IP-用户映射具有不一致的域前缀

• 当 显示用户 IP 用户映射使用所有 命令时，某些 IP- 用户映射显示不一致的域前缀
• 不一致的域名前缀可能导致使用 DNS- 基于组的策略时，使用域名列出的用户打错了安全 policy 性。
• 在下面的示例中，某些条目被列为 NetBIOS 域名/用户名，而另一些条目则被列为 DNS- 域名/用户名。

> show user ip-user-mapping all
IP             Vsys   From  User                           IdleTimeout(s) MaxTimeout(s)
-------------- ------ ----- ------------------------------ -------------- -------------
172.19.1.14    vsys1  AD    subdomain.root.com\fflintsone      0              3
10.19.0.78     vsys1  AD    subdomain\brubble                  297            295
10.0.0.246     vsys1  AD    subdomain.root.com\dino            0              3
Total: 3 users

• 任何 PAN-OS .
• 帕洛阿尔托 Firewall .
• ID在多领域森林环境中使用的无代理用户 AD - 。

• 当域映射未在设备上填充时，将出现此问题。
• 若要检查是否存在域映射运行该命令，请 调试用户 ID 转储域映射。没有输出表示问题，因为解决 DNS NetBIOS 域名需要输出。 用户需要此分辨率才能 IP 实现规范化过程。
• 只有被拉扯域映射从一个根域控制器的目录分区。

分辨率

1. 创建连接到 LDAP 根域控制器之一的（端口 389 或 636）服务器配置文件，这也 DC 必须是一个全球目录服务器。
2. 创建一个组映射配置文件，该配置文件将从使用上述服务器配置文件的根域中提取至少一个组 LDAP 。
3. 重置组映射。

> debug user-id reset group-mapping all

4. ID通过使用命令重新启动用户

> debug software restart process user-id

5. 确认域映射现已退出。

> debug user-id dump domain-map