Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Fehlerbehebung bei Verbindungsfehlern zum überwachten Server fü... - Knowledge Base - Palo Alto Networks

Fehlerbehebung bei Verbindungsfehlern zum überwachten Server für den in PAN-OS integrierten User-ID-Agent

18163
Created On 02/08/24 18:10 PM - Last Modified 05/07/24 14:03 PM


Objective


Fehlerbehebung bei Verbindungsfehlern zwischen der Firewall und dem überwachten Server.

Environment


  • Palo Alto Firewall
  • PAN-OS integrierter User-ID-Agent / Agentenlose User-ID
  • Server-Monitor-Host / überwachter Server

Procedure


  1. Ermitteln Sie, welcher überwachte Server getrennt ist: 
    show user server-monitor statistics
    Verwenden Sie UI Device > User Identification > User Mapping, und überprüfen Sie die Spalte Status im Fenster Serverüberwachung.
  2. Überprüfen Sie weitere Details in Bezug auf den getrennten überwachten Server: 
    show user server-monitor state <server-name>
  3. Überprüfen Sie die Dienstroute von der Firewall zum überwachten Server: Device > Setup > Services > Service Route Configuration > UID Agent.
  4. Wenn die Verwaltungsschnittstelle (auch als Standard bezeichnet) als UID-Agent-Dienstroute konfiguriert ist und wenn zulässige IP-Adressen unter Device > Setup > Interface > Management konfiguriert sind, stellen Sie sicher, dass die IP-Adresse des überwachten Servers in dieser Liste enthalten ist.
  5. Wenn die Datenebenenschnittstelle als UID-Agent-Dienstroute konfiguriert ist und für diese Schnittstelle ein Schnittstellenverwaltungsprofil mit zulässigen IP-Adressen konfiguriert ist, stellen Sie sicher, dass die IP-Adresse des überwachten Servers in dieser Liste enthalten ist.
  6. Stellen Sie sicher, dass der Benutzername und das Kennwort für das Dienstkonto, das der User-ID-Agent für den Zugriff auf die überwachten Server verwendet, auf dem neuesten Stand sind. (Dieser Schritt gilt für die Überwachung von Exchange-Servern und Domänencontrollern).
  7. Der Status des überwachten Servers, der in der Ausgabe des Befehls unter Verzeichnisserver in einem Fehlerstatus gefunden wird, kann wie folgt lauten:
    1. Abfallzeit
    2. Kerberos-Fehler
    3. Verbindung verweigert
    4. Zugang verwiert
    5. Nicht verbunden
  8. Wenn der Status des überwachten Servers als Verbindungszeitüberschreitung angezeigt wird, überprüfen Sie die Netzwerkverbindung zum Server.
    1. Prüfen Sie, ob die Firewall in der Lage ist, den Server zu erreichen, dies kann überprüft werden, indem Sie den Server anpingen oder traceroute verwenden. Wenn die Dienstroute zum überwachten Server die mgmt-Schnittstelle ist, verwenden Sie den CLI-Befehl: 
      ping host <IP address of the monitored server>
traceroute host <IP address of the monitored server>
      Wenn der Dienst für den überwachten Server die Datenebenenschnittstelle ist, verwenden Sie den CLI-Befehl: 
      ping source <IP address of the dataplane interface> host <IP address of the monitored server>

traceroute source <IP address of the dataplane interface> host <IP address of the monitored server>
  9. Wenn der Status des überwachten Servers als Kerberos-Fehler angezeigt wird, lesen Sie das Benutzer-ID-Protokoll 
    less mp-log user-id.log
    und suchen Sie nach den Kerberos-Fehlercodes. Einige Fehler, die im Feld angezeigt werden, sind im Abschnitt "Zusätzliche Informationen" mit ihrer Bedeutung und den richtigen Korrekturschritten aufgeführt: 
    Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error -1765328228.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2076): failed to get krb5 tgt ticket with error -1765328366.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error 11.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error 145.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2073): failed to get krb5 tgt ticket with error 16.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2074): failed to get krb5 tgt ticket with error -1765328237.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328378.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328370.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328360.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328316.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328353. 
  10. Wenn der Status des überwachten Servers als Verbindung verweigert angezeigt wird, lesen Sie die Benutzer-ID-Protokolle:
    1. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 0, error: Couldn't connect to server in vsys 1
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1
      Weitere Informationen finden Sie unter Serverüberwachungsstatus, der bei Verwendung von WinRM-HTTP/WinRM-HTTPS in "Verbindung verweigert (0)" hängen bleibt.
    2. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1
      Weitere Informationen finden Sie unter Fehlermeldung: Peer-Zertifikat kann nicht mit bestimmten CA-Zertifikaten authentifiziert werden und Serverüberwachung mit WinRM-HTTPS Der Status zeigt nach der Erneuerung des Serverzertifikats "Verbindung verweigert (0)" an.
    3. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: SSL peer certificate or SSH remote key was not OK in vsys
      Weitere Informationen finden Sie unter Fehler beim Herstellen einer Verbindung zu WINRM über https , Grundlegende Einschränkungen können nicht abgerufen werden.
    4. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 401, error: (null) in vsys 1

