排查"；訪問被拒絕"；故障Umbrella AD聯結器中的警報

簡介

本檔案將說明Cisco Umbrella Active Directory(AD)聯結器處於警報或錯誤狀態時對「拒絕訪問」進行疑難排解。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco Umbrella。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

您注意到AD聯結器顯示警報或錯誤狀態，當您將滑鼠懸停在警報上方時，列出的消息包括「拒絕訪問」到其中一個已註冊的AD伺服器。

解決方案

請確保OpenDNS_Connector使用者是以下AD組的成員：

• 事件日誌讀取器
• 分散式COM使用者
• 企業只讀域控制器

解決方案是確保相關AD伺服器上正確設定DCOM、WMI和管理稽核和安全日誌。

附註：預設情況下不支援多個域或多個林。請參閱Umbrella公告中的多AD域支援。如果您遇到這些問題，您還可以就您的配置與Umbrella支援聯絡以獲得幫助。

驗證WMI許可權：

1.選擇開始>運行> wmimgmt.msc以訪問Windows Management Infrastructure控制控制檯。
2.按一下右鍵WMI Control > Properties > Security頁籤。
3.選擇Root > CIMV2名稱空間，然後選擇Security按鈕。
4.新增OpenDNS_Connector使用者並允許以下許可權：

• 啟用帳戶
• 遠端啟用
• 讀取安全性

驗證DCOM許可權：

1.從命令列運行dcomcnfg。
2.導航到Console Root > Component Services > Computers。
3.按一下右鍵我的電腦，然後選擇屬性。
4.從My Computer Properties中選擇COM Security頁籤。
5.在「啟動和啟用許可權」部分，選擇「編輯限制」。
6.新增OpenDNS_Connector使用者並允許遠端啟動和遠端啟用許可權。
7.選擇確定以確認並關閉「我的電腦屬性」。

附註：在大多數情況下，如果更改了DCOM，則需要重新啟動該DC，以使更改生效。

在Windows 2003伺服器上驗證「管理稽核和安全日誌」：

1.在域控制器上，開啟命令提示符，然後鍵入以下命令（如果運行的是Windows 2003，請用/v替換/r）：

gpresult /scope computer /r

2.查詢「已應用的組策略對象」行。下面是應用到該域控制器的策略清單。記下可以應用於所有域控制器的一個控制器。
（例如「預設域控制器策略」）。 如果不存在，則需要建立並應用它。

要編輯正確的策略，請執行以下操作：

3.開啟組策略管理面板（通過開始/管理工具）。 選擇所需的策略。「Domain Controllers」資料夾中的某些內容可能是候選對象。

4.按一下右鍵該策略，然後選擇編輯以開啟組策略管理編輯器。

5.瀏覽到Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment資料夾，然後選擇Manage audit and security log以檢視其屬性。

6.選擇「定義這些策略設定」>「新增使用者或組」。瀏覽並選擇OpenDNS_Connector使用者。

7.在域控制器上運行「gpupdate /force」命令以確保應用該策略。

原因

此錯誤通常表示OpenDNS_Connector使用者沒有足夠的許可權進行操作。

Windows Connector指令碼通常設定OpenDNS_Connector使用者所需的許可權。但是，在嚴格的AD環境中，某些管理員不允許在其域控制器上運行VB指令碼，因此需要手動複製Windows配置指令碼的操作。 

其他資訊

有關解決此問題的詳細資訊，請訪問拒絕訪問解決的完整主題。

如果在確認/更改上述設定後，您仍然會看到儀表板中的「Access Denied（拒絕訪問）」消息，請傳送支援聯結器日誌，如本文所述：為AD聯結器日誌提供支援。