PAN-OS 統合 User-ID Agent の監視対象サーバーへの接続エラーのトラブルシューティング方法 - Knowledge Base - Palo Alto Networks

PAN-OS 統合 User-ID Agent の監視対象サーバーへの接続エラーのトラブルシューティング方法

18157

Created On 02/08/24 18:10 PM - Last Modified 05/07/24 14:03 PM

Objective

ファイアウォールと監視対象サーバー間の接続エラーのトラブルシューティング。

Environment

パロアルトファイアウォール
PAN-OS 統合 User-ID エージェント/エージェントレス User-ID
サーバ監視ホスト/監視対象サーバ

Procedure

どの監視対象サーバーが切断されているかを確認します。
```
show user server-monitor statistics
```
UI の [Device > User Identification > User Mapping] を使用して、[Server Monitoring] ウィンドウの [Status] 列を確認します。
切断された監視対象サーバーに関する詳細を確認します。
```
show user server-monitor state <server-name>
```
ファイアウォールから監視対象サーバへのサービスルートを確認します:デバイス>セットアップ>サービス>サービスルート設定>UIDエージェント。
管理インターフェイス(別名デフォルト)が UIDエージェント サービスルートとして設定されており、許可されたIPアドレス がデバイス>セットアップ>インターフェイス>管理で設定されている場合は、監視対象サーバのIPアドレスがそのリストに含まれていることを確認します。
データプレーンインターフェイスが UID エージェント サービスルートとして設定されていて、 許可された IP アドレスを使用してそのインターフェイスにインターフェイス管理プロファイルが設定されている場合は、監視対象サーバの IP アドレスがそのリストに含まれていることを確認します。
User-ID エージェントが監視対象サーバーへのアクセスに使用するサービスアカウントのユーザー名とパスワードが最新であることを確認します。 (この手順は、Exchange サーバーとドメインコントローラーを監視する場合に適用されます)。
- [Device > User Identification > User Mapping] で、Palo Alto Networks User-ID Agent Setup の歯車アイコンをクリックします。
- Server Monitor Accountタブに移動します。
- 詳細については、PAN-OS 統合 User-ID エージェントを使用したユーザマッピングの設定のステップ 5 を参照してください。
コマンドの出力で見つかった監視対象サーバのステータスは、障害ステータスの Directory Servers の次のいずれかになります。
監視対象サーバーのステータスが [接続タイムアウト ] と表示されている場合は、サーバーへのネットワーク接続を確認します。
1. ファイアウォールがサーバーに到達できるかどうかを確認しますこれは、サーバーにpingを実行するか、tracerouteを使用して確認できます。監視対象サーバへのサービスルートが管理インターフェイスの場合は、CLI コマンドを使用します。
```
ping host <IP address of the monitored server>
traceroute host <IP address of the monitored server>
```
  監視対象サーバへのサービスがデータプレーンインターフェイスである場合は、CLIコマンドを使用します。
```
ping source <IP address of the dataplane interface> host <IP address of the monitored server>

traceroute source <IP address of the dataplane interface> host <IP address of the monitored server>
```

監視対象サーバーのステータスが「Kerberosエラー」と表示されている場合は、ユーザーIDログを読み取ります

less mp-log user-id.log

をクリックし、 Kerberos エラーコードを検索します。フィールドで見られるいくつかのエラーは、その意味と適切な修復手順とともに「追加情報」セクションに一覧表示されます。

Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error -1765328228.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2076): failed to get krb5 tgt ticket with error -1765328366.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error 11.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error 145.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2073): failed to get krb5 tgt ticket with error 16.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2074): failed to get krb5 tgt ticket with error -1765328237.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328378.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328370.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328360.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328316.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328353.