      Wenn Sie WinRM-HTTP verwenden, überlegen Sie, ob es erforderlich ist, zu HTTPS zu wechseln, das sicherer ist. Wenn Sie HTTPS verwenden, stellen Sie sicher, dass ein gültiges Zertifikat auf dem Domänencontroller für WinRM installiert und konfiguriert ist. Beziehen Sie sich auf WinRM-HTTP schlägt mit dem Fehler 401 fehl, und überprüfen Sie, ob die richtigen Konfigurationsschritte ausgeführt wurden, wie unter Konfigurieren der Serverüberwachung mit WinRM aufgeführt.

  11. Wenn der Status des überwachten Servers als Zugriff verweigert angezeigt wird, lesen Sie die Benutzer-ID-Protokolle:
    1. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 500, error: (null) in vsys 1
      Befolgen Sie die Anweisungen in der Wissensdatenbank: Dediziertes Dienstkonto erforderlich Active Directory-Sicherheitsgruppen für WinRM Agentless User-ID.
    2. Wenn die angezeigte Meldung der folgenden ähnelt: 
      Error:  pan_user_id_win_wmic_log_query(pan_user_id_win.c:1670): log query for SPFPL-SRV-AD.shapoorjipallonjifinance.com failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
      Stellen Sie sicher, dass Sie ein dediziertes Dienstkonto für den User-ID-Agent ordnungsgemäß konfiguriert und festgelegt haben. Überprüfen Sie für den Microsoft Windows-Server, ob der vom Windows-Patch betroffene KB5014692 WMI für User-ID unterbricht.
  12. Wenn der Status des überwachten Servers als Nicht verbunden angezeigt wird, gilt Folgendes:
    1. Überprüfen Sie, ob die Firewall in einem A/P-HA-Setup passiv ist. 
      > show high-availability all
Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 1 days)  <<<
    Device Information:
      Wenn dies der Fall ist, ist dies das erwartete Verhalten.Wenn nach dem Failover die passive Firewall aktiv wird, sollte der Status des überwachten Servers als Verbunden angezeigt werden.
    2. Andernfalls überprüfen Sie die Benutzer-ID-Protokolle: wenn die angezeigte Meldung der folgenden ähnelt: 
      Error: pan_user_id_win_log_query(pan_user_id_win.c:1349): log query for AD-Server failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
      Befolgen Sie die Anweisungen in der Wissensdatenbank: Agentenlose User-ID-Verbindung mit Active Directory-Server nicht verbunden.
  13. Der Status des überwachten Servers, der in der Ausgabe des Befehls unter den Syslog-Servern gefunden wird, wird für den Syslog-Listener, der für die Verwendung von SSL konfiguriert ist, als Verbunden oder Nicht verbunden und für den Syslog-Listener, der für die Verwendung des UDP-Ports konfiguriert ist, als N/A angezeigt. Um zu überprüfen, ob die Firewall Protokollmeldungen vom Syslog-Server empfängt, verwenden Sie den CLI-Befehl: 
    show user server-monitor state all
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Server1(vsys: vsys1) Host: Server1(10.10.10.16)
number of log messages : 0   <<<<
number of auth. success messages : 0
number of active connections : 0
total connections made : 0
Proxy: Server2 UDP(vsys: vsys1) Host: Server2 UDP(10.10.10.15)
number of log messages : 0    <<<<
number of auth. success messages : 0
  1. Wenn keine der oben genannten Maßnahmen zur Isolierung des Problems beiträgt, erfassen Sie eine Paketerfassung zwischen der Firewall und dem überwachten Server und öffnen Sie dann einen Supportfall.
    1. Für überwachte Serververbindungen über die Firewall-Verwaltung verwenden Sie CLI 
      tcpdump filter host <IP address of the monitored server> snaplen 0
view-pcap mgmt-pcap mgmt.pcap
    2. Verwenden Sie für die überwachte Serververbindung über die Firewall-Datenebene die CLI, und legen Sie eine Paketerfassung in der Firewall fest: Erste Schritte: Paketerfassung.
    3. Informationen darüber, welcher TCP-Service-Port für die Verbindung zwischen der Firewall und dem überwachten Server (unter den Verzeichnisservern) verwendet wird, finden Sie unten:
      1. Für WMI verwendet die erste Verbindung TCP/135, verwendet jedoch RPC, dem zufällige Ports im Bereich 49152-65535 zugewiesen werden
      2. Für WinRM-HTTP ist der Port TCP/5985
      3. Für WinRM-HTTPS ist der Port TCP/5986
    4. Informationen darüber, welcher Dienstport für die Verbindung zwischen der Firewall und dem überwachten Server (zu finden unter den Syslog-Servern) verwendet wird, finden Sie unten:
      1. Für die UDP-Syslog-Listener-Verbindung ist der Port UDP/514.
      2. Für die SSL-Syslog-Listener-Verbindung ist der Port TCP/6514.

