パロ ・ アルトのネットワーク ユーザー ID エージェントをインストールする方法

パロ ・ アルトのネットワーク ユーザー ID エージェントをインストールする方法

150459
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 17:07 PM


Resolution


ユーザー ID をインストールする前に、次のチェックリストを実行してください。

  1. ユーザー ・ エージェントをインストールするコンピューターを決定します。
    1. Windows XP、Windows 7、Windows 8 または Windows Server 2003/2008/2012。
    2. Dc してファイアウォールの管理用ポートのネットワーク接続。
    3. ドメインのメンバーであります。
  2. ユーザー アカウントは、ドメインにクエリを実行するユーザー エージェントによって使用ことができますを決定します。このアカウントには、ドメイン コント ローラー上のセキュリティ ログを読み取るユーザー権限が必要があります。Domain admins グループがこの権利が基本的なユーザー権利に追加この権利を持つ広告で新しいグループを作成できます。
  3. (ドメイン コント ローラー) でドメイン ユーザー エージェントが照会されますを決定します。1 つのユーザー エージェントは、ドメインごとに必要です、64000 ユーザー ドメイン内の最大値を処理できます。

手順

インストールとユーザー ID エージェントを構成します。

  1. ユーザー エージェント ソフトウェアをインストールするドメインで PC を選択します。
  2. https://support.paloaltonetworks.com から最新バージョンのユーザーエージェントをダウンロードしてインストールします。
  3. 既定で選択されているローカル システム以外のアカウントで実行するユーザー エージェント サーバーを構成します。  このユーザー アカウントは、セキュリティ ログと netbios が他のマシンのプローブの読み取りアクセス許可が必要です。  サービスを取得する: 管理ツール > サービス > パン エージェント > ログオン > ローカル ユーザーからこのアカウントに切り替えるし、このサービスを使用するユーザーを選択します。
  4. パン エージェント サービスを再起動します。
  5. ユーザー エージェントの GUI、開始を開始 > プログラム > パロアルト ネットワーク > 右上隅のユーザー識別エージェントは、構成をクリックします。
  6. 次の情報を入力します。
    1. ドメイン名 - たとえば、acme.com ドメインの FQDN。
    2. ポート番号 - あなたの選択のいずれかのこのコンピューターで使用されていない番号ポートします。ローカル コンピューターにはそのポートへの着信接続をブロックするファイアウォールがないことを確認します。
    3. ドメイン コント ローラーの ip アドレス - ドメインのすべての Dc を追加。ユーザーは、最大 10 個の IP アドレスを入力することができますので、ドメインの任意の DC で認証できます。
    4. 許可リスト - ユーザー追跡するにはが含まれているサブネット。
    5. 複数のユーザーが同時にログインしている可能性のある他のマシン一覧 - ターミナル サーバーの IP アドレスを無視します。
    6. Netbios がネットワークで許可されていない場合、netbios プローブを無効にします。  ユーザー マッピングのサポートにより正確な IP の netbios プローブを無効にします。
  7. [OK] をクリックします。
  8. エラーは表示されませんが左上隅のエージェントのステータス ウィンドウを監視できます。その他のメッセージ:
    1. 接続に失敗しました。
    2. まずパンのエージェント サービスを開始してください。
    3. Name\enterprise 管理者のドメイン メンバーシップを読んでください。
    4. エラーはありません。
    5. ユーザー エージェントは、手順 8 で構成されているポートはリッスンを実行しているサーバーを確認、PC で次のコマンドを実行します。

      netstat-an |"xxxx"を見つける

ユーザー ID エージェントとの通信にファイアウォールを構成します。

  1. パロ ・ アルトのネットワーク ファイアウォールにログインし、デバイスに移動 > ユーザー Id。
  2. 名、ホスト (IP アドレス) とユーザー ID エージェントのポートを構成します。
  3. 監視する各ゾーンのユーザー id を有効にします。  ネットワーク上 > ゾーンのページ、適切なゾーンを編集します。ゾーンの [プロパティ] ページの左下隅にユーザーの識別を有効にするチェック ボックスをオンにします。
  4. 変更をコミットします。
  5. 接続を確認するには、APN のファイアウォールの CLI 経由でこのコマンドを実行します: 状態が接続されて返す必要がありますパンエージェントの統計情報を表示、[ok] を。
  6. 現在ログインしているユーザーを表示するには、実行:デバッグ dataplane ユーザー 全員を表示する

 

テスト

すべて動作していることを確認するために、新しいセキュリティ規則を作成します。  ユーザーまたはグループを選択することができます。

 

所有者: jnguyen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGUCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language