Cartographie utilisateurID incohérente lorsque FQDN et le nom netbios sont différents

Cartographie utilisateurID incohérente lorsque FQDN et le nom netbios sont différents

19077
Created On 03/05/19 00:01 AM - Last Modified 03/26/21 18:21 PM


Symptom


IP aux mappages des utilisateurs sur firewall l’exposition intermittente avec différents domaines comme indiqué ci-dessous (exemple de sortie).
 
admin@firewall(active)> show user ip-user-mapping all


IP                                  Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
----------------------------------- ------ ------- -------------------------------- -------------- -------------
10.1.100.22                         vsys1  UIA     testdomain.com\jsmith             26265          26265        
10.1.100.26                         vsys1  UIA     sampledomain\user1                21234          21234        
10.1.100.56                         vsys1  UIA     sampledomain\user2                28739          28739        
10.1.100.19                         vsys1  UIA     sampledomain\user3                22501          22501

   

Comme la cartographie de groupe sur les firewall utilisations sampledomain, le trafic utilisateur parfois ne correspond pas à la sécurité correcte policy .
 
admin@firewall(active)> show user group name cn=access,ou=groups,dc=sampledomain,dc=com

short name: sampledomain\access
source type: ldap
source: groups

[1 ] sampledomain\jsmith
[2 ] sampledomain\user1
[3 ] sampledomain\user2
[4 ] sampledomain\user3



 

Environment


  • PAN-OS 8,1 et plus.
  • Palo Alto Networks se firewall rendre à la cartographie des utilisateurs à partir de IP l’agent Windows.
  • Un seul domaine d’annuaire actif (sampledomain.com) mais le nom Netbios pour le domaine est différent « testdomain ».

 

Cause


Dans le cas où le nom netbios et le nom sont différents, les FQDN journaux de sécurité dans les événements de AD logon lave pour les deux domaines et l’événement logon le plus récent serait la mise à jour IP de la cartographie des utilisateurs.

NOTE : Il ne s’agit pas d’un environnement multi-domaines, mais simplement que FQDN les noms et NetBIOS sont différents sur Active Directory.



 

Resolution


Pour résoudre le problème des mappages vus pour sampledomain et testdomain, nous pouvons ajouter testdomain\* à la liste d’ignorer sur l’agent utilisateurid Windows.
Lorsque des mappages pour testdomain sont reçus, l’agent utilisateur les ignorera et n’enverra pas la cartographie à la firewall .

Pour plus de détails sur la façon de mettre à jour la liste d’ignorer sur l’agent Windows, s’il vous plaît référer Comment ignorer les utilisateurs dans l’utilisateur-ID.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boGJCAY&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language