Additional Information


error -1765328228: Es kann kein KDC für den Bereich '<>' kontaktiert werden. Weitere Informationen finden Sie unter Kerberos-Fehler "-1765328228", der nach der Konfiguration mit WinRM-HTTP oder WinRM-HTTPS für die agentenlose Benutzer-ID beobachtet wurde .

error -1765328366: Die Anmeldeinformationen des Clients wurden widerrufen. Siehe KDC_ERR_CLIENT_REVOKED.

Fehler 11: Ressource vorübergehend nicht verfügbar. Befolgen Sie eine ähnliche Empfehlung wie bei Fehlercode 0: Serverüberwachungsstatus bleibt in "Verbindung verweigert (0)" hängen, wenn Sie WinRM-HTTP/WinRM-HTTPS verwenden.

Fehler 145: Zeitüberschreitung bei der Verbindung. Befolgen Sie eine ähnliche Empfehlung wie bei Fehlercode 0: Serverüberwachungsstatus bleibt in "Verbindung verweigert (0)" hängen, wenn Sie WinRM-HTTP/WinRM-HTTPS verwenden.

Fehler 16: Gerät oder Ressource ausgelastet. Weitere Informationen finden Sie unter Konfiguration Konfigurieren der Serverüberwachung mit WinR. Verwenden Sie bei Bedarf den folgenden Befehl, um die Authentifizierung mit dem Dienstkonto zu testen: test authentication authentication-profile <authentication-profile-name> username <username> password

error -1765328237: KDC-Antwort entsprach nicht den Erwartungen. Weitere Informationen finden Sie unter Serverüberwachungsstatus zeigt "Kerberos-Fehler" an, wenn das WinRM-HTTP-Transportprotokoll verwendet wird.

Fehler -1765328378: Der Client '<>' wurde in der Kerberos-Datenbank nicht gefunden. Weitere Informationen finden Sie in der Dok.

error -1765328370: KDC bietet keine Unterstützung für den Verschlüsselungstyp. Befolgen Sie den folgenden Artikel unter "Nach dem Aktivieren einer Gruppenrichtlinie zum Deaktivieren von RC4 und Aktivieren von AES128 und 256 kann kein Beitritt mit dem Dienstkonto möglich sein. KRB5KDC_ERR_ETYPE_NOSUPP (-1765328370): KDC hat keine Unterstützung für den Verschlüsselungstyp/ (4295213)" siehe Dokumentation.

error -1765328360: Fehler bei der Vorauthentifizierung. Der Authentifizierungsserver (AS) auf KDC gibt an, dass die Authentifizierung fehlgeschlagen ist, und schließt die Verbindung, sodass der Authentifizierungsprozess nicht abgeschlossen ist, das Problem liegt auf der Seite des Authentifizierungsservers. Das Kontrollkästchen "Kerberos-Vorauthentifizierung nicht erforderlich" im AD wurde behoben. Überprüfen Sie Ihre Konfiguration auf der AD-Seite mit: Konfigurieren der Serverüberwachung mit WinRM .

error -1765328316: Der Bereich ist nicht lokal für KDC. Weitere Informationen finden Sie unter Verbindungsstatus der Serverüberwachung "Kerberos-Fehler"

 Fehler -1765328353: Integritätsprüfung der Entschlüsselung fehlgeschlagen. Wenn Sie WinRM-HTTP verwenden, überlegen Sie, ob es erforderlich ist, zu HTTPS zu wechseln, das sicherer ist. Wenn Sie HTTPS verwenden, stellen Sie sicher, dass ein gültiges Zertifikat auf dem Domänencontroller für WinRM installiert und konfiguriert ist. Weitere Informationen finden Sie unter Konfigurieren der Serverüberwachung mit WinRM.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,299
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3mCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language