Agenten lose Benutzer-ID ' Access verweigert ' Fehler im Server-Monitor
Agenten lose Benutzer-ID ' Access verweigert ' Fehler im Server-Monitor
270668
Created On 09/25/18 20:39 PM - Last Modified 06/09/23 03:17 AM
Resolution
Problem
Bei der Verwendung von Agentless User-ID-Setup zeigt sich der Status als Zugriff, der unter Server Überwachung verweigert wird:
Ursache
Überprüfen Sie die useridd.log
Führen Sie folgenden Befehl: > weniger MP-Log useridd. log
Gehen Sie zum Ende der Datei, indem Sie Shift + G auf der Tastatur drücken. Wenn der folgende Fehler in den Protokollen auftaucht, wird das Problem wahrscheinlich durch ein Berechtigungsproblem verursacht: Log-Abfrage für snt016 fehlgeschlagen: [WMI/WMIC. c: 200: Main ()] Fehler: Login in Remote-Objekt.
Außerdem erscheint die Fehlermeldung "NT_STATUS_NET_WRITE_FAULT" in die Log-Einträge, dies deutet ein Sonderzeichen ist das Kennwort des Dienstkontos verwendet. Dieses Kennwort muss zurückgesetzt werden.
Lösung
Lesen Sie das folgende Dokument für die korrekte Einrichtung der Agenten losen User-ID: wie man Agentless User- ID konfiguriert
Überprüfen Sie die Berechtigungseinstellungen auf Windows 2008/2012 Server für WMI Ereignisprotokoll Zugriff durch die agentenlose Benutzer-ID:
Alle Benutzer sind eine Gruppe zugewiesen. Diese Gruppe sollte als eine "universelle Gruppe" erstellt werden, so dass es in mehreren Domänen verwendet werden kann. Der integrierten Gruppe "Event Log Reader" zum Lesen der Sicherheitsprotokolle der Active Directory-Domänencontroller oder Microsoft Exchange Server zulassen sollten die neu erstellte Gruppe hinzugefügt werden. Es sollte auch in die Gruppe "Verteilt COM Benutzer" Benutzer ermöglichen remote-Login über DCOM hinzugefügt werden.
Wenn die Benutzergruppe darf die Sicherheitsprotokolle aller Domain-Server zugreifen, eine entsprechende Erlaubnis kann über Microsoft Active Directory Group Policy Objects eingestellt werden.
WMI-Berechtigungen
Für Windows 2008/2012 Server wurde das Rechtesystem Fernzugriff auf Server und lokale Ressourcen drastisch aus früheren Versionen geändert. Diese Veränderungen erfordern bestimmte Berechtigungen der WMI-APIs in Reihenfolge für die User-ID Sicherheitsereignisprotokolle Fernzugriff auf.
Öffnen Sie auf bestimmten Windows-Servern, die überwacht werden müssen die WMI-Management-Konsole ("wmimgmt.msc"). Wählen Sie die lokale WMI-Steuerelemente-Eigenschaften, und bearbeiten Sie "Sicherheitseinstellungen". Navigieren Sie zum Abschnitt "CIMV2" und klicken Sie auf "Sicherheit". Fügen Sie die Benutzergruppe erstellt für die Firewall-Nutzer zur Liste der autorisierten Benutzer und Gruppen hinzu und aktivieren Sie die "Konto aktivieren", "Remote Enable" und "Read Security" Berechtigungen.
GPO-Einstellungen
Alternativ um die neu erstellten Benutzergruppe alle Sicherheitsprotokolle in allen Domain-Server zugreifen kann, setzen Sie das entsprechende Gruppenrichtlinienobjekt statt einzeln hinzufügen die Gruppe zu den lokalen Gruppen. Dies ist erforderlich, da diese Berechtigung eine lokale Berechtigung auf dem Server der Domäne ist.
Wenn das Problem noch nicht behoben ist, nehmen Sie Paket fängt auf dem Domänencontroller zu bestimmen die fehlgeschlagene Authentifizierung und Support von Palo Alto Networks.