多个用户无法连接到全局保护并收到错误“根据您的组织安全性,从该设备访问网络已受到限制policy“
5967
Created On 01/31/22 15:50 PM - Last Modified 06/13/25 20:20 PM
Symptom
全局保护用户收到错误“根据您组织的安全性,从该设备访问网络已受到限制policy. 请联系您的IT行政人员” .
如果 ”阻止登录隔离设备" 在网关上启用
Network < Global protect < Gateway < <{your gateway} < Authentication.
针对“quarantine add”消息验证网关的全局保护日志。
将设备添加到隔离列表时会显示以下消息。
从以下位置查看隔离列表CLI或者GUI.
设备 < 设备隔离。
从CLI
行政@PA-VM-II (active)> 请求设备隔离列表显示所有
主机标识:db0cd87f-94f6-4b39-9164-cb78878e813c
序列号:VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36
vsys-id:1
原因:自动隔离
来源 :
用户:测试
检疫:是
Q TS: 2022 年 1 月 26 日星期三 12:20:10
Q LM : 2022 年 1 月 26 日星期三 12:20:10
IP :
IPv6:
总计:1
如果设备处于隔离状态并且网关连接断开,则可能会出现类似的日志条目。
it 缓存会将设备显示为已隔离。
行政@PA-VM-II (主动)> 显示物联网主机缓存所有
主机标识:db0cd87f-94f6-4b39-9164-cb78878e813c
连续剧:
vsys-id:1
原因:管理员添加
来源:10.129.137.117
用户:
检疫:是
Q TS: 2022 年 1 月 31 日星期一 07:28:43
Q LM : 2022 年 1 月 31 日星期一 07:28:43
IP :
IPv6:
总计:1
Environment
Panos 10.0 及以上版本
全球保护。
Cause
设备被手动或自动隔离,
需要从列表中删除用户才能让他们连接回网关。
A设备可以通过自动添加到隔离列表设备 < 设备隔离e.
添加设备主机时ID是强制性的,序列号是可选的。
自动隔离可以来自类似的来源。
1. 设备 < 日志设置 <HIP匹配 < 隔离区
2. Objects < log forwarding < { profile name} < Log forwarding profile match profile < Built in action < quarantine
必须在安全上配置日志转发配置文件policy.
相关日志:
泛全球定位系统示例日志
(P3064-T11020)调试(13984): 01/26/22 18:29:16:595 设备被隔离(块)。 网关 172.16.0.1
(P3064-T11020)调试(13898):01/26/22 18:29:16:595 将隔离设置为是
(P3064-T11020)调试(6046):01/26/22 18:29:29:782 NetworkDiscoverThread:PortalStatus 为 1,HasLoggedOnGateway 为 0
(P3064-T11020)调试(6142):01/26/22 18:29:29:782 外部网络,设备隔离被阻止。 不要重试网络发现
Appweb3-sslvpn
[2022 年 1 月 26 日星期三 10:01:38] 脚本:'/var/appweb/sslvpndocs/ssl-vpn/prelogin.esp'
2022-01-26 10:01:38.409 -0800 错误:sslvpn_portalmap_lookup_by_sock(modsslvpn_portalmap.c:730):查找序列号 VMware-42 1b 67 e2 75 0c 3d 49-75 b9 60 e4 ef 7d ea 36 时出错
2022-01-26 10:01:38.413 -0800 错误:panSslVpnLogin(panPhpSslVpn.c:4623):主机 db0cd87f-94f6-4b39-9164-cb78878e813c 在隔离列表中。 阻止登录
日志文件
2022-01-26 09:34:35.548 -0800LOG : 添加更新 ip 192.168.100.1 vsys:1 操作:0
2022-01-26 09:34:35.548 -0800CMD : hdel 主机:db0cd87f-94f6-4b39-9164-cb78878e813c_1 devid
2022-01-26 09:34:35.548 -0800CMD : hdel 主机:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~36_1 devid
2022-01-26 09:34:35.549 -0800 添加 hostid 的隔离通知:VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4~ef~7d~ea~ 36、力1
2022-01-26 09:34:37.366 -0800 查询隔离hostid db0cd87f-94f6-4b39-9164-cb78878e813c serial VMware-42~1b~67~e2~75~0c~3d~49-75~b9~60~e4 ~ef~7d~ea~36: 0
2022-01-26 09:34:37.428 -0800 在 pan_iot_update_host_device 中,hostid db0cd87f-94f6-4b39-9164-cb78878e813c,vsys_id 1
2022-01-26 09:34:37.429 -0800IP 192.168.100.1
2022-01-26 09:34:37.429 -0800CMD : hmget 192.168.100.1_1 设备
2022-01-26 09:34:37.429 -0800CMD : hmset 192.168.100.1_1 设备设备:21
rasmgr.log文件
2022-01-31 07:27:05.256 -0800 收到 db0cd87f-94f6-4b39-9164-cb78878e813c 的隔离通知
2022-01-31 07:27:05.256 -0800 得到隔离通知 hostid db0cd87f-94f6-4b39-9164-cb78878e813c
2022-01-31 07:27:05.257 -0800 rasmgr_sslvpn_client_terminate 空间内部-N域用户测试计算机DESKTOP-U34SJ9Q 客户端设备添加到隔离列表的原因
2022-01-31 07:27:05.257 -0800 将 usr 信息中的信息添加到 haremoteusr 信息中:测试
Resolution
从隔离列表中删除设备。
检疫原因将在GUI或者CLI.
添加了自动隔离或管理员
1.来自CLI
行政@PA-VM-II (主动)> 请求设备隔离列表删除主机 db0cd87f-94f6-4b39-9164-cb78878e813c
设备已从隔离列表中删除
2个.来自网络——GUI
设备 < 设备隔离区 < 添加
A在网关中可以观察到类似的日志条目firewall拆除后。