So beheben Sie einen Verbindungsfehler zum User-AgentID
40657
Created On 08/10/22 18:51 PM - Last Modified 02/09/24 21:39 PM
Objective
Fehlerbehebung bei Verbindungsfehlern zwischen firewall und User-AgentID auf PAN-OS 10.0 und höher.
Environment
- Palo Alto Firewall
- Benutzer-ID Agent
- PAN-OS 10.0 und höher
Procedure
- Bestimmen Sie, welcher User-AgentID getrennt ist:
- Verwenden Sie für den User-Agent des Protokolls Version 5 (Windows-User-AgentIDID oder mit Version 9.1 oder firewall früher) CLI
show user user-id-agent statistics
- Für andere User-Agent-ProtokolleID Version 6 (Firewall mit 10.0 oder höher) lautet das CLI :
show redistribution agent statistics
- Verwenden Sie für den User-Agent des Protokolls Version 5 (Windows-User-AgentIDID oder mit Version 9.1 oder firewall früher) CLI
Verwenden Sie Device > Data Redistribution > Agents, und überprüfen Sie UI die Spalte Verbunden.
- Überprüfen Sie weitere Details in Bezug auf den getrennten User-AgentenID :
- Verwenden Sie für User-Agent Version 5 (Windows-User-AgentIDID oder Version 9.1 oder firewall früher) CLI
show user user-id-agent state <user-id-agent name>
- Für User-AgentID Version 6 (Firewall mit 10.0 oder höher) ist das CLI :
show redistribution agent state <user-id-agent name>
- Verwenden Sie für User-Agent Version 5 (Windows-User-AgentIDID oder Version 9.1 oder firewall früher) CLI
- Überprüfen Sie die Serviceroute vom firewall zum User-AgentID : Device > Setup > Services > Service Route Configuration > UID Agent
- Wenn zulässige Adressen konfiguriert sind, überprüfen Sie für die Dienstroute des Verwaltungsagenten (auch als Standard UID bezeichnet) unter Device > Setup > Interface > Management > Network Services, wenn zulässige IP Adressen konfiguriert sind, ob dieID Benutzer-Agent-Adressen in dieser Liste enthalten sind, und aktivieren Sie das Kontrollkästchen Benutzer-, wenn Sie als Benutzer-ID-AgentID für andere Firewalls fungieren möchtenfirewall. Ähnliche Überprüfungen können unter Network > Network Profiles > Interface Mgmt for Dataplane UID Agent Service Route durchgeführt werden.
- Überprüfen Sie die Protokolle unter Überwachen > Systems mit Filter ( Subtyp eq userid ) verwenden Sie auch :CLI
show log system direction equal backward subtype equal userid
Beispiel für eine Ausgabe (unter Weglassen der Uhrzeit des Ereignisses) aus dem obigen BefehlSeverity Subtype Object EventID ID Description ============================================================ high userid connect 0 Redistribution Agent My-UIA(vsys1):details:close connection to agent
- Überprüfen Sie die Protokolle von CLI:
- Verwenden Sie für User-Agent Version 5 (Windows-User-AgentIDID oder Version 9.1 oder firewall früher) CLI
less mp-log useridd.log
- Verwenden Sie für User-AgentID Version 6 (Firewall mit Version 10.0 oder höher) mit Version 10.0 oder höher CLI
less mp-log distributord.log
- Verwenden Sie für User-Agent Version 5 (Windows-User-AgentIDID oder Version 9.1 oder firewall früher) CLI
- Überprüfen Sie die Erreichbarkeit von firewall zum User-AgentID :
- Für die User-Agent-Verbindung über firewall die Management-NutzungID CLI
ping host <IP address of the User-ID Agent>
- Für die User-Agent-VerbindungID über die Verwendung auf Firewall Datenebene CLI
ping source <IP address of the dataplane interface> host <IP address of User-ID Agent>
- Für die User-Agent-Verbindung über firewall die Management-NutzungID CLI
- Überprüfen Sie den TCP Handshake zwischen Firewall und dem User-AgentID :
- Von der Firewall Seite:
show netstat numeric-hosts yes numeric-ports yes | match <IP address of the User-ID agent>
- Von der Windows-Serverseite:
netstat -na | findstr 5007 netstat -na | findstr <IP address of the ethernet interface connected to the firewall>
- Von der Firewall Seite:
Überprüfen Sie, ob der Windows-Server Port 5007 überwacht.
- Überprüfen Sie den SSL Handshake zwischen Firewall und User-AgentID :
- Für die User-Agent-Verbindung über firewall die Management-NutzungID CLI
tcpdump filter host <IP address of the User-ID Agent> snaplen 0 view-pcap mgmt-pcap mgmt.pcap
- Legen Sie für die Benutzer-Agent-VerbindungID über die Verwendung CLIder Firewall Datenebene eine Paketerfassung für die firewallErste Schritte: Paketerfassung fest.
- Für die User-Agent-Verbindung über firewall die Management-NutzungID CLI
Additional Information
- Dieser Artikel kann auch verwendet werden, um Verbindungsfehler mit dem Datenverteilungs-Agent zu beheben.
- In diesem Artikel wird davon ausgegangen, dass die Konfiguration auf dem Client Firewall und dem Benutzer-ID-Agent überprüft wurde (Windows-Benutzer-ID-Agent oder firewall als Benutzer-ID-Agent (auch bekannt als Datenumverteilungs-Agent)
Konfigurieren Sie den Windows-Benutzer-ID Agent für die Benutzerzuordnung
Geräte- > Benutzeridentifikation > Verbindungssicherheit
Konfigurieren der Datenweiterverteilung