与组匹配停止工作后活动目录修改安全策略

症状

使用组匹配从活动目录 (AD) 在设备停止工作后对域进行修改的帕洛阿尔托网络上配置的安全策略。

详细

帕洛阿尔托网络设备上的安全策略使用 AD 中的可分辨名称 (DN) 进行匹配用户组。如果设备无法找到使用的组策略中，政策不被相应更新，GUI 将显示组名称而不是正常组图标前面的用户图标。这表明，帕洛阿尔托网络设备作为用户并不是一群看到输入的值。事件可以引起症状的 Active Directory 中包括删除组或变化的 DN 路径中。

解决办法

要解决此问题，从安全策略中删除组，然后从下拉列表中重新选择它。下拉列表中将包含组名称与现行及有效的 DN 路径从 AD 中检索。

所有者： mdjeric