ユーザー ID エージェントから予期しないトラフィックが表示される
Resolution
問題
UDP ポート135および137を介して、ユーザー ID エージェントから予期しないトラフィックが見られています。
- アプリケーションが不完全、ただしまたは netbios-ns として表示されます。
- 宛先は、ランダムなパブリック IP アドレスであることが表示されます。
- エージェントのイベントビューアーの下に、システムログにイベント10009イベント DCOM イベントがたくさんあります。
原因
この問題は、信頼されていない (パブリックに直面している) ゾーンでユーザー id が有効になっていて、ユーザー id エージェントで WMI プロービングが有効になっている場合に発生する可能性があります。この問題は、このゾーンでユーザー ID が有効になっているために、パブリックに直面しているゾーンからのすべての受信接続が不明な ip アドレスになる可能性があるため、パロアルトネットワークファイアウォールはソース ip アドレスのユーザーマッピングを特定しようとします。マッピングがファイアウォールまたはユーザー ID エージェントに存在しないため、エージェントは WMI プローブを使用して IP ユーザーマッピングを解決しようとしますが、ほとんどの場合、失敗します。これにより、ファイアウォールとエージェントの両方でパフォーマンスの問題が発生する可能性があります。
生成され、公開されているゾーンに送られるトラフィックは、次に示すように、ランダムなパブリック IP アドレス宛てのトラフィックを参照し、ポート137に宛てたもので、アプリケーションは netbios ns です。
以下に示すように、アプリケーションただしのトラフィックと不完全な場合があります。
解決方法
パブリックに直面するゾーンでは、ユーザー ID を有効にしないでください。ほとんどの場合、ユーザー ID は、信頼できるゾーンまたは内部領域でのみ有効にする必要があります。ユーザー ID が公開されているゾーンで有効になっている場合は、[ネットワーク] > [ゾーン] > Untrust ゾーンをクリックして無効にし、[ユーザー識別を有効にする] チェックボックスをオフにします。
最終的なゾーン構成は、次の例のようになります。
所有者: jteetsel