Integrace s Active Directory

Požadavky pro instalaci

Před instalací Event Log Forwarderu (ELF) na jedno nebo více vašich zařízení se ujistěte, že máte povolený audit událostí.

Na každém vašem řadiči domény (DC) přejděte do: Windows Administrative ToolsLocal Security Policy, poté do Security SettingsLocal PoliciesAudit Policy, a zde najdete Audit account logon events, Audit account sign-in events a Audit logon events.

Některá nastavení se mohou lišit názvem nebo mohou chybět, v závislosti na verzi Windows.

_images/ad-integration-1.png

Zaškrtněte Úspěch a Selhání.

_images/ad-integration-2.png

Možná bude potřeba znovu načíst nakonfigurovanou politiku. Pro znovunačtení politiky, prosím, spusťte následující příkaz:

gpupdate /force

Konfigurace řadiče domény (Domain Controleru)

DC Firewall pro Windows

Ujistěte se, že Event Log lze přistupovat skrze konfiguraci Firewallu pomocí WMI.

Na každém vašem řadiči domény přejděte do: Windows Defender FirewallWindows Defender Firewall with Advanced Security on Local Computer Inbound RulesWindows Management Instrumentation (WMI-In)

Ujistěte se, že pravidlo umožňuje připojení.

_images/ad-integration-3.png

Nastavte rozsah povolených adres, které se mohou připojit. V tomto příkladu je povolena vzdálená adresa 192.168.1.0/24.

_images/ad-integration-4.png

Nebo, alternativně, můžete použít příkazový řádek:

netsh firewall set service RemoteAdmin enable

DC Firewall Rules

Zdroj

Směr

Cíl

Port

Protokol

Důvod

DC

—>

local netwk

135

TCP/UDP

Microsoft RPC

DC

—>

local netwk

445

TCP

Microsoft MQ

DC

—>

local netwk

ICMP

Služba Windows

Ujistěte se, že služba Windows Management Instrumentation běží.

C:\Users\Administrator>sc query Winmgmt

SERVICE_NAME: Winmgmt
      TYPE               : 30  WIN32
      STATE              : 4  RUNNING
                              (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
      WIN32_EXIT_CODE    : 0  (0x0)
      SERVICE_EXIT_CODE  : 0  (0x0)
      CHECKPOINT         : 0x0
      WAIT_HINT          : 0x0
_images/ad-integration-5.png

Vzdálená konfigurace WMI

Pokud se rozhodnete nainstalovat ELF na jiném počítači s Windows, ujistěte se, že může používat WMI na dálku. Pro povolení vzdáleného WMI pro účet, který bude použit pro připojení k řadiči domény, přejděte do: Computer ManagementServices and ApplicationsWMI Control Klikněte pravým tlačítkem a vyberte Properties.

_images/ad-integration-6.png

Vyberte kartu Security, poté vyberte jmenný prostor Root a klikněte na tlačítko Security.

_images/ad-integration-7.png

Přidejte uživatele do seznamu nebo vyberte skupinu, ke které patří, zaškrtněte povolení Remote Enable.

_images/ad-integration-8.png

Event Log Forwarder

ELF můžete nainstalovat lokálně na DC nebo na jiném počítači s Windows. ELF využívá následující spojení:

ELF Firewall Rules

Zdroj

Směr

Cíl

Port

Protokol

Důvod

ELF

—>

DC

135

TCP/UDP

ELF

—>

resolver

4222

TCP

NATS Message Queue

Instrukce pro instalaci

Instalace nebo aktualizace:

msiexec /i "Whalebone.Event.Log.Forwarder.Installer.msi" ui="true"

Odinstalace:

msiexec /x "Whalebone.Event.Log.Forwarder.Installer.msi

Konfigurace

Instalátor by měl automaticky otevřít okno konfigurace. Konfiguraci můžete přistupovat z oblíbeného webového prohlížeče pomocí příkazu:

start http://localhost:55225/Configure/AD
_images/ad-integration-9.png

Logy služby

Protokoly služby lze najít v c:\ProgramData\Whalebone\Event Log Forwarder\, které obsahují podrobné informace o stavu služby. V případě, že narazíte na neočekávané chování služby, prosím, zahrňte obsah této složky k požadavku na podporu.