パロ ・ アルトのネットワーク ユーザー ID エージェントをインストールする方法
165774
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 17:07 PM
Resolution
ユーザー ID をインストールする前に、次のチェックリストを実行してください。
- ユーザー ・ エージェントをインストールするコンピューターを決定します。
- Windows XP、Windows 7、Windows 8 または Windows Server 2003/2008/2012。
- Dc してファイアウォールの管理用ポートのネットワーク接続。
- ドメインのメンバーであります。
- ユーザー アカウントは、ドメインにクエリを実行するユーザー エージェントによって使用ことができますを決定します。このアカウントには、ドメイン コント ローラー上のセキュリティ ログを読み取るユーザー権限が必要があります。Domain admins グループがこの権利が基本的なユーザー権利に追加この権利を持つ広告で新しいグループを作成できます。
- (ドメイン コント ローラー) でドメイン ユーザー エージェントが照会されますを決定します。1 つのユーザー エージェントは、ドメインごとに必要です、64000 ユーザー ドメイン内の最大値を処理できます。
手順
インストールとユーザー ID エージェントを構成します。
- ユーザー エージェント ソフトウェアをインストールするドメインで PC を選択します。
- https://support.paloaltonetworks.com から最新バージョンのユーザーエージェントをダウンロードしてインストールします。
- 既定で選択されているローカル システム以外のアカウントで実行するユーザー エージェント サーバーを構成します。 このユーザー アカウントは、セキュリティ ログと netbios が他のマシンのプローブの読み取りアクセス許可が必要です。 サービスを取得する: 管理ツール > サービス > パン エージェント > ログオン > ローカル ユーザーからこのアカウントに切り替えるし、このサービスを使用するユーザーを選択します。
- パン エージェント サービスを再起動します。
- ユーザー エージェントの GUI、開始を開始 > プログラム > パロアルト ネットワーク > 右上隅のユーザー識別エージェントは、構成をクリックします。
- 次の情報を入力します。
- ドメイン名 - たとえば、acme.com ドメインの FQDN。
- ポート番号 - あなたの選択のいずれかのこのコンピューターで使用されていない番号ポートします。ローカル コンピューターにはそのポートへの着信接続をブロックするファイアウォールがないことを確認します。
- ドメイン コント ローラーの ip アドレス - ドメインのすべての Dc を追加。ユーザーは、最大 10 個の IP アドレスを入力することができますので、ドメインの任意の DC で認証できます。
- 許可リスト - ユーザー追跡するにはが含まれているサブネット。
- 複数のユーザーが同時にログインしている可能性のある他のマシン一覧 - ターミナル サーバーの IP アドレスを無視します。
- Netbios がネットワークで許可されていない場合、netbios プローブを無効にします。 ユーザー マッピングのサポートにより正確な IP の netbios プローブを無効にします。
- [OK] をクリックします。
- エラーは表示されませんが左上隅のエージェントのステータス ウィンドウを監視できます。その他のメッセージ:
- 接続に失敗しました。
- まずパンのエージェント サービスを開始してください。
- Name\enterprise 管理者のドメイン メンバーシップを読んでください。
- エラーはありません。
- ユーザー エージェントは、手順 8 で構成されているポートはリッスンを実行しているサーバーを確認、PC で次のコマンドを実行します。
netstat-an |"xxxx"を見つける
ユーザー ID エージェントとの通信にファイアウォールを構成します。
- パロ ・ アルトのネットワーク ファイアウォールにログインし、デバイスに移動 > ユーザー Id。
- 名、ホスト (IP アドレス) とユーザー ID エージェントのポートを構成します。
- 監視する各ゾーンのユーザー id を有効にします。 ネットワーク上 > ゾーンのページ、適切なゾーンを編集します。ゾーンの [プロパティ] ページの左下隅にユーザーの識別を有効にするチェック ボックスをオンにします。
- 変更をコミットします。
- 接続を確認するには、APN のファイアウォールの CLI 経由でこのコマンドを実行します: 状態が接続されて返す必要がありますパンエージェントの統計情報を表示、[ok] を。
- 現在ログインしているユーザーを表示するには、実行:デバッグ dataplane ユーザー 全員を表示する
テスト
すべて動作していることを確認するために、新しいセキュリティ規則を作成します。 ユーザーまたはグループを選択することができます。
所有者: jnguyen