ユーザー - ID エージェントは、パロアルトネットワーク上の「非コン」として表示します Firewall

IDパロアルトネットワークスのユーザーエージェントステータスは firewall 「非コン」として表示されます。

admin@PA> show user user-id-agent state all

Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007
        Status                                            : not-conn:idle
        Version                                           : 0x0
        num of connection tried                           : 13
        num of connection succeeded                       : 0
.....

から GUI 、ステータスは次のようになります。

'非 conn' (接続されていない) ステータスは、さまざまな理由が原因である可能性があります。 次のことを確認してください。

1. A 高可用性デバイスは、アクティブデバイスが User エージェントにのみ接続 ID され、パッシブは firewall 常に 未接続と表示されます。
2. ユーザー ID エージェントがコンピュータ/サーバーに正しくインストールされ、ホストがポート 5007 でリッスンしていること:ユーザー - ID エージェントのセットアップのヒント
3. firewallサービス ルートから User- エージェントへの適切な到達可能性 ID があり、その間の任意の場所でポートがブロックされません。
4. User-Collector を使用する場合 ID は、再配布 firewall が正しく構成され、 から到達可能であることを確認 firewall します。 また、再配布でサービスとポリシーが適切に許可されていることを確認 firewall します。 ユーザー Firewall マッピング データを他のファイアウォールと共有するように a を構成する
5. firewallと再配布の間の接続は firewall を使用するため SSL 、 SSL によって使用される証明書 firewall の有効期限が切れていないことを確認します。 管理ポートまたは dataplane ポート (サービスルートが使用されている場合) でハンドシェイクをキャプチャし、クライアント証明書パケットを展開して妥当性を確認します。 パケット キャプチャ (tcpdump) 管理インターフェイスにする方法
6. の User- ID ログ firewall をチェックして、エラーが表示されているかどうかを確認します。
   
    

   admin@PA> tail follow yes mp-log useridd.log
   ..Error:  __pan_print_msg(pan_sys.c:963): Failed to connect to 10.129.80.47(10.129.80.47):5007
   ..Error:  __pan_print_msg(pan_sys.c:963): Failed to connectto 10.129.80.47(5007): Internal Error
   ..Error:  pan_ssl_conn_open(pan_ssl_utils.c:383):pan_tcp_sock_open() failed