无代理的用户 ID 连接到活动目录服务器间歇性地连接和断开

更新2018年5月猕猴桃

问题

为无代理用户 ID 配置的活动目录服务器经常与防火墙断开连接。这些服务器的连接状态, 在 "服务器监视" 部分的 "用户映射" 下, 保持连接和未连接之间的拍打。用户 ID 日志对每个配置的 AD 服务器都有以下错误信息:

错误: pan_user_id_win_sess_query (pan_user_id_win: 1241): 会话查询 <server name="">失败: [wmi/wmic. c: 216: 主 ()] 错误: 检索结果数据.</server>

在下面的截图中, 请参阅 "设备 >> 用户识别" 下的服务器监视中的 "未连接" 状态用户映射 > 服务器监视:

原因

无代理用户 ID 被配置为从服务器监视列表中的服务器监视用户会话信息。由于权限问题, 从防火墙到这些 AD 服务器的会话查询尝试失败。用于访问会话信息的域帐户没有权限从服务器读取用户会话信息。服务器操作员组和域管理组将包括会话查询读取权限。

如下面的示例所示, 转到设备 >> 用户标识 > 用户映射 >> 帕洛阿尔托网络用户 ID 代理安装程序, 然后单击该设置以查找用户名, 该名称用于将无代理用户 ID 连接到 AD 服务器 (172.30.30.15):

如下面的示例所示, 在 AD 服务器 (172.30.30.15) 中, 请参阅用户 cr7 的权限:

分辨率︰

• 选项 1: 将服务器操作员或域管理员权限授予在 WMI 身份验证下使用的服务帐户。在下面的示例中, 演示如何向用户 cr7 添加服务器操作员权限:
  
  
  在向用户 cr7 添加服务器操作员权限后, 从下面的示例中可以看到, 无代理用户 ID 现在已连接到 AD 服务器:
  
  
  
• 选项 2: 如果未使用, 请禁用 "服务器会话读取" 选项:
  

所有者: knarra