Globalprotect Client ist angeschlossen, aber interne Server sind nach dem Start von Outlook nicht erreichbar

Problem

Globalprotect Client ist angeschlossen, aber der Benutzer kann keine internen Server erreichen, sobald Microsoft Outlook Client gestartet wird. Das Pings auf interne Server scheitert, aber der globalprotect-Client bleibt verbunden.

Ursache

Der Outlook-Client-Benutzername kann sich vom globalprotect-Benutzernamen unterscheiden. In diesem Szenario ändert sich die IP-User-Mapping, wenn Outlook gestartet wird. Wenn die Sicherheitsregeln, die auf dem Palo Alto Networks-Gerät konfiguriert sind, nur globalprotect-Benutzernamen/Gruppen erlauben, wird eine Änderung des Benutzernamens/Gruppen-Mapping dazu führen, dass die "Denial all"-Regel getroffen wird.

Schritte zur Überprüfung der Frage:

1. Überprüfen Sie die Verbindung mit globalprotect Client auf der Firewall:
   

   > zeigen die aktuellen globalen schützen Gateway Benutzer

2. Führen Sie kontinuierliche Pings auf jedem internen Server vom globalprotect Client aus
3. Überprüfen Sie die Mapping-Quelle von globalprotect auf der Firewall:
   

   > Benutzer-IP-User-Mapping all | Match

   Verwenden Sie die IP-Adresse des globalprotect-Clients, der in Schritt 1 verwendet wird
4. Starten Sie den Outlook-Client. Die kontinuierlichen Pings verlangen nun Timeout.
5. Überprüfen Sie, ob die Mapping-Quelle nun von AD und die IP-User-Kartierung geändert wurde:
   

   > Benutzer-IP-User-Mapping all | Match

Lösung

Fügen Sie eine Sicherheitsregel auf der Palo Alto Networks Firewall hinzu, um Outlook Client Benutzernamen/Gruppe zu ermöglichen.

Besitzer: Jlunario