複数のユーザーがグローバル保護に接続できず、「このデバイスからのネットワークへのアクセスは、組織のセキュリティにより制限されています」というエラーが表示されるpolicy"
5981
Created On 01/31/22 15:50 PM - Last Modified 06/13/25 20:20 PM
Symptom
グローバル保護ユーザーにエラーが発生する「このデバイスからのネットワークへのアクセスは、組織のセキュリティにより制限されていますpolicy. お問い合わせくださいIT管理者」 .
もしも "検疫デバイスのログインをブロックする" がゲートウェイで有効になっています
ネットワーク < グローバル保護 < ゲートウェイ < <{あなたのゲートウェイ} < 認証。
「検疫追加」メッセージのゲートウェイのグローバル保護ログを確認します。
デバイスが検疫リストに追加されると、次のメッセージが表示されます。
次のいずれかから検疫リストを確認します。CLIまたはGUI.
デバイス < デバイス検疫。
からCLI
管理者@PA-VM-II (アクティブ)> デバイス検疫リストの要求 すべて表示
ホスト ID : db0cd87f-94f6-4b39-9164-cb78878e813c
シリアル: VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36
vsys-id: 1
理由:自動検疫
ソース :
ユーザー : テスト
検疫 : はい
Q TS: 2022年1月26日(水) 12:20:10
Q LM : 2022年1月26日(水) 12:20:10
IP :
IPv6 :
合計: 1
デバイスが隔離されていて、ゲートウェイ接続が切断された場合、同様のログ エントリが予想されます。
it キャッシュは、デバイスが隔離されていることを示します。
管理者@PA-VM-II (アクティブ)> iot ホストキャッシュをすべて表示
ホスト ID : db0cd87f-94f6-4b39-9164-cb78878e813c
シリアル :
vsys-id: 1
reason : 管理者追加
ソース: 10.129.137.117
ユーザー:
検疫 : はい
Q TS: 月 1 月 31 日 07:28:43 2022
Q LM : 月 1 月 31 日 07:28:43 2022
IP :
IPv6 :
合計: 1
Environment
Panos 10.0 以降
グローバル保護。
Cause
デバイスは手動または自動で隔離されます。
リストからユーザーを削除して、ゲートウェイに接続し直す必要があります。
Aデバイスは自動的に検疫リストに追加できますデバイス < デバイス検疫e.
デバイス ホストの追加中IDは必須で、シリアル番号はオプションです。
自動検疫は、次のようなソースから行うことができます。
1. デバイス < ログ設定 <HIP一致 < 検疫
2. オブジェクト < ログ転送 < { プロファイル名} < ログ転送プロファイル一致プロファイル < 組み込みアクション < 検疫
ログ転送プロファイルは、セキュリティで構成する必要がありますpolicy.
関連するログ:
PanGpsサンプルログ
(P3064-T11020) デバッグ (13984): 01/26/22 18:29:16:595 デバイスは隔離されています (ブロック)。 ゲートウェイ 172.16.0.1
(P3064-T11020) デバッグ (13898): 01/26/22 18:29:16:595 検疫をはいに設定します
(P3064-T11020) デバッグ (6046): 01/26/22 18:29:29:782 NetworkDiscoverThread: PortalStatus は 1、HasLoggedOnGateway は 0
(P3064-T11020) デバッグ (6142): 01/26/22 18:29:29:782 外部ネットワーク、デバイス検疫がブロックされました。 ネットワーク検出を再試行しない
Appweb3-sslvpn
[2022 年 1 月 26 日水曜日 10:01:38] スクリプト: '/var/appweb/sslvpndocs/ssl-vpn/prelogin.esp'
2022-01-26 10:01:38.409 -0800 エラー: sslvpn_portalmap_lookup_by_sock (modsslvpn_portalmap.c:730): シリアル番号の検索中にエラーが発生しました VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36
2022-01-26 10:01:38.413-0800 エラー: panSslVpnLogin (panPhpSslVpn.c:4623): ホスト db0cd87f-94f6-4b39-9164-cb78878e813c は検疫リストにあります。 ログインをブロックする
iotd.log
2022-01-26 09:34:35.548-0800LOG : IP 192.168.100.1 vsys:1 action:0 の更新を追加しています
2022-01-26 09:34:35.548-0800CMD : hdel ホスト: db0cd87f-94f6-4b39-9164-cb78878e813c_1 devid
2022-01-26 09:34:35.548-0800CMD : hdel ホスト:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36_1 devid
2022-01-26 09:34:35.549 -0800 ホスト ID の検疫通知を追加: VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~ 36、力1
2022-01-26 09:34:37.366 -0800 クエリ隔離ホスト ID db0cd87f-94f6-4b39-9164-cb78878e813c シリアル VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4 ~ef~7d~ea~36:0
2022-01-26 09:34:37.428-0800 pan_iot_update_host_device で、ホスト ID db0cd87f-94f6-4b39-9164-cb78878e813c、vsys_id 1
2022-01-26 09:34:37.429-0800IP 192.168.100.1
2022-01-26 09:34:37.429-0800CMD : hmget 192.168.100.1_1 デバイス
2022-01-26 09:34:37.429-0800CMD : hmset 192.168.100.1_1 デバイス device:21
rasmgr.log
2022-01-31 07:27:05.256 -0800 db0cd87f-94f6-4b39-9164-cb78878e813c の検疫通知を受信しました
2022-01-31 07:27:05.256 -0800 検疫通知ホスト ID db0cd87f-94f6-4b39-9164-cb78878e813c を取得しました
2022-01-31 07:27:05.257 -0800 rasmgr_sslvpn_client_terminate スペース内部-Nドメイン ユーザー テスト コンピューターDESKTOP-U34SJ9Q クライアント デバイスが検疫リストに追加される理由
2022-01-31 07:27:05.257 -0800 usr info の情報を haremoteusr info for:test に追加しています
Resolution
検疫リストからデバイスを削除します。
検疫の理由は、GUIまたCLI.
自動検疫または管理者が追加されました
1.からCLI
管理者@PA-VM-II (アクティブ) > デバイス検疫リストの削除を要求するホスト db0cd87f-94f6-4b39-9164-cb78878e813c
デバイスは検疫リストから削除されます
2 .ウェブから〜GUI
デバイス < デバイス検疫 < 追加
Aゲートウェイで同様のログ エントリを確認できます。firewall取り外し後。