Die Agenten lose Benutzer-ID-Verbindung zu aktiven VerzeichnisServern verbindet und trennt sich zeitweise

Die Agenten lose Benutzer-ID-Verbindung zu aktiven VerzeichnisServern verbindet und trennt sich zeitweise

90084
Created On 09/25/18 19:37 PM - Last Modified 06/07/23 17:23 PM


Resolution


Aktualisiert Mai 2018 Kiwi

 

Problem

Aktive Verzeichnisserver, die für Agenten lose User-ID konfiguriert sind, trennen sich häufig von der Firewall. Der Verbindungsstatus für diese Server, unter dem Server-Monitoring-Abschnitt für die Benutzer Abbildung, wird immer wieder zwischen angeschlossenen und nicht angeschlossenen Klappen. Die User-ID-Protokolle haben für jeden konfigurierten ANZEIGENserver folgende Fehlermeldung:

Fehler: pan_user_id_win_sess_query (pan_user_id_win. c:1241): Session-Abfrage für <server name=""> fehlgeschlagen: [WMI/WMIC. c: 216: Main ()] Fehler: Ergebnisdaten abrufen.</server>

 

Im Screenshot unten sehen Sie den "nicht angeschlossenen" Status in der Server-Überwachung unter Gerät > BenutzerIdentifikation > Benutzer-Mapping > Server-Überwachung:

server_monitoring. png

 

Ursache

Die Agenten lose User-ID ist so konfiguriert, dass die Benutzer Sitzungsinformationen von den Servern in der Server-Überwachungsliste überwacht werden. Session-Abfrage Versuche von der Firewall zu diesen ANZEIGENservern Scheitern aufgrund von Berechtigungs Problemen. Das Domain-Konto, das für den Zugriff auf die Sitzungsinformationen verwendet wird, hat keine Privilegien, um die Benutzer Sitzungsinformationen von den Servern zu lesen. Die Server-Operator-Gruppe und die Domain-Admin-Gruppen werden die Leseberechtigungen für die Sitzungs Abfrage enthalten.

 

Wie im Beispiel unten gezeigt, gehen Sie zum Gerät > BenutzerIdentifikation > Benutzer-Mapping > Palo Alto Networks User-ID Agent Setup und klicken Sie auf die Einstellung, um den BenutzerNamen zu finden, der verwendet wird, um die Agenten lose User-ID mit dem ANZEIGENserver zu verbinden (172.30.30.15):

 

Wie im Beispiel unten gezeigt, sehen Sie im anzeigen Server (172.30.30.15) die Berechtigungen für den User CR7:

 

Lösung:

  • Option 1: Grant-Server-Betreiber oder Domain-admin-Privilegien auf das Service-Konto, das unter WMI-Authentifizierung verwendet wird Im folgenden Beispiel zeigt sich, wie man dem Benutzer CR7 die Erlaubnis des Server Betreibers hinzufügen kann:


    nachdem die Server-Operator-Erlaubnis dem Benutzer CR7 hinzugefügt wurde, sehen Sie aus dem folgenden Beispiel, dass die Agenten lose User-ID nun mit dem anzeigen Server verbunden ist:


  • Option 2: Wenn es nicht verwendet wird, deaktivieren Sie die Option Server Session Read:
    214754egami. png

Besitzer: knarra
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaICAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language