Agenten lose Benutzer-ID ' Access verweigert ' Fehler im Server-Monitor

Agenten lose Benutzer-ID ' Access verweigert ' Fehler im Server-Monitor

270668
Created On 09/25/18 20:39 PM - Last Modified 06/09/23 03:17 AM


Resolution


Problem

Bei der Verwendung von Agentless User-ID-Setup zeigt sich der Status als Zugriff, der unter Server Überwachung verweigert wird:
accessdeny.png

 

Ursache

Überprüfen Sie die useridd.log

  1. Führen Sie folgenden Befehl:
    > weniger MP-Log useridd. log
  2. Gehen Sie zum Ende der Datei, indem Sie Shift + G auf der Tastatur drücken. Wenn der folgende Fehler in den Protokollen auftaucht, wird das Problem wahrscheinlich durch ein Berechtigungsproblem verursacht:
    Log-Abfrage für snt016 fehlgeschlagen: [WMI/WMIC. c: 200: Main ()] Fehler: Login in Remote-Objekt.
  3. Außerdem erscheint die Fehlermeldung "NT_STATUS_NET_WRITE_FAULT" in die Log-Einträge, dies deutet ein Sonderzeichen ist das Kennwort des Dienstkontos verwendet. Dieses Kennwort muss zurückgesetzt werden.

 

Lösung

Lesen Sie das folgende Dokument für die korrekte Einrichtung der Agenten losen User-ID: wie man Agentless User- ID konfiguriert

 

Überprüfen Sie die Berechtigungseinstellungen auf Windows 2008/2012 Server für WMI Ereignisprotokoll Zugriff durch die agentenlose Benutzer-ID:

  • Alle Benutzer sind eine Gruppe zugewiesen. Diese Gruppe sollte als eine "universelle Gruppe" erstellt werden, so dass es in mehreren Domänen verwendet werden kann. Der integrierten Gruppe "Event Log Reader" zum Lesen der Sicherheitsprotokolle der Active Directory-Domänencontroller oder Microsoft Exchange Server zulassen sollten die neu erstellte Gruppe hinzugefügt werden. Es sollte auch in die Gruppe "Verteilt COM Benutzer" Benutzer ermöglichen remote-Login über DCOM hinzugefügt werden.
  • Wenn die Benutzergruppe darf die Sicherheitsprotokolle aller Domain-Server zugreifen, eine entsprechende Erlaubnis kann über Microsoft Active Directory Group Policy Objects eingestellt werden.
    Benutzer membership.png

 

WMI-Berechtigungen

  • Für Windows 2008/2012 Server wurde das Rechtesystem Fernzugriff auf Server und lokale Ressourcen drastisch aus früheren Versionen geändert. Diese Veränderungen erfordern bestimmte Berechtigungen der WMI-APIs in Reihenfolge für die User-ID Sicherheitsereignisprotokolle Fernzugriff auf.
  • Öffnen Sie auf bestimmten Windows-Servern, die überwacht werden müssen die WMI-Management-Konsole ("wmimgmt.msc"). Wählen Sie die lokale WMI-Steuerelemente-Eigenschaften, und bearbeiten Sie "Sicherheitseinstellungen". Navigieren Sie zum Abschnitt "CIMV2" und klicken Sie auf "Sicherheit". Fügen Sie die Benutzergruppe erstellt für die Firewall-Nutzer zur Liste der autorisierten Benutzer und Gruppen hinzu und aktivieren Sie die "Konto aktivieren", "Remote Enable" und "Read Security" Berechtigungen.
    CIMV2.png

GPO-Einstellungen

  • Alternativ um die neu erstellten Benutzergruppe alle Sicherheitsprotokolle in allen Domain-Server zugreifen kann, setzen Sie das entsprechende Gruppenrichtlinienobjekt statt einzeln hinzufügen die Gruppe zu den lokalen Gruppen. Dies ist erforderlich, da diese Berechtigung eine lokale Berechtigung auf dem Server der Domäne ist.
  • Lesen Sie das folgende Dokument für die Einrichtung von GPO: mit dem Active Directory GPO, um den Global Protect Client zu installieren.

 

Wenn das Problem noch nicht behoben ist, nehmen Sie Paket fängt auf dem Domänencontroller zu bestimmen die fehlgeschlagene Authentifizierung und Support von Palo Alto Networks.

 

Besitzer: Pvemuri
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clk0CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language