如何解决与 PAN-OS 集成 User-ID 代理的受监视服务器的连接失败问题 - Knowledge Base - Palo Alto Networks

如何解决与 PAN-OS 集成 User-ID 代理的受监视服务器的连接失败问题

18092

Created On 02/08/24 18:10 PM - Last Modified 05/07/24 14:03 PM

Objective

对防火墙和受监控服务器之间的连接故障进行故障排除。

Environment

帕洛阿尔托防火墙
PAN-OS 集成 User-ID Agent / Agentless User-ID
服务器监控主机/监控服务器

Procedure

确定哪个受监视的服务器已断开连接：
```
show user server-monitor statistics
```
使用“UI 设备”>“用户标识”>“用户映射”，并选中“服务器监控”窗口中的“状态”列。
检查有关断开连接的受监控服务器的更多详细信息：
```
show user server-monitor state <server-name>
```
检查从防火墙到受监控服务器的服务路由：设备>设置>服务> UID 代理>服务路由配置。
如果管理接口（又名默认接口）配置为 UID 代理服务路由，并且在“设备>设置”>“接口>管理”下配置了允许的 IP 地址，请确保受监视的服务器 IP 地址包含在该列表中。
如果数据平面接口配置为 UID 代理 服务路由，并且为该接口配置了具有 允许的 IP 地址的接口管理配置文件，请确保受监视的服务器 IP 地址包含在该列表中。
确保 User-ID 代理将用于访问受监视服务器的服务帐户的用户名和密码是最新的。（此步骤适用于监视 Exchange 服务器和域控制器）。
- 在“设备>用户标识”下>“用户映射”下，然后单击“Palo Alto Networks User-ID Agent Setup”的齿轮图标
- 转到 “服务器监视器帐户” 选项卡。
- 有关详细信息，请参阅使用 PAN-OS 集成用户 ID 代理配置用户映射中的步骤 5。
在处于故障状态的 目录服务器 下的命令输出中找到的受监控服务器的状态可以是：
如果受监视的服务器状态显示为 “连接超时” ，请检查与服务器的网络连接。
1. 检查防火墙是否能够访问服务器，这可以通过ping服务器或使用traceroute来检查。如果到受监控服务器的服务路由是 mgmt 接口，请使用 CLI 命令：
```
ping host <IP address of the monitored server>
traceroute host <IP address of the monitored server>
```
  如果对受监控服务器死记硬背的服务是数据平面接口，请使用 CLI 命令：
```
ping source <IP address of the dataplane interface> host <IP address of the monitored server>

traceroute source <IP address of the dataplane interface> host <IP address of the monitored server>
```

如果受监视的服务器状态显示为 Kerberos 错误 ，则读取 用户 ID 日志

less mp-log user-id.log

并搜索 Kerberos 错误代码。在字段中看到的一些错误列在附加信息部分中，包括其含义和适当的修正步骤：

Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error -1765328228.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2076): failed to get krb5 tgt ticket with error -1765328366.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2062): failed to get krb5 tgt ticket with error 11.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error 145.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2073): failed to get krb5 tgt ticket with error 16.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2074): failed to get krb5 tgt ticket with error -1765328237.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328378.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328370.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328360.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328316.
Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328353.

如果受监视的服务器状态显示为 “连接被拒绝”，请读取用户 ID 日志：
1. 如果看到的消息类似于：
```
Error: pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 0, error: Couldn't connect to server in vsys 1
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1 
```
  请参阅使用 WinRM-HTTP/WinRM-HTTPS 时服务器监控状态卡在“连接被拒绝（0）”中。
2. 如果看到的消息类似于：
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1
```
  续订服务器证书后，请参阅错误消息：无法使用给定的 CA 证书对等证书进行身份验证，并且使用 WinRM-HTTPS 的服务器监视状态显示“连接被拒绝（0）”。
3. 如果看到的消息类似于：
```
Error: pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 0, error: SSL peer certificate or SSH remote key was not OK in vsys
```
  参考无法通过 https 连接到 WINRM，无法获取基本约束。
4. 如果看到的消息类似于：
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2794): Connection failed. response code = 401, error: (null) in vsys 1
```
  如果使用的是 WinRM-HTTP，请考虑是否需要切换到更安全的 HTTPS。如果使用 HTTPS，请确保在 WinRM 的域控制器上安装并配置了有效的证书。请参阅 WinRM-HTTP 失败并出现错误 401，并检查是否遵循了使用 WinRM 配置服务器监视中列出的正确配置步骤。
如果受监视的服务器状态显示为 “拒绝访问 ”，请读取用户 ID 日志：
1. 如果看到的消息类似于：
```
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2805): Connection failed. response code = 500, error: (null) in vsys 1
```
  按照知识库知识库： WinRM 无代理用户 ID 所需的专用服务帐户 Active Directory 安全组中的说明进行操作。
2. 如果看到的消息类似于：
```
Error:  pan_user_id_win_wmic_log_query(pan_user_id_win.c:1670): log query for SPFPL-SRV-AD.shapoorjipallonjifinance.com failed: NTSTATUS: NT_STATUS_ACCESS_DENIED - Access denied
```
  确保您已正确配置并设置了 User-ID 代理的专用服务帐户。对于 Microsoft Window 服务器，请检查受 Windows 修补程序KB5014692影响是否破坏了 User-ID 的 WMI。
如果受监视的服务器状态显示为 “未连接” ，则：
1. 检查防火墙在 A/P HA 设置中是否为被动。
```
> show high-availability all
Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: passive (last 1 days)  <<<
    Device Information:
```
  如果是这样，那么这是预期行为。故障转移后，当被动防火墙变为活动状态时，受监视的服务器状态应显示为“已连接”。
2. 否则，请检查用户 ID 日志：如果看到的消息类似于：
```
Error: pan_user_id_win_log_query(pan_user_id_win.c:1349): log query for AD-Server failed: NTSTATUS: NT code 0x80041003 - NT code 0x80041003
```
  按照知识库文章中的说明操作：未连接到 Active Directory 服务器的无代理用户 ID 连接。

