専用サービス アカウントには、WinRM エージェントレス ユーザーの Active Directory セキュリティ グループが必要でした。ID
99547
Created On 05/26/21 23:30 PM - Last Modified 08/29/23 05:55 AM
Symptom
WinRM を使用して PanOS でエージェントレス ユーザーを構成する場合 ID 、サービス アカウントがドメイン管理者の一部でない場合、アクセス許可の問題により WinRM サービスへのアクセスが拒否され、サービス アカウントは失敗します。 次のエラーは、 firewall ユーザー ID.log で表示されます。
failed to connect to winrm server. HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied Connection failed. response code = 500, error: (null)
Environment
- パロアルトネットワークス Firewall
- PanOS 9.0.x 以上
- 2012 年の R2 と Windows サーバー 2016
Resolution
Windows ドメイン管理者グループまたは管理者グループに専用サービス アカウントを追加しない場合、サービス アカウントが WinRM にアクセスできるように、Windows ドメイン コントローラの次のセキュリティ グループにサービス アカウントを追加する必要があります WMI 。
- 分散 COM ユーザー
- イベント ログ リーダー
- リモート管理ユーザー
- サーバーオペレーター
- WinRMRemoteWMIUsers__グループ
さらに WMI 、WinRM を使用してデータを取得する場合は、サービス アカウントがドメイン コント ローラーの CIMV2 名前空間を読み取るためにアクセスする必要があります。 CIMV2 名前空間の詳細については、「統合ユーザー エージェントのサービス アカウントの構成 」を PAN-OS ID 参照してください。
Additional Information
Windows Server 2016 を実行している場合は、次の組み込みのローカル グループが "WinRMRemoteWMIUsers__ グループ" が見つからない可能性があります。 グループが見つからない場合は、グループを追加するための支援に Microsoft サポートを依頼してください。