Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo solucionar problemas de error de conexión con el servidor ... - Knowledge Base - Palo Alto Networks

Cómo solucionar problemas de error de conexión con el servidor supervisado para el agente de ID de usuario integrado de PAN-OS

18161
Created On 02/08/24 18:10 PM - Last Modified 05/07/24 14:02 PM


Objective


Solución de problemas de error de conexión entre el firewall y el servidor supervisado.

Environment


  • Palo Alto Firewall
  • Agente de ID de usuario integrado de PAN-OS / ID de usuario sin agente
  • Servidor-monitor host / servidor supervisado

Procedure


  1. Determine qué servidor supervisado está desconectado: 
    show user server-monitor statistics
    Use la identificación de usuarios > dispositivos de interfaz de usuario > la asignación de usuarios y compruebe la columna Estado de la ventana Supervisión del servidor.
  2. Compruebe más detalles con respecto al servidor supervisado desconectado: 
    show user server-monitor state <server-name>
  3. Compruebe la ruta de servicio desde el firewall hasta el servidor supervisado: Configuración de > de dispositivos > Servicios > Configuración de ruta de servicio > Agente UID.
  4. Si la interfaz de administración (también conocida como predeterminada) está configurada como ruta de servicio del agente UID y si las direcciones IP permitidas están configuradas en Configuración de > de dispositivos > Administración de > de interfaz, asegúrese de que la dirección IP del servidor supervisado esté incluida en esa lista.
  5. Si la interfaz del plano de datos está configurada como ruta de servicio del agente UID y si se configura un perfil de administración de interfaces para esa interfaz con direcciones IP permitidas, asegúrese de que la dirección IP del servidor supervisado esté incluida en esa lista.
  6. Asegúrese de que el nombre de usuario y la contraseña de la cuenta de servicio, que el agente de ID de usuario usará para acceder a los servidores supervisados, estén actualizados. ( Este paso es aplicable cuando se supervisan servidores y controladores de dominio de Exchange).
  7. El estado del servidor supervisado que se encuentra en la salida del comando en los servidores de directorio en un estado de error puede ser:
    1. Tiempo de espera de conexión
    2. Kerberos Error
    3. Conexión rechazada
    4. Acceso denegado
    5. No conectado
  8. Si el estado del servidor supervisado se muestra como Tiempo de espera de conexión , compruebe la conexión de red al servidor.
    1. Compruebe si el cortafuegos puede llegar al servidor, esto se puede comprobar haciendo ping al servidor o utilizando traceroute. Si la ruta de servicio al servidor supervisado es la interfaz mgmt, utilice el comando CLI: 
      ping host <IP address of the monitored server>
traceroute host <IP address of the monitored server>
      Si la memoria de servicio al servidor supervisado es la interfaz del plano de datos, utilice el comando de la CLI: 
      ping source <IP address of the dataplane interface> host <IP address of the monitored server>

traceroute source <IP address of the dataplane interface> host <IP address of the monitored server>
  9. Si el estado del servidor supervisado se muestra como Error de Kerberos , lea el registro de ID de usuario 
    less mp-log user-id.log
    y busque los códigos de error de Kerberos. Algunos errores vistos en el campo se enumeran en la sección de información adicional con su significado y los pasos de corrección adecuados: 
    Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error -1765328228.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2076): failed to get krb5 tgt ticket with error -1765328366.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error 11.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error 145.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2073): failed to get krb5 tgt ticket with error 16.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2074): failed to get krb5 tgt ticket with error -1765328237.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328378.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328370.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328360.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328316.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328353. 
  10. Si el estado del servidor supervisado se muestra como Conexión rechazada, lea los registros de ID de usuario:
    1. Si el mensaje que se ve es similar a: 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 0, error: Couldn't connect to server in vsys 1
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1
      refiérase a Estado de supervisión del servidor atascado en "Conexión rechazada (0)" cuando se usa WinRM-HTTP/WinRM-HTTPS.
    2. Si el mensaje que se ve es similar a: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1
      refiérase a Mensaje de error: El certificado del mismo nivel no se puede autenticar con certificados de CA determinados y la supervisión del servidor mediante WinRM-HTTPS El estado muestra "Conexión rechazada (0)" después de la renovación del certificado del servidor.
    3. Si el mensaje que se ve es similar a: 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: SSL peer certificate or SSH remote key was not OK in vsys
      consulte Error al conectarse a WINRM a través de https , No se pueden obtener restricciones básicas.
    4. Si el mensaje que se ve es similar a: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 401, error: (null) in vsys 1

      Si usa WinRM-HTTP, considere si es necesario cambiar a HTTPS, que es más seguro. Si usa HTTPS, asegúrese de que hay un certificado válido instalado y configurado en el controlador de dominio para WinRM. Consulte WinRM-HTTP falla con el error 401 y compruebe que se han seguido los pasos de configuración adecuados, tal y como se indica en Configurar la supervisión del servidor mediante WinRM.

