netbios FQDN 名と netbios 名が異なる場合に、一貫性のないユーザー ID マッピング
19051
Created On 03/05/19 00:01 AM - Last Modified 03/26/21 18:21 PM
Symptom
IP firewall次に示すように、断続的に異なるドメインで表示されるユーザー マッピングに(出力例)
admin@firewall(active)> show user ip-user-mapping all IP Vsys From User IdleTimeout(s) MaxTimeout(s) ----------------------------------- ------ ------- -------------------------------- -------------- ------------- 10.1.100.22 vsys1 UIA testdomain.com\jsmith 26265 26265 10.1.100.26 vsys1 UIA sampledomain\user1 21234 21234 10.1.100.56 vsys1 UIA sampledomain\user2 28739 28739 10.1.100.19 vsys1 UIA sampledomain\user3 22501 22501
のグループ マッピングでは firewall sampledomain が使用され、ユーザー トラフィックが正しいセキュリティと一致しないことがあります policy 。
admin@firewall(active)> show user group name cn=access,ou=groups,dc=sampledomain,dc=com short name: sampledomain\access source type: ldap source: groups [1 ] sampledomain\jsmith [2 ] sampledomain\user1 [3 ] sampledomain\user2 [4 ] sampledomain\user3
Environment
- PAN-OS 8.1以上。
- パロアルトネットワークは firewall IP 、Windowsエージェントからユーザーマッピングに取得します。
- 1 つの Active Directory ドメイン (sampledomain.com) だけが、ドメインの Netbios 名が異なる "テスト ドメイン" です。
Cause
FQDNNetbios 名と Netbios 名が異なる場合、両方のドメインのログオン イベントに記録されるセキュリティ ログ AD と、最新のログオン イベントが IP ユーザー マッピングに更新されます。
NOTE これは、マルチドメイン環境の場合ではなく FQDN 、Active Directory 上で NetBIOS 名と NetBIOS 名が異なっているだけです。
Resolution
サンプルドメインとテストドメインの両方に対して見られるマッピングの問題を解決するために、WindowsユーザーIDエージェントの無視リストにtestdomain\*を追加します。
testdomain のマッピングを受信すると、ユーザー エージェントはこれらを無視し、マッピングを firewall .
Windows エージェントの無視リストを更新する方法の詳細については、「ユーザーのユーザーを無視する方法-ID」を参照してください。