Connexion d'ID utilisateur sans agent aux serveurs Active Directory connexion et déconnexion intermittentes

Connexion d'ID utilisateur sans agent aux serveurs Active Directory connexion et déconnexion intermittentes

90078
Created On 09/25/18 19:37 PM - Last Modified 06/07/23 17:23 PM


Resolution


Mise à jour mai 2018 Kiwi

 

Demande client

Les serveurs Active Directory configurés pour l'ID utilisateur sans agent se déconnectent fréquemment du pare-feu. État de la connexion pour ces serveurs, sous la section surveillance du serveur pour le mappage utilisateur, gardez le battement entre connecté et non connecté. Les journaux d'ID utilisateur ont le message d'erreur suivant pour chaque serveur publicitaire configuré:

Erreur: pan_user_id_win_sess_query (pan_user_id_win. c:1241): requête de session pour <server name=""> échec: [WMI/WMIC. c: 216: main ()] erreur: récupère les données de résultat.</server>

 

Montré dans la capture d'écran ci-dessous, voir l'état "non connecté" dans la surveillance du serveur sous Device > identification de l'Utilisateur > mappage utilisateur > surveillance du serveur:

server_monitoring. png

 

Cause

L'ID utilisateur sans agent est configuré pour surveiller les informations de session utilisateur à partir des serveurs de la liste de surveillance du serveur. Les tentatives de requête de session depuis le pare-feu vers ces serveurs d'annonces échouent en raison des problèmes d'autorisation. Le compte de domaine, utilisé pour accéder aux informations de session, n'a pas de privilèges pour lire les informations de session utilisateur à partir des serveurs. Le groupe opérateurs de serveur et les groupes d'administrateurs de domaine incluront les autorisations de lecture de requête de session.

 

Comme indiqué dans L'exemple ci-dessous, allez à Device > identification de l'utilisateur > mappage utilisateur > Palo Alto Networks User-ID agent d'installation et cliquez sur le paramètre pour trouver le nom d'utilisateur, qui est utilisé pour connecter l'utilisateur sans agent-ID au serveur AD (172.30.30.15):

 

Comme indiqué dans L'exemple ci-dessous, dans le serveur d'ANNONCES (172.30.30.15), consultez les autorisations pour l'utilisateur CR7:

 

Résolution :

  • Option 1: octroyer des opérateurs de serveur ou des privilèges d'administrateur de domaine au compte de service utilisé sous l'authentification WMI. Dans L'exemple ci-dessous, est montre comment ajouter l'autorisation de l'opérateur de serveur à l'utilisateur CR7:


    après avoir ajouté l'autorisation de l'opérateur de serveur à l'utilisateur CR7, à partir de L'exemple ci-dessous, voir que l'ID utilisateur sans agent est maintenant connecté au serveur AD:


  • Option 2: si elle n'est pas utilisée, désactivez l'option de lecture de session du serveur:
    214754egami. png

propriétaire: knarra
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaICAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language