Le client GlobalProtect est connecté, mais les serveurs internes sont inaccessibles après le lancement d'Outlook

Demande client

Le client GlobalProtect est connecté, mais l'utilisateur ne peut pas atteindre les serveurs internes une fois le client Microsoft Outlook lancé. Les pings aux serveurs internes échouent, mais le client GlobalProtect reste connecté.

Cause

Le nom d'utilisateur du client Outlook peut être différent du nom d'utilisateur GlobalProtect. Dans ce scénario, le mappage IP-utilisateur change lors du lancement d'Outlook. Si les règles de sécurité configurées sur le périphérique Palo Alto Networks autorisent uniquement les noms d'utilisateur/groupes GlobalProtect, une modification du mappage de nom d'utilisateur/groupe entraînera la frappe de la règle «Deny All».

Étapes pour vérifier le problème:

1. Vérifiez la connexion avec le client GlobalProtect sur le pare-feu:
   

   > montrer global-protéger-passerelle courant-utilisateur

2. Effectuer des pings continus sur n'importe quel serveur interne à partir du client GlobalProtect
3. Vérifiez la source de mappage de GlobalProtect sur le pare-feu:
   

   > afficher l'utilisateur IP-utilisateur-Mapping All | match

   Utilisez l'adresse IP du client GlobalProtect utilisé à l'étape 1 ci-dessus
4. Lancez le client Outlook. Les pings continus demandent maintenant Timeout.
5. Vérifiez que la source de mappage est maintenant à partir d'AD et le mappage IP-utilisateur a changé:
   

   > afficher l'utilisateur IP-utilisateur-Mapping All | match

Résolution

Ajoutez une règle de sécurité sur le pare-feu de Palo Alto Networks pour autoriser les noms d'utilisateur/groupe Outlook client.

propriétaire : jlunario