Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment résoudre les problèmes d’échec de connexion au serveur ... - Knowledge Base - Palo Alto Networks

Comment résoudre les problèmes d’échec de connexion au serveur surveillé pour l’agent d’identification utilisateur intégré à PAN-OS

18165
Created On 02/08/24 18:10 PM - Last Modified 05/07/24 14:03 PM


Objective


Dépannage de l’échec de connexion entre le pare-feu et le serveur surveillé.

Environment


  • Pare-feu De Palo Alto
  • ID utilisateur intégré PAN-OS Agent / User-ID sans agent
  • Hôte/serveur surveillé

Procedure


  1. Déterminez quel serveur surveillé est déconnecté : 
    show user server-monitor statistics
    Utilisez l’interface utilisateur Identification de l’appareil > de l’utilisateur > Mappage de l’utilisateur et vérifiez la colonne État dans la fenêtre Surveillance du serveur.
  2. Vérifiez plus de détails en ce qui concerne le serveur surveillé déconnecté : 
    show user server-monitor state <server-name>
  3. Vérifiez l’itinéraire du service entre le pare-feu et le serveur surveillé : Configuration de l’appareil > > Services > Configuration de l’itinéraire de service > Agent UID.
  4. Si l’interface de gestion (c’est-à-dire par défaut) est configurée en tant qu’itinéraire de service de l’agent UID et si les adresses IP autorisées sont configurées sous Configuration de l’appareil > > Gestion de l’interface >, assurez-vous que l’adresse IP du serveur surveillé est incluse dans cette liste.
  5. Si l’interface du plan de données est configurée en tant qu’itinéraire de service de l’agent UID et si un profil de gestion d’interface est configuré pour cette interface avec les adresses IP autorisées, assurez-vous que l’adresse IP du serveur surveillé est incluse dans cette liste.
  6. Assurez-vous que le nom d’utilisateur et le mot de passe du compte de service, que l’agent User-ID utilisera pour accéder aux serveurs surveillés, sont à jour. (Cette étape s’applique lors de la surveillance des serveurs Exchange et des contrôleurs de domaine).
  7. L’état du serveur surveillé trouvé dans la sortie de la commande sous l’état Serveurs d’annuaire en état d’échec peut être :
    1. Délai d’expiration de la connexion
    2. Erreur Kerberos
    3. Connexion refusée
    4. Accès refusé
    5. Non connecté
  8. Si l’état du serveur surveillé indique Délai d’expiration de la connexion, vérifiez la connexion réseau au serveur.
    1. Vérifiez si le pare-feu est capable d’atteindre le serveur, cela peut être vérifié en envoyant un ping au serveur ou en utilisant traceroute. Si l’itinéraire de service vers le serveur surveillé est l’interface de gestion, utilisez la commande CLI : 
      ping host <IP address of the monitored server>
traceroute host <IP address of the monitored server>
      Si le service rote vers le serveur surveillé est l’interface du plan de données, utilisez la commande CLI : 
      ping source <IP address of the dataplane interface> host <IP address of the monitored server>

traceroute source <IP address of the dataplane interface> host <IP address of the monitored server>
  9. Si l’état du serveur surveillé s’affiche sous la forme d’une erreur Kerberos , lisez le journal de l’ID utilisateur 
    less mp-log user-id.log
    et recherchez les codes d’erreur Kerberos. Certaines erreurs observées sur le terrain sont répertoriées dans la section Informations supplémentaires avec leur signification et les étapes de correction appropriées : 
    Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error -1765328228.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2076): failed to get krb5 tgt ticket with error -1765328366.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error 11.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error 145.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2073): failed to get krb5 tgt ticket with error 16.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2074): failed to get krb5 tgt ticket with error -1765328237.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328378.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328370.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328360.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328316.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328353. 
  10. Si l’état du serveur surveillé indique Connexion refusée, lisez les journaux de l’ID utilisateur :
    1. Si le message qui s’affiche est similaire à : 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 0, error: Couldn't connect to server in vsys 1
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1
      reportez-vous à l’état de surveillance du serveur bloqué dans « Connexion refusée (0) » lors de l’utilisation de WinRM-HTTP/WinRM-HTTPS.
    2. Si le message qui s’affiche est similaire à : 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1
      reportez-vous à Message d’erreur : Le certificat homologue ne peut pas être authentifié avec des certificats d’autorité de certification donnés et l’état de la surveillance du serveur à l’aide de WinRM-HTTPS affiche « Connexion refusée (0) » après le renouvellement du certificat du serveur.
    3. Si le message qui s’affiche est similaire à : 
      Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: SSL peer certificate or SSH remote key was not OK in vsys
      reportez-vous à Échec de la connexion à WINRM via https , Impossible d’obtenir les contraintes de base.
    4. Si le message qui s’affiche est similaire à : 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 401, error: (null) in vsys 1