監視対象サーバーのステータスが 「接続拒否」と表示されている場合は、ユーザーIDログを読み取ります。
1. 表示されるメッセージが次のような場合:
```
Error: pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 0, error: Couldn't connect to server in vsys 1
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1 
```
  WinRM-HTTP/WinRM-HTTPS使用時にサーバー監視ステータスが「接続拒否(0)」でスタックするを参照してください。
2. 表示されるメッセージが次のような場合:
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1
```
  「エラーメッセージ:ピア証明書は特定のCA証明書で認証できません」および「WinRM-HTTPSステータスを使用したサーバー監視」にサーバー証明書の更新後に「接続拒否(0)」と表示されます。
3. 表示されるメッセージが次のような場合:
```
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: SSL peer certificate or SSH remote key was not OK in vsys
```
  「Failed to connect to WINRM over https」を参照し、基本的な制約を取得できません。
4. 表示されるメッセージが次のような場合:
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 401, error: (null) in vsys 1
```
  WinRM-HTTP を使用している場合は、より安全な HTTPS に切り替える必要があるかどうかを検討してください。 HTTPS を使用する場合は、WinRM のドメインコントローラーに有効な証明書がインストールされ、構成されていることを確認します。「WinRM-HTTP がエラー 401 で失敗する」を参照し、「WinRM を使用したサーバー監視の構成」に記載されている適切な構成手順に従ったことを確認します。
監視対象サーバーのステータスが [アクセス拒否 ] と表示されている場合は、ユーザー ID ログを読みます。
1. 表示されるメッセージが次のような場合:
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 500, error: (null) in vsys 1
```
  「KB: Dedicated Service Account required Active Directory Security Groups for WinRM Agentless User-ID (WinRM エージェントレスユーザー ID に必要な専用サービスアカウント Active Directory セキュリティグループ)」の指示に従います。
2. 表示されるメッセージが次のような場合:
```
Error:  pan_user_id_win_wmic_log_query(pan_user_id_win.c:1670): log query for SPFPL-SRV-AD.shapoorjipallonjifinance.com failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
```
  User-ID Agent の専用サービスアカウントが正しく設定されていることを確認します。 Microsoft Window Server の場合、Windows パッチ KB5014692の影響を受けると User-ID の WMI が壊れるかどうかを確認します。
監視対象サーバーのステータスが 「未接続 」と表示されている場合は、次の操作を行います。
1. ファイアウォールが A/P HA セットアップでパッシブかどうかを確認します。
```
> show high-availability all
Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 1 days)  <<<
    Device Information:
```
  もしそうなら、これは正常な動作です。フェイルオーバー後、パッシブファイアウォールがアクティブになると、監視対象のサーバーの状態は [接続済み] と表示されます。
2. そうでない場合は、user-id logs: 次のようなメッセージが表示されるかどうかを確認します。
```
Error: pan_user_id_win_log_query(pan_user_id_win.c:1349): log query for AD-Server failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
```
  「ナレッジベース: Active Directory サーバへのエージェントレスユーザ ID 接続が接続されていません」の手順に従います。
Syslogサーバの下のコマンドの出力で見つかった監視対象サーバのステータスは、SSLを使用するように設定されたSyslogリスナーの場合は[接続済み]または[未接続]と表示され、UDPポートを使用するように設定されたSyslogリスナーの場合は[N/A]と表示されます。ファイアウォールがSyslogサーバからログメッセージを受信しているかどうかを確認するには、CLIコマンドを使用します。
```
show user server-monitor state all
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Server1(vsys: vsys1) Host: Server1(10.10.10.16)
number of log messages : 0   <<<<
number of auth. success messages : 0
number of active connections : 0
total connections made : 0
Proxy: Server2 UDP(vsys: vsys1) Host: Server2 UDP(10.10.10.15)
