Integre o Ative Diretory off-line após a implantação de dispositivos virtuais de acesso seguro

Problema

Após implantar dois VAs (Secure Access Virtual Appliances), a integração do Ative Diretory (AD) parou de funcionar no painel do Secure Access. Anteriormente, a integração do AD estava operacional, mas após a implantação do VA, o conector do AD agora é exibido como offline no painel do Secure Access. A assistência é necessária para restaurar a conectividade do AD.

Ambiente

• Tecnologia: Suporte à solução (SSPT - contrato necessário)
• Subtecnologia: Acesso seguro
• Versão de software: TODOS
• Acesso seguro (DNS-vantagem/guarda-chuva)
• Implantação de dois dispositivos virtuais de acesso seguro (VAs) na sede
• Alterar evento: Instalação de VAs imediatamente precedeu falha de conector AD
• O Conector AD anteriormente em operação e agora é exibido como off-line no portal Secure Access

Resolução

Para resolver o problema de integração do AD que aparece como offline no portal Secure Access após a implantação do VA, execute estas etapas detalhadas de solução de problemas:

Capturar o tráfego de rede durante a reinicialização do conector

Execute uma captura do Wireshark em todas as interfaces do conector do AD/controlador de domínio ao reiniciar os serviços do conector. Isso ajuda a identificar falhas de comunicação de rede ou tentativas de acesso não autorizado durante a inicialização do conector.

Etapa 1: Inicie a captura do Wireshark em todas as interfaces relevantes

Inicie o Wireshark e inicie a captura em todas as interfaces do conector AD/controlador de domínio.

Etapa 2: Reinicie os Serviços do Conector pelo Gerenciador de Serviços do Windows

Abra services.msc, localize o serviço OpenDNS Connector e clique em Reiniciar.

Etapa 3: Salvar Arquivo de Captura para Análise Adicional

Pare a captura e exporte o arquivo .pcap.

Coletar Logs do Conector

Reúna logs do conector do AD para ter uma visão mais profunda dos erros ou problemas de autenticação:

1.  Navegue até o diretório log.

C:\Program Files (x86)\OpenDNS\OpenDNS Connector\vX.X.X

1.  Colete arquivos de log relevantes e prepare-os para revisão. Copie todos os arquivos de log do diretório mencionado acima para um local seguro.

Verificar Permissões de Conta do Conector do AD

Após introduzir os Aplicativos Virtuais, a conta do Conector AD requer permissões específicas para funcionar corretamente. Se a conta não tiver a função Leitor do Log de Eventos, ela poderá encontrar exceções de acesso não autorizado.

1. Atribua a permissão Leitor do Log de Eventos à conta do AD Connector. Use Usuários e Computadores do Ative Diretory (ADUC) ou a Diretiva de Grupo para adicionar a conta do AD Connector ao grupo Leitores do Log de Eventos.
2. Confirme se a conta tem a nova permissão. Verifique a associação de grupo da conta do Conector do AD para verificar a inclusão dos Leitores do Log de Eventos.

Exceção comum encontrada

Durante a solução de problemas, essa exceção pode ser observada em logs ou na saída do status do conector:

* Exception type: system.unauthorizedaccessexception
message: Attempted to perform an unauthorized operation.

Isso indica que a conta do Conector AD não tem permissões suficientes, especificamente a função Leitor de Log de Eventos, que é obrigatória depois que as VAs são introduzidas.

Nenhum comando CLI encontrado que mostre a mudança do status do conector AD offline para online.

Causa

A causa subjacente é a insuficiência de permissões para a conta do Conector do AD após a implantação dos Aplicativos Virtuais de Acesso Seguro. A conta não tem a permissão Leitor do Log de Eventos, que é necessária para a funcionalidade adequada do conector do AD. Isso resulta em um erro "system.unauthorized access sexception" e impede que o conector opere online no portal de Acesso Seguro.

Conteúdo relacionado

• Suporte técnico e downloads da Cisco