User- ID Agent Shows as 'not-conn' on the Palo Alto Networks Firewall

User- ID Agent Shows as 'not-conn' on the Palo Alto Networks Firewall

92915
Created On 09/25/18 19:48 PM - Last Modified 03/26/21 16:56 PM


Environment


  • PAN-OS 8,1, 9,0 et 9,1
  • Palo Alto Firewall .
  • Utilisateur- ID Agent.

Resolution


Le statut ID d’utilisateur-agent sur les réseaux de Palo Alto firewall s’affiche comme « pas-conn.

admin@PA> show user user-id-agent state all

Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007
        Status                                            : not-conn:idle
        Version                                           : 0x0
        num of connection tried                           : 13
        num of connection succeeded                       : 0
.....

 

De la GUI , le statut ressemble à ceci:

Screen Shot 2016-04-01 à 4.43.52 PM. png

 

Le statut« non-conn» (non connecté) peut être dû à diverses raisons. Assurez-vous de vérifier ce qui suit:

 

  1. A périphérique haute disponibilité, où l’appareil actif se connecte uniquement à ID l’agent utilisateur, et passif firewall toujours afficher comme non connecté.
  2. IDL’agent utilisateur est correctement installé sur la machine/serveur et que l’hôte écoute sur le port 5007 : Conseils d’installation ID utilisateur-agent
  3. firewallL’a une bonne reachability de la route de service à ID l’utilisateur-agent, et le port n’est pas bloqué n’importe où entre les deux.
  4. Si vous utilisez un collecteur ID d’utilisateur, assurez-vous que la redistribution firewall est configurée correctement et qu’elle est accessible à partir de firewall la . Assurez-vous également que les services et les politiques sont correctement autorisés sur la redistribution firewall . Configurer un Firewall pour partager des données de cartographie utilisateur avec d’autres pare-feu
  5. Depuis la connexion entre le firewall et la redistribution utilise , firewall SSL assurez-vous que le SSL certificat utilisé par le firewall n’est pas expiré. Capturez la poignée de main sur le port de gestion ou le port dataplane (si l'itinéraire de service est utilisé) et développez le paquet de certificat client pour trouver la validité. Comment faire pour la Capture des paquets (tcpdump) sur l’Interface de gestion
  6. Vérifiez les journaux utilisateur ID sur le pour voir si des erreurs firewall s’affichent :

     
    admin@PA> tail follow yes mp-log useridd.log
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):5007
..Error:  __pan_print_msg(pan_sys.c:963): Failed to connectto 10.129.80.47(5007): Internal Error
..Error:  pan_ssl_conn_open(pan_ssl_utils.c:383):pan_tcp_sock_open() failed
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldUCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language