  11. Si el estado del servidor supervisado se muestra como Acceso denegado , lea los registros de ID de usuario:
    1. Si el mensaje que se ve es similar a: 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 500, error: (null) in vsys 1
      siga las instrucciones de la base de conocimientos: Se requiere una cuenta de servicio dedicada Grupos de seguridad de Active Directory para el identificador de usuario sin agente de WinRM.
    2. Si el mensaje que se ve es similar a: 
      Error:  pan_user_id_win_wmic_log_query(pan_user_id_win.c:1670): log query for SPFPL-SRV-AD.shapoorjipallonjifinance.com failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
      Asegúrese de haber configurado y establecido correctamente una cuenta de servicio dedicada para el agente de ID de usuario. Para el servidor de Microsoft Windows, compruebe si el KB5014692 de parches de Windows afectado rompe WMI para el ID de usuario.
  12. Si el estado del servidor supervisado se muestra como No conectado , entonces:
    1. Compruebe si el firewall es pasivo en una configuración de alta disponibilidad A/P. 
      > show high-availability all
Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 1 days)  <<<
    Device Information:
      Si es así, este es el comportamiento esperado.Después de la conmutación por error, cuando el firewall pasivo se activa, el estado del servidor supervisado debe mostrarse como Conectado.
    2. De lo contrario, compruebe los registros de ID de usuario: si el mensaje visto es similar a: 
      Error: pan_user_id_win_log_query(pan_user_id_win.c:1349): log query for AD-Server failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
      siga las instrucciones de la base de conocimientos: Conexión de ID de usuario sin agente al servidor de Active Directory no conectado.
  13. El estado del servidor supervisado que se encuentra en el resultado del comando en los servidores Syslog se mostrará como Conectado o No conectado para el Syslog Listener configurado para usar SSL y se mostrará como N/A para el Syslog Listener configurado para usar el puerto UDP. Para comprobar si el firewall está recibiendo mensajes de registro del servidor Syslog, utilice el comando CLI: 
    show user server-monitor state all
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Server1(vsys: vsys1) Host: Server1(10.10.10.16)
number of log messages : 0   <<<<
number of auth. success messages : 0
number of active connections : 0
total connections made : 0
Proxy: Server2 UDP(vsys: vsys1) Host: Server2 UDP(10.10.10.15)
number of log messages : 0    <<<<
number of auth. success messages : 0
  1. Si nada de lo anterior ayuda a aislar el problema, recopile una captura de paquetes entre el firewall y el servidor monitoreado y, a continuación, abra un caso de soporte.
    1. Para la conexión de servidor supervisada a través de la administración de firewall, use CLI 
      tcpdump filter host <IP address of the monitored server> snaplen 0
view-pcap mgmt-pcap mgmt.pcap
    2. Para la conexión del servidor supervisado a través del plano de datos del firewall, utilice la CLI, establezca una captura de paquetes en el firewall Introducción: captura de paquetes.
    3. Para obtener información sobre qué puerto de servicio TCP se utiliza en la conexión entre el firewall y el servidor supervisado (que se encuentra en la conexión Servidores de directorio), consulte a continuación:
      1. Para WMI, la conexión inicial usa TCP/135, pero usa RPC al que se le asignan puertos aleatorios en el rango 49152-65535
      2. Para WinRM-HTTP, el puerto es TCP/5985
      3. Para WinRM-HTTPS, el puerto es TCP/5986
    4. Para obtener información sobre qué puerto de servicio se utiliza en la conexión entre el firewall y el servidor supervisado (que se encuentra en la conexión de servidores Syslog), consulte a continuación:
      1. Para la conexión UDP Syslog Listener, el puerto es UDP/514.
      2. Para la conexión SSL Syslog Listener, el puerto es TCP/6514.

Additional Information


error -1765328228: No se puede contactar con ningún KDC para el dominio '<>'. Consulte el error de Kerberos "-1765328228" observado después de configurar con WinRM-HTTP o WinRM-HTTPS para el ID de usuario sin agente .

error -1765328366: Las credenciales del cliente han sido revocadas. Consulte KDC_ERR_CLIENT_REVOKED.

error 11: El recurso no está disponible temporalmente. Siga una recomendación similar a la del código de error 0 Estado de supervisión del servidor atascado en "Conexión rechazada (0)" cuando se usa WinRM-HTTP/WinRM-HTTPS.

error 145: Se agotó el tiempo de espera de la conexión. Siga una recomendación similar a la del código de error 0 Estado de supervisión del servidor atascado en "Conexión rechazada (0)" cuando se usa WinRM-HTTP/WinRM-HTTPS.

error 16: Dispositivo o recurso ocupado. Consulte la configuración Configurar la supervisión del servidor mediante WinR. Si es necesario, use el siguiente comando para probar la autenticación con la cuenta de servicio: test authentication authentication-profile profile <authentication-profile-name> username <username>

password error -1765328237: la respuesta del KDC no coincidió con las expectativas. Consulte El estado de supervisión del servidor muestra "Error de Kerberos" cuando se usa el protocolo de transporte WinRM-HTTP.

error -1765328378: El cliente '<>' no se encuentra en la base de datos de Kerberos. Refiérase al doc.

error -1765328370: KDC no es compatible con el tipo de cifrado. Siga el siguiente artículo sobre "No se puede unirse con una cuenta de servicio después de habilitar una política de grupo para deshabilitar RC4 y habilitar AES128 y 256. KRB5KDC_ERR_ETYPE_NOSUPP (-1765328370): KDC no tiene soporte para el tipo de cifrado / (4295213)" consulte el doc.

error -1765328360: Error en la autenticación previa. El servidor de autenticación (AS) en KDC indica que la autenticación ha fallado y cierra la conexión, por lo que el proceso de autenticación no se completa, el problema está en el lado del servidor de autenticación. Marque la marca "no requerir autenticación previa Kerberos" en el AD resolvió el problema. Valide la configuración en el lado de AD mediante: Configurar la supervisión del servidor mediante WinRM .

error -1765328316: El dominio no es local para KDC. Consulte el estado de la conexión de supervisión del servidor "Error Kerberos"

 error -1765328353: Error en la comprobación de integridad de descifrado. Si usa WinRM-HTTP, considere si es necesario cambiar a HTTPS, que es más seguro. Si usa HTTPS, asegúrese de que hay un certificado válido instalado y configurado en el controlador de dominio para WinRM. Refiérase a Configuración de la Supervisión del Servidor mediante WinRM.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,291
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3mCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language