number of log messages : 0    <<<<
number of auth. success messages : 0
```

上記の出力では、Server1 は SSL 接続を使用し、Server2 は UDP 接続を使用します
ログメッセージの数は 0 で、ファイアウォールが Syslog リスナーからログメッセージを受信していないことを示します。
上記のコマンドの出力は、ファイアウォールがユーザマッピングの収集に使用するインターフェイスで「User-ID Syslog Listener-SSL」または「User-ID Syslog Listener-UDP」が有効になっているかどうかを確認するのにも役立ちます。
Syslog リスナーは、How to Configures a Custom Syslog Sender and Test User Mappings のガイドとガイドの PAN-OS Integrated User-ID Agent as a Syslog Listener を使用して設定できます。

上記のいずれも問題の切り分けに役立たない場合は、ファイアウォールと監視対象サーバー間のパケットキャプチャを収集し、サポートケースを開きます。
1. ファイアウォール管理による監視対象サーバー接続の場合は、CLIを使用します
```
tcpdump filter host <IP address of the monitored server> snaplen 0
view-pcap mgmt-pcap mgmt.pcap
```
2. ファイアウォールデータプレーン経由の監視対象サーバ接続で CLI を使用する場合は、ファイアウォールでパケットキャプチャを設定します(Getting Started: Packet Capture)。
3. ファイアウォールと監視対象サーバー( ディレクトリサーバーの下にあります)間の接続で使用されるTCPサービスポートについては、以下を参照してください。
  1. WMI の場合、初期接続では TCP/135 が使用されますが、49152 から 65535 の範囲のランダムなポートが割り当てられる RPC が使用されます
  2. WinRM-HTTP の場合、ポートは TCP/5985 です
  3. WinRM-HTTPS の場合、ポートは TCP/5986 です
4. ファイアウォールと監視対象サーバー( Syslogサーバーの下にあります)間の接続で使用されるサービスポートについては、以下を参照してください。
  1. UDP Syslog リスナー接続の場合、ポートは UDP/514 です。
  2. SSL Syslog リスナー接続の場合、ポートは TCP/6514 です。

Additional Information

エラー-1765328228:レルム '<>'のKDCに接続できません。エージェントレスユーザ ID の WinRM-HTTP または WinRM-HTTPS を使用した設定後に発生する Kerberos エラー「-1765328228」を参照してください。

エラー -1765328366: クライアントの資格情報が取り消されました。 KDC_ERR_CLIENT_REVOKEDを参照してください。

エラー 11: リソースが一時的に使用できません。 WinRM-HTTP/WinRM-HTTPS の使用時にエラーコード 0 サーバー監視状態が "接続拒否 (0)" でスタックする場合と同様の推奨事項に従います。

エラー 145: 接続がタイムアウトしました。 WinRM-HTTP/WinRM-HTTPS の使用時にエラーコード 0 サーバー監視状態が "接続拒否 (0)" でスタックする場合と同様の推奨事項に従います。

エラー 16: デバイスまたはリソースがビジー状態です。構成「WinR を使用したサーバー監視の構成」を参照してください。必要に応じて、次のコマンドを使用して、サービスアカウントでの認証をテストします: test authentication authentication-profile <authentication-profile-name> username <username> password

error -1765328237: KDC reply did not match expectations. 「WinRM-HTTP トランスポートプロトコルの使用時にサーバー監視の状態に "Kerberos エラー" が表示される」を参照してください。

エラー-1765328378:クライアント '<>' が Kerberos データベースに見つかりません。ドキュメントを参照してください。

エラー -1765328370: KDC は暗号化タイプをサポートしていません。以下の記事「RC4を無効にし、AES128および256を有効にするグループポリシーを有効にした後、サービスアカウントで参加できません。 KRB5KDC_ERR_ETYPE_NOSUPP (-1765328370): KDC has no support for encryption type/ (4295213)」を参照してください。

エラー -1765328360: 事前認証に失敗しました。 KDCの認証サーバ(AS)は、認証に失敗したことを示し、接続を閉じるため、認証プロセスが完了していないという問題は、認証サーバ側にあります。 ADの「Kerberos事前認証を必要としない」にチェックを入れると、問題が解決しました。「WinRM を使用したサーバー監視の設定」を使用して、AD 側で設定を検証します。

エラー -1765328316: レルムが KDC に対してローカルではありません。「サーバー監視接続ステータス「Kerberosエラー」

エラー-1765328353:復号化整合性チェックに失敗しました。 WinRM-HTTP を使用している場合は、より安全な HTTPS に切り替える必要があるかどうかを検討してください。 HTTPS を使用する場合は、WinRM のドメインコントローラーに有効な証明書がインストールされ、構成されていることを確認します。「WinRM を使用したサーバー監視の構成」を参照してください。

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)