      Si vous utilisez WinRM-HTTP, demandez-vous s'il est nécessaire de passer à HTTPS, qui est plus sécurisé. Si vous utilisez HTTPS, assurez-vous qu’un certificat valide est installé et configuré sur le contrôleur de domaine pour WinRM. Reportez-vous à WinRM-HTTP échoue avec l’erreur 401 et vérifiez que les étapes de configuration appropriées ont été suivies, comme indiqué dans Configurer la surveillance du serveur à l’aide de WinRM.

  11. Si l’état du serveur surveillé est Accès refusé , lisez les journaux de l’ID utilisateur :
    1. Si le message qui s’affiche est similaire à : 
      Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 500, error: (null) in vsys 1
      suivez les instructions de la base de connaissances : Groupes de sécurité Active Directory requis pour WinRM Agentless User-ID.
    2. Si le message qui s’affiche est similaire à : 
      Error:  pan_user_id_win_wmic_log_query(pan_user_id_win.c:1670): log query for SPFPL-SRV-AD.shapoorjipallonjifinance.com failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
      Assurez-vous d’avoir correctement configuré et défini un compte de service dédié pour l’agent d’ID utilisateur. Pour le serveur Microsoft Windows, vérifiez si le correctif affecté par Windows KB5014692 casse WMI pour l’ID utilisateur.
  12. Si l’état du serveur surveillé est Non connecté , alors :
    1. Vérifiez si le pare-feu est passif dans une configuration AH A/P. 
      > show high-availability all
Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 1 days)  <<<
    Device Information:
      Si c’est le cas, il s’agit d’un comportement attendu.Après le basculement, lorsque le pare-feu passif devient actif, l’état du serveur surveillé doit s’afficher comme Connecté.
    2. Sinon, vérifiez les journaux de l’identifiant de l’utilisateur : si le message affiché est similaire à : 
      Error: pan_user_id_win_log_query(pan_user_id_win.c:1349): log query for AD-Server failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
      suivez les instructions de la base de connaissances : Connexion d’ID utilisateur sans agent au serveur Active Directory non connecté.
  13. L’état du serveur surveillé trouvé dans la sortie de la commande sous les serveurs Syslog s’affichera comme Connecté ou Non connecté pour Syslog Listener configuré pour utiliser SSL et s’affichera comme N/A pour Syslog Listener configuré pour utiliser le port UDP. Pour vérifier si le pare-feu reçoit des messages de journal du serveur Syslog, utilisez la commande CLI : 
    show user server-monitor state all
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Server1(vsys: vsys1) Host: Server1(10.10.10.16)
number of log messages : 0   <<<<
number of auth. success messages : 0
number of active connections : 0
total connections made : 0
Proxy: Server2 UDP(vsys: vsys1) Host: Server2 UDP(10.10.10.15)
number of log messages : 0    <<<<
number of auth. success messages : 0
  1. Si aucune des solutions ci-dessus ne permet d’isoler le problème, collectez une capture de paquets entre le pare-feu et le serveur surveillé, puis ouvrez un dossier de support.
    1. Pour la connexion au serveur surveillée via la gestion du pare-feu, utilisez l’interface de ligne de commande 
      tcpdump filter host <IP address of the monitored server> snaplen 0
view-pcap mgmt-pcap mgmt.pcap
    2. Pour une connexion au serveur surveillée via le plan de données du pare-feu, utilisez l’interface de ligne de commande, définissez une capture de paquets sur le pare-feu Mise en route : capture de paquets.
    3. Pour plus d’informations sur le port de service TCP utilisé dans la connexion entre le pare-feu et le serveur surveillé (qui se trouve sous la connexion Serveurs d’annuaire), reportez-vous à ce qui suit :
      1. Pour WMI, la connexion initiale utilise TCP/135, mais utilise RPC qui se voit attribuer des ports aléatoires dans la plage 49152-65535
      2. Pour WinRM-HTTP, le port est TCP/5985
      3. Pour WinRM-HTTPS, le port est TCP/5986
    4. Pour plus d’informations sur le port de service utilisé dans la connexion entre le pare-feu et le serveur surveillé (qui se trouve sous la connexion Serveurs Syslog), reportez-vous à ce qui suit :
      1. Pour la connexion UDP Syslog Listener, le port est UDP/514.
      2. Pour la connexion SSL Syslog Listener, le port est TCP/6514.