在 Syslog 服务器下的命令输出中找到的受监控服务器的状态将显示为“ 已连接 ”或“未连接 ”，对于配置为使用 SSL 的 Syslog 侦听器，将显示为 N/A 。要检查防火墙是否正在接收来自 Syslog 服务器的日志消息，请使用 CLI 命令：

show user server-monitor state all
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Server1(vsys: vsys1) Host: Server1(10.10.10.16)
number of log messages : 0   <<<<
number of auth. success messages : 0
number of active connections : 0
total connections made : 0
Proxy: Server2 UDP(vsys: vsys1) Host: Server2 UDP(10.10.10.15)
number of log messages : 0    <<<<
number of auth. success messages : 0

在上面的输出中，Server1 使用 SSL 连接，Server2 使用 UDP 连接
日志消息数为 0，表示防火墙未接收来自 Syslog 侦听器的日志消息。
上述命令的输出还有助于验证防火墙用于收集用户映射的接口上是否启用了“User-ID Syslog Listener-SSL”或“User-ID Syslog Listener-UDP”。
可以使用有关如何配置自定义 Syslog 发送程序和测试用户映射的指南和将 PAN-OS 集成用户 ID 代理配置为 Syslog 侦听器的指南来配置 Syslog 侦听器。

如果上述方法都无助于隔离问题，则在防火墙和受监视服务器之间收集数据包捕获，然后打开支持案例。
1. 要通过防火墙管理进行受监控的服务器连接，请使用 CLI
```
tcpdump filter host <IP address of the monitored server> snaplen 0
view-pcap mgmt-pcap mgmt.pcap
```
2. 要通过防火墙数据平面进行受监控的服务器连接，请使用 CLI，在防火墙入门：数据包捕获中设置数据包捕获。
3. 有关在防火墙和受监视服务器（ 位于“目录服务器”下）连接之间的连接中使用哪个 TCP 服务端口的信息，请参阅以下内容：
  1. 对于 WMI，初始连接使用 TCP/135，但使用 RPC，RPC 在 49152-65535 范围内分配随机端口
  2. 对于 WinRM-HTTP，端口为 TCP/5985
  3. 对于 WinRM-HTTPS，端口为 TCP/5986
4. 有关防火墙与受监控服务器（位于 Syslog 服务器下）连接之间的连接中使用哪个服务端口的信息，请参阅以下内容：
  1. 对于 UDP Syslog 侦听器连接，端口为 UDP/514。
  2. 对于 SSL Syslog 侦听器连接，端口为 TCP/6514。

Additional Information

error -1765328228：无法联系领域“<>”的任何 KDC。请参阅使用 WinRM-HTTP 或 WinRM-HTTPS 配置无代理用户 ID 后观察到的 Kerberos 错误“-1765328228” 。

error -1765328366：客户端的凭据已被吊销。请参阅KDC_ERR_CLIENT_REVOKED。

错误 11：资源暂时不可用。使用 WinRM-HTTP/WinRM-HTTPS 时，请遵循与错误代码 0 服务器监视状态卡在“连接被拒绝（0）”类似的建议。

错误 145：连接超时。使用 WinRM-HTTP/WinRM-HTTPS 时，请遵循与错误代码 0 服务器监视状态卡在“连接被拒绝（0）”类似的建议。

错误 16：设备或资源繁忙。请参阅配置使用 WinR 配置服务器监视。如果需要，请使用以下命令测试服务帐户的身份验证：test authentication authentication-profile <authentication-profile-name> username <username> password

error -1765328237： KDC reply does not match expected. 请参阅使用 WinRM-HTTP 传输协议时服务器监视状态显示“Kerberos 错误”。

错误 -1765328378：在 Kerberos 数据库中找不到客户端“<>”。请参阅文档。

错误 -1765328370：KDC 不支持加密类型。按照以下关于“启用组策略以禁用 RC4 并启用 AES128 和 256 后无法使用服务帐户加入”的文章进行操作。 KRB5KDC_ERR_ETYPE_NOSUPP （-1765328370）：KDC 不支持加密类型/（4295213）“请参阅文档。

错误 -1765328360：预身份验证失败。 KDC 上的身份验证服务器（AS）指出身份验证失败并关闭连接，因此身份验证过程未完成，问题出在身份验证服务器端。选中标记 AD 中的“不需要 kerberos 预身份验证”解决了问题。使用以下命令验证 AD 端的配置：使用 WinRM 配置服务器监控。

错误 -1765328316：领域不是 KDC 本地的。请参阅服务器监控连接状态“Kerberos error”

错误 -1765328353：解密完整性检查失败。如果使用的是 WinRM-HTTP，请考虑是否需要切换到更安全的 HTTPS。如果使用 HTTPS，请确保在 WinRM 的域控制器上安装并配置了有效的证书。请参阅使用 WinRM 配置服务器监视。

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)