コレクタは、クライアントからの ssl 接続を受け入れることができませんでした, クライアントユーザ id ログは、ssl エラーを示しています

コレクタは、クライアントからの ssl 接続を受け入れることができませんでした, クライアントユーザ id ログは、ssl エラーを示しています

59587
Created On 09/25/18 19:49 PM - Last Modified 06/10/23 00:54 AM


Symptom


兆候

1つのパロアルトネットワークファイアウォールをコレクタとして、もう一方をクライアントとして構成しましたが、ユーザー id エージェントはクライアントファイアウォールで接続されていません

1. PNG

 確認済みの構成が正しいが、期限切れの ssl 証明書によってユーザー id 通信が失敗することがある 

診断

ファイアウォールの ssl 証明書が期限切れになったため、ユーザー id の通信エラーが発生することがある

1つのファイアウォールから別のユーザー ip マッピングの転送中に 

Resolution


ユーザー ip マッピングをクライアントに再配布するには、以下のドキュメントを参照してください。

 

どのようにコレクターとしてのパロアルトネットワークファイアウォールを設定する

 

正しい構成を行った後、UID エージェントが [デバイスユーザー identication] タブで接続されていないと表示されている場合 

 

1. PNG 

 

次に、ユーザー id のログを確認します 

 

これらのログは、クライアントファイアウォールから


PA-3020-FW-(アクティブ) > 尾ははい mp-ログ useridd に従ってください。ログ
2016-03-07 14:18: 52.170-0600 エラー: pan_ssl_conn_open (pan_ssl_utils c:694): エラー: 10.1.2.1 への接続に失敗しました (ソース: 10.1.1.1), ssl エラー: エラー: 00000000: lib (0): func (0): 理由 (0) (0)
2016-03-07 14:18: 57.235-0600 エラー: pan_ssl_conn_open (pan_ssl_utils c:694): エラー: 10.1.2.1 (ソース: 10.1.1.1) への接続に失敗しました、ssl エラー: エラー: 00000000: lib (0): func (0): 理由 (0) (5)
2016-03-07 14:19: 02.298-0600 エラー: pan_ssl_conn_open (pan_ssl_utils. c:694):エラー: 10.1.2.1 に接続できませんでした(ソース: 10.1.1.1), ssl エラー: エラー: 00000000: lib (0): func (0): 理由 (0) (0)
2016-03-07 14:19: 07.360-0600 エラー: pan_ssl_conn_open (pan_ssl_utils): エラー:10.1.2.1 (ソース: 10.1.1.1) への接続に失敗しました、SSL エラー: エラー: 00000000: lib (0): func (0): 理由 (0) (0)
2016-03-07 14:19: 09.544-0600 エラー: pan_ip_probe_update_result (pan_user_id_win): マッピングの削除に失敗しました c:207-unigroupinc\tacc1
2016-0

 

これらのログは、コレクタのファイアウォールから 

 

PA-500-FW > 尾ははい mp-ログ useridd に従っ
てください ssl 接続を受け付けることができませんでした 10.1.2.1
2016-03-07 14:30: 01.317-0600 エラー: pan_user_id_client_proc (pan_user_id_client): c:2591 () 2016-03-07 に失敗しました
14:30: 06.471-0600 エラー: pan_ssl_conn_accept (pan_ssl_utils c:794): 10.1.2.1
2016-03-07 14:30:06 から ssl 接続を受け付けることができませんでした

 

エージェントは、コレクタには、ssl エラーとコレクタのために接続に失敗したと言っているssl 接続 を受け入れることができませんでした 

 

この問題は、udpated 証明書がファイアウォール上に存在しない casusing、ユーザー id 通信障害が発生している可能性があります。 

解決策 1:

 

任意のアプリと脅威のバージョン550または 550 + をインストールします。

 

その既にある場合は、アプリとマカフィーのバージョンを再インストールしようとすると、それが問題に対処していない場合

 

解決策2

 

確かに問題に対処するユーザ id デーモンを再起動します。

 

PA-3020-FW の-(アクティブ) > ソフトウェアの再起動プロセスのユーザー id をデバッグ

 

これで、ユーザー id エージェントは接続されたものとして表示され、クライアントはコレクタファイアウォールから ip マッピングにユーザーを学習します。

 

クライアント上で以下のコマンドを実行すると、コレクタが再配布しているすべてのマッピングを見ることができるようになります

 クライアントに。

 

コレクタで以下のコマンドを実行し、UIA 経由で学んだマッピングをチェック

 

管理者 @ PA-2 > 表示ユーザーの ip-ユーザー-マッピングすべて

ユーザーからの IP Vsys           

--------- ------ ------ -------------- -------------- 

192.168.11.1 vsys1 UIA Palotest               

 

ありがとう

 

 

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleaCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language