Verbindung zu GlobalProtect ist fehlerbehaftet mit Fehler "Matching Client config nicht gefunden"

Verbindung zu GlobalProtect ist fehlerbehaftet mit Fehler "Matching Client config nicht gefunden"

241004
Created On 04/16/19 13:47 PM - Last Modified 03/22/24 20:14 PM


Symptom


  • GlobalProtect konfiguriert auf der firewall
  • Wenn Sie sich mit einem Webbrowser beim Portal anmelden, ist die GlobalProtect Authentifizierung erfolgreich
  • Gemäß den Systemprotokollen ist die Authentifizierung beim Portal und Gateway erfolgreich. Schlägt jedoch GlobalProtect mit dem folgenden Fehler fehl
Benutzeriertes Bild

Systemprotokolle:
Benutzeriertes Bild

Environment


GlobalProtect Portal und Gateway mit User/UserGroup-Konfigurationsauswahlkriterien konfiguriert

Cause


Dies kann passieren, wenn GlobalProtect Gateway mit Benutzer/Benutzergruppe konfiguriert ist und der vom Client verwendete Benutzername nicht in der Liste aufgeführt ist oder der Benutzername nicht in der Mitgliederliste der Active Directory-Gruppe aufgeführt ist, die unter Benutzer/Benutzergruppe hinzugefügt wurde.
  • Benutzer-/Benutzergruppe kann konfiguriert werden, indem Sie zu Network > GlobalProtect > Gatewaynavigieren, klicken Sie auf die Registerkarte Gatewayname > Agent > Clienteinstellungen > Config Selection Criteria.
  • Manchmal wird dieses Problem angezeigt, wenn der gelernte Benutzername GlobalProtect nicht mit dem Benutzernamenformat in der Gruppenzuordnungstabelle übereinstimmt.

Resolution


Schritt 1: Stellen Sie sicher, dass der Benutzername, den der Client herstellen möchte, in der Gruppe Benutzer/Benutzer hinzugefügt wird.
Schritt 2: Wenn der Benutzer Mitglied einer AD Gruppe ist, stellen Sie sicher, dass die AD Gruppe in der Gruppe Benutzer/Benutzer hinzugefügt wird.
Schritt 3: Wenn der Benutzername oder die AD Gruppe bereits hinzugefügt wurde, müssen Sie möglicherweise auch die Konfiguration "Domänenbenutzer" in den Einstellungen für die Benutzerzuordnung s-Gruppe ID und das Authentifizierungsprofil aktivieren.

Zum Beispielversucht der Benutzer, eine Verbindung mit dem GlobalProtect Benutzernamen gpuserherzustellen.

Wenn die GlobalProtect Benutzer-/Benutzergruppe des Gateways mit einer Gruppe konfiguriert ist AD (z. B. cn=it_operations,cn=users,dc=pandomain,dc=com), überprüfen Sie die Ausgabe des folgenden Befehls:
> show user group name cn=it_operations,cn=users,dc=pandomain,dc=com

source type: service
source:      AD_Group_Mapping_al.com
[1     ] pandomain\gpuser
[2     ] pandomain\alex
[3     ] pandomain\paloaltouser

In diesem Fall stimmt der Benutzername gpuser in der Gruppenzuordnungstabelle nicht mit dem pandomain-gpuser überein. Durch das Konfigurieren von "Benutzerdomäne" mit pandomain im Authentifizierungsprofil wird das Problem behoben.
 

Additional Information


Weitere Informationen finden Sie hier in einem Artikel:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClokCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliyCAC
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVcCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLc9CAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language