User-ID sendet keine WMI-Sonden für bekannte IP-Adressen
User-ID sendet keine WMI-Sonden für bekannte IP-Adressen
17084
Created On 09/26/18 19:16 PM - Last Modified 06/08/23 06:22 AM
Resolution
Symptom
WMI-soning zu bekannten IP-Adressen werden nicht von der User-ID-Agent oder Palo Alto Networks-Firewall initiiert (wenn Sie mit Agentless User-ID konfiguriert ist).
Hinweis: die Agentless User-ID wurde in Pan-OS 5,0 eingeführt.
Ursache
Die Palo Alto Networks Firewall hat zwei Arten von WMI-Sonden:
Erste Sonden-treten während der anfänglichen Ziehung von User-IP-Abbildungen auf.
Periodische Sonden-treten regelmäßig von der Firewall nach dem ersten Zug auf.
Der User-ID-Agent zieht alle User-IP-Mappings, wenn er sich mit dem Active-Verzeichnis verbindet. Nachdem der User-ID-Agent alle Informationen abgerufen hat, führt die Palo Alto Networks Firewall dann eine erste Sonde zu allen bekannten und unbekannten IP-Adressen aus. Wenn die anfängliche Sonde keine Antwort von einer IP erhält, sondiert die Firewall diese Adresse nicht erneut. Außerdem fügt die Firewall keine nicht reagierenden IPS in die periodische Sonden-Liste ein, die jede Minute gesendet werden. Clients, die auf die ersten Sonden reagieren, werden in die periodische Sonden-Liste aufgenommen und werden regelmäßig untersucht.
Die Palo Alto Networks Firewall untersucht die nicht reagierenden IPS beim nächsten ersten Zug der User-IP-Mappings, der typischerweise an der Verbindung des Agenten oder nach der Auszeit des User-IP-Mappings durchgeführt wird.