接続がブロックされていない。LDAP 接続では TCP ポート 3268 が使用され、WMI では TCP ポート 135、445、および動的割り当てポート(Windows 2003 以前では 1024 ~ 65535(TCP)、Windows 2008 では 49152 ~65535(TCP))が使用される。
  • Windows Management Instrumentation(WMI)サービスがドメイン コントローラ上で実行されている。これを確認するには、[サービス(Services)] コンソールでサービスを調べます。

接続の問題のトラブルシューティングの詳細については、「接続のトラブルシューティング」を参照してください。

ldap_bind:LDAP サーバーと通信できません(ldap_bind: Can't contact LDAP server)

エラーの説明:このエラーは、MX がドメイン コントローラの WMI サービスに接続できるが、LDAP サービスには接続できないことを示します。 これは、WMI と LDAP サービスの両方に到達できないことを示す前述の [ドメイン コントローラに到達できません(Could not reach domain controller)] エラーとは異なることに注意してください。

エラーの解決策:LDAP 接続の失敗を解決するには、次の点を確認してください。

  • ドメイン コントローラは、TCP ポート 3268 でリスニングしているグローバル カタログである。
  • ファイアウォールにより、TCP ポート 3268 でのグローバル カタログ サービスへの LDAP 接続がブロックされている。

接続の問題のトラブルシューティングの詳細については、「接続のトラブルシューティング」を参照してください。

ldap_start_tls:サーバが使用できません(ldap_start_tls: Server is unavailable)

エラーの説明:MX は、TLS を使用してドメイン コント ローラへの LDAP 接続を保護します。このエラーは、MX が TLS の確立時にドメイン コントローラから「TLS 初期化中にエラーが発生しました(Error initializing TLS)」という応答を受信したことを示します。

エラーの解決法:TLS の問題を解決するには、次の点を確認します。

  • ドメイン コントローラに有効な証明書がインストールされている。回避策/テストとして自己署名証明書をインストールする方法については、「Windows サーバへの自己署名証明書のインストール」を参照してください。
  • ドメイン コントローラで STARTTLS がサポートされている。MX では LDAP over SSL をサポートしていないため、STARTTLS が代わりに使用されます。

WMI エラー(WMI Error)

エラーの説明:このエラーは、MX がセキュリティ ログを取得しようとしたときに、ドメイン コント ローラの WMI サービスから NT エラー コードが返されたことを意味します。これらのイベントは、どのユーザ アカウントがどのコンピュータにログインしたかを MX が確認する上で必要です。

エラーの解決策:WMI エラーが発生する原因として、次の 2 つの点があります。

  • ダッシュボードで設定されたユーザ アカウントに、ドメイン コントローラのセキュリティ ログにアクセスできる権限がない。ダッシュボードに連続する WMI エラーが表示されている場合は、ユーザ権限の問題である可能性があります。 これを解決するには、設定されているドメイン管理者アカウントを、Active Directory でドメイン管理者グループのメンバーとして追加します
  • クライアントにグループ ポリシーをリアルタイムで適用するために、MX が WMI サービスに 5 秒間隔で接続し、最新のログオン イベントを取得する。場合によっては、WMI プロバイダー サービスで、要求を処理するためにメモリ量と処理クォータを増やし、セキュリティ イベント ログのサイズを小さくする必要があります。
    WMI プロバイダー サービスのメモリと処理クオータを増やし、セキュリティ イベント ログのサイズを小さくするには、次の手順に従います。
  1. [イベント ビューア(Event Viewer)] を開きます。
  2. [イベント ビューア(Event Viewer)] > [Windows ログ(Windows Logs)] > [セキュリティ(Security)] に移動します。 
  3. [セキュリティ(Security)] を右クリックし、[プロパティ(Properties)] をクリックします。
  4. [最大ログ サイズ(KB)] を 1024 に設定します。
  5. [イベント ログ サイズが最大値に達したとき(When maximum event log size is reached)] で [必要に応じてイベントを上書きする(最も古いイベントから)(Overwrite events as needed (oldest events first) )] または [イベントを上書きしないでログをアーカイブする(Archive the log when full, do not overwrite events)] を選択します。
  6. [OK] をクリックします。

LDAP 接続エラー(LDAP Connection error)

エラーの説明:このエラーは、ドメイン コント ローラで TLS v1.0 がサポートされていない場合によく発生します。

エラーの解決策:ドメイン コント ローラで TLS v1.0 がサポートされていることを確認します 。