接続障害のトラブルシューティング方法LDAPサーバー

• Firewall
• LDAP サーバ

1. からfirewallCLI、への接続を確認してくださいLDAPサーバーは次を使用しています。

> debug authentication connection-show

2. チェックしてくださいfirewall次のイベントID「auth-server-down」のシステムログこれは、UI [モニター]>[ログ]>[次のフィルターを使用するシステム]（eventid eq auth-server-down）またはCLI次のコマンドを使用します。

> show log system direction equal backward eventid equal "auth-server-down"

3. にFirewall、へのサービスルートを確認してくださいLDAPサーバーデバイス>セットアップ>サービス>サービスルート構成>カスタマイズをクリック>LDAP ：

1. 小切手IP間の接続firewallそしてそのLDAPサーバ。

   > ping host <IP address of LDAP server>

   pingが成功した場合は、（b）に進みます。それ以外の場合は、ネットワーク上の物理レイヤー1とデータリンクレイヤー2を確認します。
2. 次の場所へのtracerouteチェックを実行します。LDAPサーバ：

   > traceroute host <IP address of the LDAP server>

   同様に、からtracerouteチェックを実行しますLDAP経営陣にIPのアドレスfirewall。
3. 許可されたチェックIPアドレス（[デバイス]>[セットアップ]>[インターフェイス]>[管理]>[許可]をクリックしますIP住所）
4. でtcpdumpを実行しますfirewallこのコマンドを使用する管理インターフェイスTCPポートは389です。それ以外の場合は、389を対応するポート番号に置き換えます。

   > tcpdump filter "port 389" snaplen 0

5. tcpdumpパケットキャプチャをscpまたはtftpサーバーにエクスポートし、それをルートに分析して、間の接続の問題を引き起こしますfirewallそしてそのLDAPサーバ。

   > scp export mgmt-pcap from mgmt.pcap to username@host:path

   でパケットキャプチャを取得しますLDAPサーバ
   前の手順からのtcpdumpキャプチャで探すべきもの
   の完了を探しますTCPハンドシェーク。 3wayハンドシェイクが完了しない場合は、中間デバイスがこのトラフィックをドロップしている可能性があるかどうかを確認してください。
   使用する場合TLS次に、SSLハンドシェイクが完了しました。 の場合SSLハンドシェイクが完了しない場合は、SSLの証明書LDAPサーバーの有効期限が切れていません。
   ハンドシェイクが完了したら、2つのデバイスのPCAPを比較して、接続を閉じていない可能性のあるデバイスを特定します。

4. サービスルートがデータプレーンインターフェイスの場合、firewallCLI ：
   1. 小切手IP間の接続firewallデータプレーンインターフェイスとLDAPサーバ。

      > ping source <IP address of the dataplane interface> host <IP address of LDAP server>

      pingが成功した場合は、bに進みます。それ以外の場合は、ネットワーク上の物理レイヤー1とデータリンクレイヤー2を確認します。
   2. 次の場所へのtracerouteチェックを実行します。LDAPサーバ：

      > traceroute source <IP address of the dataplane interface> host <IP address of the LDAP server>

      同様に、からtracerouteチェックを実行しますLDAPサーバーのコマンドラインからIPのデータプレーンのアドレスfirewall。
   3. 小切手TCP間の接続firewallそしてそのLDAPを使用してデータプレーンでパケットキャプチャを実行することにより、サーバーGUI。ナレッジベースを確認するはじめに：パケットキャプチャ
   4. のセッションの詳細を確認してくださいfirewallCLI。

      > show session all filter source <IP address of the dataplane interface> destination <IP address of the LDAP server>

      破棄された場合、セッションはアクティブと表示されます。firewall安全policy、NATおよびルーティング。
   5. 上記のチェックが行われた場合は、あるかどうかをチェックしますfirewallまたは、ネットワーク内のデバイスがこの接続をブロックしています。

tail mp-log authd.log

2022-07-14 11:55:59.619 -0700 Error: pan_authd_ldap_bind(pan_authd_shared_ldap.c:646): Failed to bind ldap (Can't contact LDAP server)
2022-07-14 11:55:59.620 -0700 Error: pan_auth_create_a_ldap_session(pan_auth_svr_cctxt.c:2038): Failed to bind, get out
2022-07-14 11:55:59.620 -0700 Error: _recreate_a_ldap_session(pan_auth_service_handle.c:538): failed to re-create 0th LDAP session for server: 10.16.0.14:389
2022-07-14 11:55:59.620 -0700 LDAP auth server 10.16.0.14 is down !!!

2022-07-14 11:55:59.620 -0700 debug: auth_svr_set_flag_retry_interval(pan_auth_svr.c:746): set retry-interval flag to "true" at Thu Jul 14 11:55:59 2022
2022-07-14 11:55:59.620 -0700 debug: _start_sync_auth(pan_auth_service_handle.c:617): _report_server_not_avail() succeeded
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4322): auth status: auth server not available
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4562): Auth FAILED for user "user-id" thru <"ldap-auth-profile", "shared">: remote server 10.16.0.14 of server profile "LDAP-NEW" is down, or in retry interval, or request timed out (elapsed time 30 secs, max allowed 60 secs)
2022-07-14 11:55:59.620 -0700 debug: pan_auth_response_process(pan_auth_state_engine.c:4601): Authentication failed: <profile: "ldap-auth-profile", vsys: "shared", username "user-id">