Mehrere Benutzer können keine Verbindung zum globalen Schutz herstellen und erhalten die Fehlermeldung "Der Zugriff auf das Netzwerk von diesem Gerät wurde gemäß der Sicherheit policyIhres Unternehmens eingeschränkt"
6029
Created On 01/31/22 15:50 PM - Last Modified 06/13/25 20:20 PM
Symptom
Global Protect-Benutzer erhalten die Fehlermeldung "Der Zugriff auf das Netzwerk von diesem Gerät wurde gemäß der Sicherheit policyIhrer Organisation eingeschränkt. Bitte wenden Sie sich an Ihren IT Administrator."
Wenn "Anmeldung für Quarantänegerät blockieren" auf dem
Gateway-Netzwerk aktiviert ist, < Global schützen Sie < Gateway < <{Ihr Gateway} < Authentifizierung.
Überprüfen Sie das globale Schutzprotokoll des Gateways auf die Meldung "Quarantäne hinzufügen".
Die folgende Meldung wird angezeigt, wenn das Gerät zur Quarantäneliste hinzugefügt wird.
Überprüfen Sie die Quarantäneliste entweder im oder im CLI GUI.
Gerätequarantäne <.
Von CLI
admin@PA-VM-II(aktiv)> Anforderung device-quarantine-list show all
hostid : db0cd87f-94f6-4b39-9164-cb78878e813c seriell : VMware-42 1b 67 e2 75 0c
3d 49-75 b9 60 e4 ef 7d ea 36 vsys-id : 1
Grund : Auto-Quarantäne
Quelle : Benutzer : Testquarantäne
Q TS
: Ja : Wed Jan 26 12:20:10 2022 : Wed Jan 26 12:20:10 2022
IP
Q LM : IPv6
: Gesamt: 1
Wenn sich das Gerät in Quarantäne befindet und die Gateway-Verbindung getrennt wird, kann ein ähnlicher Protokolleintrag erwartet werden.
Im it-Cache wird das Gerät als isoliert angezeigt.
admin@PA-VM-II(aktiv)> IoT Host-Cache anzeigen Alle
HostID : DB0CD87F-94F6-4B39-9164-CB78878E813C
Seriell : vsys-id : 1 Grund : Admin Quelle hinzufügen
: 10.129.137.117 Benutzer :
Quarantäne : Ja
Q TS : Mon Jan 31 07:28:43 2022 : Mon Jan 31 07
:28:43 2022
Q LM
IP : IPv6 : Gesamt: 1
Environment
Panos 10.0 und höher
Global Protect.
Cause
Das Gerät wird entweder manuell oder automatisch unter Quarantäne gestellt, die Benutzer müssen aus der Liste entfernt werden,
damit sie sich wieder mit dem Gateway verbinden.
A Gerät kann automatisch über Gerät < Gerätequarantine. Gerät zur Quarantäneliste hinzugefügt werden.
Das Hinzufügen eines Gerätehosts ID ist obligatorisch und die Seriennummer ist optional.
Die automatische Quarantäne kann aus Quellen stammen wie.
1. Die Einstellungen < Geräteprotokolls < HIP < Quarantäne 2 übereinstimmen
. Objekte < Protokollweiterleitung < { Profilname} < Protokollweiterleitungsprofil Übereinstimmungsprofil < Integrierte Aktion < Quarantäne
Das Protokollweiterleitungsprofil muss auf der Sicherheit policykonfiguriert werden.
Relevante Protokolle
:PanGps-Beispielprotokoll
(P3064-T11020)Debug(13984): 26.01.22 18:29:16:595 Gerät wird isoliert (blockieren). Gateway 172.16.0.1(P3064-T11020)Debug(13898): 26.01.22 18:29:16:595 Quarantäne auf ja
(P3064-T11020)Debug(6046): 26.01.22 18:29:29:782 NetworkDiscoverThread: PortalStatus ist 1
, HasLoggedOnGateway ist 0
(P3064-T11020)Debug(6142): 26.01.22 18:29:29:782 Externes Netzwerk, Gerätequarantäne blockiert. Versuchen Sie nicht erneut, das Netzwerk zu ermitteln
Appweb3-sslvpn
[Wed Jan 26 10:01:38 2022] Skript: '/var/appweb/sslvpndocs/ssl-vpn/prelogin.esp'
2022-01-26 10:01:38.409 -0800 Fehler: sslvpn_portalmap_lookup_by_sock(modsslvpn_portalmap.c:730): Fehler beim Suchen nach der Seriennummer VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36 2022-01-26
10:01:38.413 -0800 Fehler: panSslVpnLogin(panPhpSslVpn.c:4623): Host db0cd87f-94f6-4b39-9164-cb78878e813c befindet sich in der Quarantäneliste. Block login
iotd.log
2022-01-26 09:34:35.548 -0800 : Update für ip 192.168.100.1 vsys hinzufügen:1 Aktion:0
2022-01-26 09:34:35.548 -0800 : HDdel Host:DB0CD87F-94F6-4B39-9164-cb78878e813c_1 devid 2022-01-26 09:34:35.548 -0800 : hdel host:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36_1 devid 2022-01-26 09:34:35.549 -0800 CMDCMDLOGHinzufügen von Quarantänebenachrichtigungen für Hostid
: VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36, force 1 2022-01-26 09:34:37.366 -0800 Abfrage quarantäne hostid db0cd87f-94f6-4b39-9164-cb78878e813c seriell VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36: 0
2022-01-26 09:34:37.428 -0800 In pan_iot_update_host_device, hostid db0cd87f-94f6-4b39-9164-cb78878e813c, vsys_id 1 2022-01-26 09:34:37.429 -0800 192.168.100.1 2022-01-26 09:34:37.429 -0800 : hmget 192.168.100.1_1 Gerät 2022-01-26 09:34:37.429 -0800 : hmset 192.168.100.1CMDCMDIP_1
Gerät Gerät:21
Rasmgr.log
2022-01-31 07:27:05.256 -0800 Quarantänebenachrichtigung für db0cd87f-94f6-4b39-9164-cb78878e813c 2022-01-31 07:27:05.256 -0800 Got quarantine notify hostid db0cd87f-94f6-4b39-9164-cb78878e813c
2022-01-31 07:27:05.257 -0800 rasmgr_sslvpn_client_terminate Speicherplatz internerN Benutzertestcomputer DESKTOP-U34SJ9Q Grund Clientgerät wird zur Quarantäneliste
hinzugefügt 2022-01-31 07:27:05.257 -0800 Hinzufügen von Informationen in usr info zu haremoteusr info for:test
Resolution
Entfernen Sie das Gerät aus der Quarantäneliste.
Der Quarantänegrund wird in der GUI oder CLIangegeben.
Automatische Quarantäne oder Administrator hinzugefügt
1. Aus CLI
dem admin@PA-VM-II(aktiv)> Gerätequarantäneliste anfordern Host db0cd87f-94f6-4b39-9164-cb78878e813c
Gerät wird aus der Quarantäneliste gelöscht 2. aus dem Web- Gerät < Gerätequarantäne
< Hinzufügen
A eines ähnlichen Protokolleintrags kann nach dem Entfernen im Gateway firewall beobachtet werden.GUI