Cómo solucionar un error de conexión al agente deID usuario
40655
Created On 08/10/22 18:51 PM - Last Modified 02/09/24 21:39 PM
Objective
Solución de problemas de error de conexión entre firewall y User-agentID en PAN-OS 10.0 y superior.
Environment
- Palo Alto Firewall
- Usuario-ID Agente
- PAN-OS 10.0 y superior
Procedure
- Determine qué agente deID usuario está desconectado:
- Para User-agent del protocolo Versión 5 (Windows User-IDID agent o ejecutando 9.1 o firewall anterior) use CLI
show user user-id-agent statistics
- Para otro protocolo de agente deID usuario versión 6 (Firewall que ejecuta 10.0 o posterior) el CLI es:
show redistribution agent statistics
- Para User-agent del protocolo Versión 5 (Windows User-IDID agent o ejecutando 9.1 o firewall anterior) use CLI
Utilice UI Device > Data Redistribution > Agents (Redistribución de de datos Agents) y compruebe la columna Connected (Conectado).
- Compruebe más detalles con respecto al User-agentID desconectado:
- Para User-agent versión 5 (Windows User-IDID agent o con 9.1 o firewall anterior), utilice CLI
show user user-id-agent state <user-id-agent name>
- Para User-agentID Versión 6 (Firewall que ejecuta 10.0 o posterior) lo CLI siguiente:
show redistribution agent state <user-id-agent name>
- Para User-agent versión 5 (Windows User-IDID agent o con 9.1 o firewall anterior), utilice CLI
- Compruebe la ruta de servicio desde el firewall agente de usuarioID : Configuración de > de dispositivos > Servicios > Configuración de ruta de servicio > UID Agente
- Para la ruta del servicio del agente de administración (también conocida como predeterminada) UID en Configuración > de dispositivos > interfaz > Servicios de administración > red, si se configuran direcciones permitidasIP, compruebe que las direcciones de agente de usuario estén incluidas en esa lista y, si desea que actúe firewall como agente de ID de usuarioID para otros firewalls, marque la casilla de verificación Usuario-ID está seleccionada. Se pueden realizar comprobaciones similares en Perfiles de red > red > Administración de interfaz para la ruta de servicio del agente de plano de UID datos.
- Compruebe los registros en Supervisar > sistema utilizando el filtro ( subtipo eq userid ) también use CLI:
show log system direction equal backward subtype equal userid
Ejemplo de una salida (omitiendo la hora del evento) del comando anteriorSeverity Subtype Object EventID ID Description ============================================================ high userid connect 0 Redistribution Agent My-UIA(vsys1):details:close connection to agent
- Compruebe los registros de CLI:
- Para User-agent versión 5 (Windows User-IDID agent o con 9.1 o firewall anterior), utilice CLI
less mp-log useridd.log
- Para User-agentID versión 6 (Firewall ejecutar 10.0 o posterior) ejecutar 10.0 o posterior, utilice CLI
less mp-log distributord.log
- Para User-agent versión 5 (Windows User-IDID agent o con 9.1 o firewall anterior), utilice CLI
- Compruebe la accesibilidad desde el agente de firewall usuarioID :
- Para la conexión usuario-agenteID a través del firewall uso de administración CLI
ping host <IP address of the User-ID Agent>
- Para la conexión User-agentID a través del uso del Firewall plano de datos CLI
ping source <IP address of the dataplane interface> host <IP address of User-ID Agent>
- Para la conexión usuario-agenteID a través del firewall uso de administración CLI
- Compruebe el protocolo de enlace entre Firewall y el TCP agente deID usuario:
- Desde el Firewall lateral:
show netstat numeric-hosts yes numeric-ports yes | match <IP address of the User-ID agent>
- Desde el lado del servidor Windows:
netstat -na | findstr 5007 netstat -na | findstr <IP address of the ethernet interface connected to the firewall>
- Desde el Firewall lateral:
Compruebe si el servidor Windows está escuchando en el puerto 5007.
- Compruebe el protocolo de SSL enlace entre Firewall y User-agentID :
- Para la conexión usuario-agenteID a través del firewall uso de administración CLI
tcpdump filter host <IP address of the User-ID Agent> snaplen 0 view-pcap mgmt-pcap mgmt.pcap
- Para la conexión User-agentID a través del uso CLIdel Firewall plano de datos, establezca una captura de paquetes en Introducción: Captura de firewall paquetes.
- Para la conexión usuario-agenteID a través del firewall uso de administración CLI
Additional Information
- Este artículo también se puede utilizar para solucionar errores de conexión al agente de redistribución de datos.
- En este artículo se supone que se ha comprobado la configuración en el cliente Firewall y el agente de ID de usuario (agente de ID de usuario de Windows o que actúa como agente de ID de usuario, también conocido como agente de redistribución de firewall datos)
Configurar el usuario de Windows-ID Agente para la asignación de usuarios
de dispositivos > identificación de usuario > seguridad de conexión
Configurar la redistribución de datos