Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
専用サービス アカウントには、WinRM エージェントレス ユーザーの Active Directory セキュリティ グルー... - Knowledge Base - Palo Alto Networks

専用サービス アカウントには、WinRM エージェントレス ユーザーの Active Directory セキュリティ グループが必要でした。ID

99547
Created On 05/26/21 23:30 PM - Last Modified 08/29/23 05:55 AM


Symptom


WinRM を使用して PanOS でエージェントレス ユーザーを構成する場合 ID 、サービス アカウントがドメイン管理者の一部でない場合、アクセス許可の問題により WinRM サービスへのアクセスが拒否され、サービス アカウントは失敗します。 次のエラーは、 firewall ユーザー ID.log で表示されます。

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)


Environment


  • パロアルトネットワークス Firewall 
  • PanOS 9.0.x 以上
  • 2012 年の R2 と Windows サーバー 2016


Resolution


Windows ドメイン管理者グループまたは管理者グループに専用サービス アカウントを追加しない場合、サービス アカウントが WinRM にアクセスできるように、Windows ドメイン コントローラの次のセキュリティ グループにサービス アカウントを追加する必要があります WMI 。

  • 分散 COM ユーザー
  • イベント ログ リーダー
  • リモート管理ユーザー
  • サーバーオペレーター
  • WinRMRemoteWMIUsers__グループ

さらに WMI 、WinRM を使用してデータを取得する場合は、サービス アカウントがドメイン コント ローラーの CIMV2 名前空間を読み取るためにアクセスする必要があります。 CIMV2 名前空間の詳細については、「統合ユーザー エージェントのサービス アカウントの構成 」を PAN-OS ID 参照してください。

 

 

 

 



Additional Information


Windows Server 2016 を実行している場合は、次の組み込みのローカル グループが "WinRMRemoteWMIUsers__ グループ" が見つからない可能性があります。 グループが見つからない場合は、グループを追加するための支援に Microsoft サポートを依頼してください。  

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VUICA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language