El cliente GlobalProtect está conectado, pero los servidores internos no son accesibles después de que se inicie Outlook

Incidencia

El cliente GlobalProtect está conectado, pero el usuario no puede llegar a los servidores internos una vez que se inicie Microsoft Outlook Client. Los pings a los servidores internos fallan, pero el cliente GlobalProtect permanece conectado.

Causa

El nombre de usuario de Outlook Client puede ser diferente del nombre de usuario GlobalProtect. En este escenario, el mapeo de usuario de IP cambia cuando se inicia Outlook. Si las reglas de seguridad configuradas en el dispositivo Palo Alto Networks sólo permiten GlobalProtect nombres de usuario/grupos, un cambio en la asignación de nombre de usuario/grupo hará que se pegue la regla "denegar todo".

Pasos para verificar el problema:

1. Compruebe la conexión con el cliente GlobalProtect en el cortafuegos:
   

   > Mostrar usuario actual global-proteger-gateway

2. Realizar pings continuos en cualquier servidor interno desde el cliente GlobalProtect
3. Compruebe el origen de asignación de GlobalProtect en el cortafuegos:
   

   > Mostrar todos los usuarios IP-usuario-mapping | Partido

   Utilice la dirección IP del cliente GlobalProtect utilizado en el paso 1 anterior
4. Inicie el cliente de Outlook. Los pings continuos ahora solicitan tiempo de espera.
5. Compruebe que el origen de asignación es ahora de AD y que la asignación de usuario IP ha cambiado:
   

   > Mostrar todos los usuarios IP-usuario-mapping | Partido

Resolución

Agregue una regla de seguridad en el cortafuegos de Palo Alto Networks para permitir nombres de usuario/grupo de clientes de Outlook.

Propietario: jlunario