Additional Information


erreur -1765328228 : Impossible de contacter un KDC pour le domaine '<>'. Reportez-vous à l’erreur Kerberos « -1765328228 » observée après la configuration avec WinRM-HTTP ou WinRM-HTTPS pour l’ID utilisateur sans agent .

error -1765328366 : Les informations d'identification du client ont été révoquées. Reportez-vous à KDC_ERR_CLIENT_REVOKED.

erreur 11 : Ressource temporairement indisponible. Suivez les mêmes recommandations que pour le code d’erreur 0 État de surveillance du serveur bloqué dans « Connexion refusée (0) » lors de l’utilisation de WinRM-HTTP/WinRM-HTTPS.

Erreur 145 : La connexion a expiré. Suivez les mêmes recommandations que pour le code d’erreur 0 État de surveillance du serveur bloqué dans « Connexion refusée (0) » lors de l’utilisation de WinRM-HTTP/WinRM-HTTPS.

Erreur 16 : Périphérique ou ressource occupé. Reportez-vous à la section configuration Configurer la surveillance du serveur à l’aide de WinR. Si nécessaire, utilisez la commande suivante pour tester l’authentification avec le compte de service : test authentication authentication-profile <authentication-profile-name> username <username> password

error -1765328237 : La réponse KDC n’a pas répondu aux attentes. Reportez-vous à l’état de la surveillance du serveur indiquant « Erreur Kerberos » lors de l’utilisation du protocole de transport WinRM-HTTP.

erreur -1765328378 : Le client '<>' introuvable dans la base de données Kerberos. Reportez-vous au doc.

erreur -1765328370 : KDC ne prend pas en charge le type de chiffrement. Suivez l’article ci-dessous sur « Impossible de se joindre à un compte de service après avoir activé une stratégie de groupe pour désactiver RC4 et activer AES128 et 256. KRB5KDC_ERR_ETYPE_NOSUPP (-1765328370) : KDC ne prend pas en charge le type de chiffrement/(4295213)" reportez-vous à la doc.

erreur -1765328360 : Échec de la pré-authentification. Le serveur d’authentification (AS) sur KDC indique que l’authentification a échoué et ferme la connexion afin que le processus d’authentification ne soit pas terminé, le problème se situe du côté du serveur d’authentification. Cochez la case « Ne pas exiger la préauthentification Kerberos » dans l’AD a résolu le problème. Validez votre configuration côté AD à l’aide de : Configurer la surveillance du serveur à l’aide de WinRM .

error -1765328316 : Domaine non local à KDC. Reportez-vous à l’état de la connexion de surveillance du serveur « Erreur Kerberos »

erreur -1765328353 : Échec de la vérification de l’intégrité du déchiffrement.  Si vous utilisez WinRM-HTTP, demandez-vous s'il est nécessaire de passer à HTTPS, qui est plus sécurisé. Si vous utilisez HTTPS, assurez-vous qu’un certificat valide est installé et configuré sur le contrôleur de domaine pour WinRM. Reportez-vous à la section Configurer la surveillance du serveur à l’aide de WinRM.
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,577
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008X3mCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language