アクティブディレクトリサーバーへのエージェントレスのユーザー ID 接続が断続的に接続および切断される
Resolution
5月2018キウイを更新
問題
エージェントレスのユーザー ID 用に構成された Active Directory サーバーは、頻繁にファイアウォールから切断します。これらのサーバーの接続状態は、ユーザーマッピングの [サーバーの監視] セクションで、接続されていない接続の間で羽ばたきを維持します。ユーザー ID ログには、構成済みの各 AD サーバーに対して次のエラーメッセージが表示されます。
エラー: pan_user_id_win_sess_query (pan_user_id_win c:1241): セッションクエリが <server name="">失敗しました: [wmi/wmic. c: 216: main ()] エラー: 結果データを取得します。</server>
下のスクリーンショットに示すように、[デバイス] の下の [サーバーの監視] > [ユーザー id] > [ユーザーマッピング] > [サーバーの監視] の [接続されていません] 状態を確認します
原因
エージェントレスのユーザー ID は、サーバー監視リスト内のサーバーからのユーザーセッション情報を監視するように構成されています。ファイアウォールからこれらの AD サーバーへのセッションクエリの試行は、アクセス許可の問題により失敗しています。セッション情報へのアクセスに使用されるドメインアカウントには、サーバーからユーザーセッション情報を読み取る権限がありません。サーバーオペレータグループとドメイン管理グループには、セッションクエリの読み取りアクセス許可が含まれます。
次の例に示すように、デバイス > ユーザー識別 > ユーザーマッピング > パロアルトネットワークのユーザー id エージェントのセットアップに移動し、設定をクリックして、エージェントレスのユーザー id を AD サーバー (172.30.30.15) に接続するために使用されるユーザー名を検索します。
次の例に示すように、AD サーバー (172.30.30.15) では、ユーザー cr7 のアクセス許可を参照してください。
解決策:
- オプション 1: WMI 認証で使用されるサービスアカウントに、サーバーオペレータまたはドメイン管理者権限を付与します。次の例では、ユーザー cr7 にサーバーオペレータアクセス許可を追加する方法を示しています:
ユーザー cr7 にサーバーオペレータアクセス許可を追加した後、次の例から、エージェントレスのユーザー ID が AD サーバーに接続されていることを確認します。 - オプション 2: 使用されていない場合は、[サーバーセッションの読み取り] オプションを無効にします。
所有者: knarra