排除故障"；访问被拒绝"Umbrella AD连接器中的警报

简介

本文档介绍当Cisco Umbrella Active Directory(AD)连接器处于警报或错误状态时，对“访问被拒绝”进行故障排除。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Umbrella。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

您会发现AD连接器显示警报或错误状态，将鼠标悬停在警报上方时列出的消息包括“访问被拒绝”(Access Denied)到一个已注册的AD服务器。

解决方案

请确保OpenDNS_Connector用户是以下AD组的成员：

• 事件日志读取器
• 分布式COM用户
• 企业只读域控制器

解决方案是确保在有问题的AD服务器上正确设置DCOM、WMI和管理审核和安全日志。

注意：默认情况下不支持多个域或多个林。请参阅Umbrella公告中的多AD域支持。如果您遇到这些问题，还可以联系Umbrella支持获取有关您的配置的帮助。

验证WMI权限：

1.选择开始>运行> wmimgmt.msc以访问Windows管理基础结构控制控制台。
2.右键单击WMI控制>属性>安全选项卡。
3.选择Root > CIMV2命名空间，然后选择Security按钮。
4.添加OpenDNS_Connector用户并允许这些权限：

• 启用帐户
• 远程启用
• 读取安全性

验证DCOM权限：

1.从命令行运行dcomcnfg。
2.导航到控制台根>组件服务>计算机。
3.右键单击我的电脑，然后选择属性。
4.从My Computer Properties中选择COM Security选项卡。
5.在“启动和激活权限”部分中，选择编辑限制。
6.添加OpenDNS_Connector用户并允许远程启动和远程激活权限。
7.选择确定以确认并关闭“我的电脑属性”。

注意：在大多数情况下，如果更改了DCOM，则需要重新启动该DC以使更改生效。

要在Windows 2003服务器上验证“管理审核和安全日志”，请执行以下操作：

1.在域控制器上，打开命令提示符并键入以下命令（如果您运行的是Windows 2003，请用/v替换/r）：

gpresult /scope computer /r

2.查找Applied Group Policy Objects行。下面是应用到该域控制器的策略列表。记下可以应用于所有域控制器的命令。
（例如“默认域控制器策略”）。 如果不存在，则需要创建并应用它。

要编辑正确的策略，请执行以下操作：

3.打开组策略管理面板（通过“开始”/“管理工具”）。 选择所需的策略。“Domain Controllers”文件夹中的内容可能是候选对象。

4.右键单击该策略，然后选择编辑以打开组策略管理编辑器。

5.浏览到Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment文件夹，然后选择Manage audit and security log以查看其属性。

6.选择“定义这些策略设置”>“添加用户或组”。浏览并选择OpenDNS_Connector用户。

7.在域控制器上运行“gpupdate /force”命令以确保应用策略。

原因

此错误通常表示OpenDNS_Connector用户没有足够的权限进行操作。

Windows Connector脚本通常设置OpenDNS_Connector用户所需的权限。但是，在严格的AD环境中，不允许某些管理员在其域控制器上运行VB脚本，因此需要手动复制Windows配置脚本的操作。 

Additional Information

有关解决此问题的详细信息，请访问访问被拒绝解决的完整主题。

如果在确认/更改上述设置后，您仍然可以在控制面板中看到“Access Denied”（访问被拒绝）消息，请发送支持连接器日志，如本文所述：通过AD连接器日志提供支持。