ユーザー ID -エージェント - 資格情報フィッシング資格情報を抽出できません
44756
Created On 04/14/19 23:55 PM - Last Modified 07/17/23 14:25 PM
Symptom
でユーザー資格情報エージェントを使用してドメイン ID 資格情報フィルターを有効にすると、 firewall が firewall 資格情報を受信できないことがあります。 番組のエージェント統計 firewall :
admin@firewall)> show user user-id-agent state rodc-1
rodc-1
Agent: rodc-1(vsys: vsys1) Host: rodc-1.domain.lab(10.1.1.254):5007
Status : conn:idle
Version : 0x5
num of connection tried : 90
num of connection succeeded : 15
num of connection failed : 75
num of status msgs rcvd : 172063
num of request of status msgs sent : 172066
num of request of ip mapping msgs sent : 859812
num of request of new ip mapping msgs sent : 0
num of request of all ip mapping msgs sent : 15
num of user ip mapping msgs rcvd : 0
num of ip msgs rcvd but failed to proc : 0
num of user ip mapping add entries rcvd : 0
num of user ip mapping del entries rcvd : 0
num of request of group msgs sent : 0
num of group msgs rcvd : 0
num of group msgs recvd buf fail to proc : 0
num of xml data msgs rcvd : 0
num of xml data msgs rcvd but failed to proc : 0
num of sync domain messages sent : 0
num of sync domain messages received : 0
num of sync digest messages sent : 0
num of sync digest messages received : 0
num of sync group messages sent : 0
num of sync group messages received : 0
num of sync users messages sent : 0
num of sync users messages received : 0
num of bloomfilter requests sent : 247
num of bloomfilter response received : 247
num of bloomfilter response failed to proc : 0
num of bloomfilter resize requests sent : 0
Last heard(seconds ago) : 1
Messages State:
Job ID : 0
Sent messages : 1032154
Rcvd messages : 172325
Rcvd rate(msgs/s) : 0
Rcvd peak rate(msgs/s) : 0
Lost messages : 0
Failed to send messages : 1
Failed to enqueue messages : 0
Queued sending msgs with priority 0 : 0
Queued sending msgs with priority 1 : 0
Queued rcvring msgs with priority 0 : 0
Queued rcvring msgs with priority 1 : 0
Credential Enforcement Status : Enabled and Pending
No credential state for agent.
ユーザー IDd.ログ:
2019-03-11 15:20:50.242 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:20:55.292 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:00.896 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:05.261 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:10.382 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:15.731 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest. 2019-03-11 15:21:20.562 +1300 Warning: pan_user_group_handle_cred_stats(pan_user_group.c:10018): UIA rodc-1 error: credential enabled but no digest.
ユーザー - ID エージェント資格情報デバッグ ログ:
03/11/19 16:37:38:565 [Debug 4126]: expand groups took 0s
03/11/19 16:37:38:565 [Debug 633]: User list of 768 users unchanged.
03/11/19 16:37:38:565 [Error 716]: Unable to extract credentials.
Environment
Windows ベースのユーザー エージェントで資格情報を検出 ID します。
Cause
Resolution
手順 1: ID User-credential エージェントが "ローカル システム アカウント" として実行されているかどうかを確認する
services.msc を起動し、ユーザー アカウントを確認するサービス >の停止
>プロパティを右クリック>[ログオン] タブに移動し、[ローカルシステム アカウント
] に移動します。 ID RODC
dsmgmt.exeを起動してローカル管理者を確認します。
C:\Users\Administrator.domain.lab>dsmgmt.exe dsmgmt.exe: local roles local roles: show role administrators domain.lab\pan_svc <<<<<<< local roles:
サービス アカウントが表示されない場合は、ローカル管理者にユーザーを追加します。
local roles: add domain.lab\user1 administrators Successfully updated local role. local roles: show role administrators domain.lab\pan_svc domain.lab\user1 local roles:
上記の変更後にユーザーエージェント ID およびユーザー ID - エージェント資格情報サービスを再起動
する ステップ 3: ユーザー資格情報が RODC キャッシュに入力されているかどうかを確認
コマンド ラインから実行します: repadmin /prp ビューが<domain controller="" cn="">|を表示します。文字列 <username></username> の選択</domain>
>repadmin /prp view WIN-VONGBAM7FQF reveal Reveal List (msDS-RevealedList): RODC "CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com": CN=WIN-VONGBAM7FQF,OU=Domain Controllers,DC=domain.lab,DC=com CN=krbtgt_21580,CN=Users,DC=domain.lab,DC=com CN=user1,CN=Users,DC=domain.lab,DC=com CN=user2,CN=Users,DC=domain.lab,DC=com
オプションで次のオプションを使用|。<username></username>リストが長すぎる場合は、ステップ
4 を選択する: DC 上記のユーザーが NOT [拒否 RODC されたパスワード レプリケーション グループ] の一部である場合に確認
DC し、Active Directory ユーザーとコンピュータ>パスワードレプリケーションPolicyを実行>[パスワード RODC レプリケーションが拒否
されました] グループの[コンピュータの構成>に移動する] > [デバイス ガードの
起動]で資格情報ガードが有効になっているかどうかを確認RODC
>[デバイス ガード] をクリックして、[右側の[デバイス ガード
] をクリックし、[セキュリティ に Virtualization 基づくセキュリティ
ガードをオンにする] をクリックします。
手順 6: 以下の項目が存在するかどうか確認する
- ユーザー- エージェント資格情報エージェントがコード実行から資格情報を取得することを妨げる、資格情報ガード/アンチウイルスなどのサード パーティエンドポイント保護システム ID 。
- policy DC 「デバッグ・プログラム」特権を制限するように構成されたグループ・オブジェクトは、ユーザー- ID エージェント資格情報エージェントを防ぎます。
- ローカル セキュリティ機関サーバー サービス ( LSASS ) が、ユーザー - エージェント資格情報エージェントを妨げている構成 ID 。