GlobalProtect クライアントは接続されていますが、Outlook の起動後に内部サーバーに到達できません

問題

GlobalProtect クライアントは接続されていますが、Microsoft Outlook クライアントを起動すると、ユーザーは内部サーバーにアクセスできません。内部サーバーへの ping は失敗しますが、GlobalProtect クライアントは接続されたままです。

原因

Outlook クライアントのユーザー名は、GlobalProtect ユーザー名と異なる場合があります。このシナリオでは、Outlook を起動すると、IP ユーザーマッピングが変更されます。パロアルトネットワークデバイスで構成されたセキュリティ規則が GlobalProtect ユーザー名/グループのみを許可する場合、ユーザー名/グループマッピングの変更によって "すべて拒否" ルールがヒットします。

問題を確認する手順:

1. ファイアウォール上の GlobalProtect クライアントとの接続を確認します。
   

   > グローバル保護ゲートウェイの現在のユーザーを表示

2. GlobalProtect クライアントから任意の内部サーバーで連続 ping を実行する
3. ファイアウォールの GlobalProtect からマッピングソースを確認します。
   

   > ユーザーの ip を表示-すべてのユーザーマッピング |一致

   上記の手順1で使用した GlobalProtect クライアントの IP アドレスを使用します。
4. Outlook クライアントを起動します。連続的な ping がタイムアウトを要求するようになりました。
5. マッピングソースが AD からのものであり、IP ユーザーマッピングが変更されていることを確認します。
   

   > ユーザーの ip を表示-すべてのユーザーマッピング |一致

解決方法

Outlook クライアントのユーザー名/グループを許可するように、パロアルトネットワークファイアウォールにセキュリティ規則を追加します。

所有者: jlunario