收集器无法接受来自客户端的 ssl 连接, 客户端用户 id 日志显示 ssl 错误
Symptom
Resolution
请参阅下面的文档, 将帕洛阿尔托网络防火墙配置为收集器, 以便将用户 ip 映射重新分配给其客户端。
如果 UID 代理在执行正确的配置后显示为 "设备用户身份证" 选项卡下未连接
然后检查用户 id 日志
这些日志来自客户端防火墙
PA-3020-固件-(活动) >> 跟踪是 mp-日志 useridd.log
2016-03-07 14:18:52.170-0600 错误: pan_ssl_conn_open (pan_ssl_utils: 694): 错误: 无法连接到 10.1. 2.1 (源: 10.1.1.1), ssl 错误: 错误: 00000000: lib (0): 函数 (0): 原因 (0) (0)
2016-03-07 14:18:57.235-0600 错误: pan_ssl_conn_open (pan_ssl_utils. c: 694): 错误: 无法连接到 10.1. 2.1 (源: 10.1.1.1), ssl 错误: 错误: 00000000: lib (0): 函数 (0): 原因 (0) (5) 2016-03-07 14:19:02.298-0600
错误: pan_ssl_conn_open (pan_ssl_utils: 694):错误: 无法连接到10.1. 2.1 (源: 10.1.1.1), ssl 错误: 错误: 00000000: lib (0): 函数 (0): 原因 (0) (0)
2016-03-07 14:19:07.360-0600 错误: pan_ssl_conn_open (pan_ssl_utils: 694): 错误:无法连接到 10.1. 2.1 (源: 10.1.1.1), SSL 错误: 错误: 00000000: lib (0): 函数 (0): 原因 (0) (0)
2016-03-07 14:19:09.544-0600 错误: pan_ip_probe_update_result (pan_user_id_win: 207): 未能删除映射 10.204.15.13-unigroupinc\tacc1
2016-0
这些日志来自收集器防火墙
PA-500-FW> 尾巴跟随是 mp 日志 useridd.log
无法接受 ssl 连接从 10.1.2.1
2016-03-07 14:30:01.317-0600 错误: pan_user_id_client_proc (pan_user_id_client. c: 2591): pan_user_id_client_accept () 失败
2016-03-0714:30:06.471-0600 错误: pan_ssl_conn_accept (pan_ssl_utils: 794):无法接受来自10.1.2.1
2016-03-07 14:30:06 的 ssl 连接
代理说由于 ssl 错误而无法连接到收集器, 而收集器说无法接受ssl 连接
问题很可能是, udpated 证书不存在于防火墙 casusing 用户 id 通信失败
解决方案 1:
安装任何应用程序和威胁版本550或 550 +
如果它已经在那里尝试重新安装应用程序和凭空版本, 如果它不解决问题
解决方案2
重新启动用户 id 守护进程, 它肯定会解决这个问题。
PA-3020-固件-(活动) > 调试软件重新启动过程用户 id
现在, 用户 id 代理将显示为已连接, 客户端将从收集器防火墙中学习用户到 ip 映射
在客户端上运行下面的命令, 您将能够看到收集器重新分配的所有映射
客户端。
在收集器上运行下面的命令, 并检查通过联合会学到的映射
admin@PA-2> 显示用户 ip-用户映射所有
用户的 IP Vsys
--------- ------ ------ -------------- --------------
192.168.11.1 vsys1 Palotest
谢谢