Inkonsistente Benutzer-ID-Zuordnung, wenn FQDN und netbios Name unterschiedlich sind

Inkonsistente Benutzer-ID-Zuordnung, wenn FQDN und netbios Name unterschiedlich sind

19077
Created On 03/05/19 00:01 AM - Last Modified 03/26/21 18:21 PM


Symptom


IP Benutzerzuordnungen auf der firewall intermittierenden Darstellung mit verschiedenen Domänen, wie unten gezeigt (Beispielausgabe).
 
admin@firewall(active)> show user ip-user-mapping all


IP                                  Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
----------------------------------- ------ ------- -------------------------------- -------------- -------------
10.1.100.22                         vsys1  UIA     testdomain.com\jsmith             26265          26265        
10.1.100.26                         vsys1  UIA     sampledomain\user1                21234          21234        
10.1.100.56                         vsys1  UIA     sampledomain\user2                28739          28739        
10.1.100.19                         vsys1  UIA     sampledomain\user3                22501          22501

   

Da die Gruppenzuordnung in der firewall Beispieldomäne verwendet wird, stimmt der Benutzerdatenverkehr manchmal nicht mit der richtigen Sicherheit policy überein.
 
admin@firewall(active)> show user group name cn=access,ou=groups,dc=sampledomain,dc=com

short name: sampledomain\access
source type: ldap
source: groups

[1 ] sampledomain\jsmith
[2 ] sampledomain\user1
[3 ] sampledomain\user2
[4 ] sampledomain\user3



 

Environment


  • PAN-OS 8.1 und höher.
  • Palo Alto firewall Networks, IP die von Windows-Agenten zur Benutzerzuordnung gelangen.
  • Nur eine Active Directory-Domäne (sampledomain.com), aber der Netbios-Name für die Domäne ist eine andere "testdomain".

 

Cause


Wenn der FQDN Name und der Netbios-Name unterschiedlich sind, sind die Sicherheitsprotokolle in AD lave-Anmeldeereignissen für beide Domänen und das letzte Anmeldeereignis die aktualisierte IP Benutzerzuordnung.

NOTE Dies ist kein Fall einer Umgebung mit mehreren Domänen, sondern nur, dass die FQDN und NetBIOS-Namen in Active Directory unterschiedlich sind.



 

Resolution


Um das Problem zu beheben, dass Zuordnungen sowohl für Sampledomain als auch für testdomain angezeigt werden, können wir testdomain*zur Ignorieren-Liste auf dem Windows-BenutzerID-Agent hinzufügen.
Wenn Zuordnungen für testdomain empfangen werden, ignoriert der Benutzer-Agent sie und sendet die Zuordnung nicht an die firewall .

Weitere Informationen zum Aktualisieren der Ignorieren-Liste auf dem Windows-AgentenIDfinden Sie unter So ignorieren Sie Benutzer in Benutzer- .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boGJCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language