GlobalProtect 客户端已连接, 但在启动 Outlook 后无法访问内部服务器

GlobalProtect 客户端已连接, 但在启动 Outlook 后无法访问内部服务器

33129
Created On 09/26/18 13:49 PM - Last Modified 06/02/23 02:45 AM


Resolution


问题

GlobalProtect 客户端已连接, 但一旦启动 Microsoft Outlook 客户端, 用户就无法到达内部服务器。ping 到内部服务器失败, 但 GlobalProtect 客户端仍处于连接状态。

 

原因

Outlook 客户端用户名可能与 GlobalProtect 用户名不同。在这种情况下, 当 Outlook 启动时, IP 用户映射会发生变化。如果在帕洛阿尔托网络设备上配置的安全规则只允许 GlobalProtect 用户名/组, 则用户名称/组映射的更改将导致 "拒绝所有" 规则被命中。

 

验证问题的步骤:

  1. 验证与防火墙上的 GlobalProtect 客户端的连接:
    > 显示全球保护通道的当前用户
  2. 从 GlobalProtect 客户端对任何内部服务器执行连续 ping 操作
  3. 验证防火墙上 GlobalProtect 的映射源:
    >> 显示用户 ip-用户映射全部 |匹配
    使用上面步骤1中使用的 GlobalProtect 客户端的 IP 地址
  4. 启动 Outlook 客户端。连续 ping 现在请求超时。
  5. 验证映射源现在是否来自 AD, 并且 IP 用户映射已更改:
    >> 显示用户 ip-用户映射全部 |匹配

 

解决办法

在帕洛阿尔托网络防火墙上添加安全规则, 以允许 Outlook 客户端用户名/组。

 

所有者: jlunario
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrLCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language