IP-対ユーザー マッピングのドメイン プレフィックスに矛盾がある

• show user-user-mapping allコマンドを使用すると、一部 IP- の対ユーザーマッピングで不整合なドメインプレフィックスが表示されます。
• DNS- policy グループ ベースのポリシーを使用している場合、ドメイン名が一覧表示されているユーザーが間違ったセキュリティにヒットする原因となる可能性があります。
• 次の例では、一部のエントリは NetBIOS ドメイン\ユーザー名として表示され、その他のエントリは DNS- ドメイン\ユーザー名としてリストされています。

> show user ip-user-mapping all
IP             Vsys   From  User                           IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14    vsys1  AD    subdomain.root.com\fflintsone      0              3
10.19.0.78     vsys1  AD    subdomain\brubble                  297            295
10.0.0.246     vsys1  AD    subdomain.root.com\dino            0              3
Total: 3 users

• 任意 PAN-OS の .
• パロ アルト Firewall .
• エージェントレス ユーザー - ID 複数ドメイン AD のフォレスト環境で使用されます。

• この問題は、デバイスにドメイン マップが設定されていない場合に発生します。
• ドメイン マップの存在を確認するには、コマンドを実行して、 ユーザー ID ダンプ ドメイン マップをデバッグします。NetBIOS ドメイン名の解決に必要な出力は、問題を示 DNS しません。 この解決方法は、ユーザーが IP 正規化プロセスに必要です。
• ドメイン マップがルート ドメイン コント ローラーからディレクトリ パーティションのみがプルされることができます。

解像 度

1. ルート LDAP ドメイン コントローラの 1 つに接続する (ポート 389 または 636) サーバー プロファイルを作成します DC 。
2. 上記のサーバー プロファイルを使用するルート ドメインから少なくとも 1 つのグループをプルするグループ マッピング プロファイルを作成 LDAP します。
3. グループ マッピングをリセットします。

> debug user-id reset group-mapping all

4. IDコマンドを使用してユーザーを再起動する

> debug software restart process user-id

5. ドメイン マップが終了したことを確認します。

> debug user-id dump domain-map