解决Active Directory和虚拟设备的安全访问错误

简介

本文档介绍“站点和Active Directory”页面上的常见错误、警告和参考消息，并提供解决步骤。

必备条件和重要警告

• 同步时间：最多允许10分钟同步过程在更改后完成。
• 网络要求：确保允许连接器、虚拟设备、域控制器和安全访问云之间的连接。
• 服务器支持：将Windows Server 2012或更高版本用于连接器部署，以确保与TLS 1.2兼容。
• 日志收集：如果执行提供的步骤后问题仍然存在，请收集相关AD连接器日志以进行进一步调查。
  
  

虚拟设备

虚拟设备同步

• [信息]此VA已注册，但从未同步：检验网络要求。如果问题仍然存在，请创建支持案例。
• [错误]此VA曾同步到某一点，但后来已停止：如果VA已停用，请将其从Secure Access控制面板中删除。否则，请检验网络连接。
  
  

连接器连接

• [信息]此VA以前连接到一个或多个连接器，但现在未连接到任何连接器：如果删除了连接器，请从控制面板中删除这些连接器。
• [警告]此虚拟设备已连接到此站点的部分连接器（但不是全部）：查看必备条件并收集支持日志。
• [警告]此VA转发到安全访问的DNS查询未加密：当DNSCrypt出现故障时会发生这种情况。确保防火墙不在端口53上执行深度数据包检测。确保VA在3.1.x或更高版本上。

本地域和高可用性

• [信息]此VA未配置任何本地域：通过本地DNS转发设置配置本地域。
• [错误]此VA在其站点内不是冗余的（每个站点需要2+ VA）：安装第二个虚拟设备以确保高可用性。
• [错误]对此VA的大部分DNS查询失败：创建支持案例。
  
  

AD连接器

连接器同步和连接

• [信息]此连接器已注册，但从未同步：等待10分钟以进行同步。检验网络要求并收集日志。
• [错误]此连接器一度同步，但后来停止了：验证服务器是否支持TLS 1.2。确保连接器版本为1.6.31或更高版本。
• [信息]此连接器没有要连接的VA或直流电：确保站点至少包含一个VA和一个DC。

DC和VA连接

• [警告]连接器连接到某些（但非全部）DC:验证先决条件并收集日志。
• [错误]连接器曾连接过，但当前未连接到任何可用的DC:验证先决条件并收集日志。
• [警告]连接器在尝试连接到某些VA时报告超时错误：如果VA位于不同的LAN中，请考虑使用多个Umbrella站点。
• [信息]连接器未与VA并行同步事件：根据资产数量升级服务器CPU容量。
• [警告]连接器在尝试向某些VA发送事件时报告丢弃：如果事件速率超过每秒850个事件，请考虑打开支持案例来启用负载均衡。
  
  

域控制器

连接器连接和WMI

• [信息]此域控制器从未连接到连接器：在域控制器所在的站点中安装连接器。
• [错误]域控制器未同步：https://securitydocs.cisco.com/docs/csa/gov/olh/154807.dita