Comment résoudre les problèmes d’échec de connexion à l’agent utilisateurID
40675
Created On 08/10/22 18:51 PM - Last Modified 02/09/24 21:39 PM
Objective
Résolution des problèmes d’échec de connexion entre firewall et User-ID agent sur PAN-OS 10.0 et versions ultérieures.
Environment
- Palo Alto (Palo Alto) Firewall
- Utilisateur-ID Agent
- PAN-OS 10.0 et versions ultérieures
Procedure
- Déterminez quel agent utilisateurID est déconnecté :
- Pour l’agent utilisateur du protocole version 5 (agent utilisateurIDID Windows ou exécutant 9.1 ou firewall une version antérieure), utilisez CLI
show user user-id-agent statistics
- Pour les autres versions 6 du protocole User-agentID (Firewall exécutant la version 10.0 ou ultérieure), il s’agit CLI de :
show redistribution agent statistics
- Pour l’agent utilisateur du protocole version 5 (agent utilisateurIDID Windows ou exécutant 9.1 ou firewall une version antérieure), utilisez CLI
Utilisez UI Device > Data Redistribution > Agents et vérifiez la colonne Connecté.
- Vérifiez plus de détails concernant l’agent utilisateurID déconnecté:
- Pour l’agentID utilisateur version 5 (agent utilisateurID Windows ou exécutant la version 9.1 ou firewall antérieure), utilisez CLI
show user user-id-agent state <user-id-agent name>
- Pour User-ID agent Version 6 (Firewall exécutant 10.0 ou ultérieure), le CLI est :
show redistribution agent state <user-id-agent name>
- Pour l’agentID utilisateur version 5 (agent utilisateurID Windows ou exécutant la version 9.1 ou firewall antérieure), utilisez CLI
- Vérifiez l’itinéraire du service entre l’agent utilisateur et l’agent firewall :ID Configuration de > de périphérique > Services > Service Route Configuration > UID Agent
- Pour l’itinéraire du service Agent de gestion (par défaut) UID sous Configuration du > des périphériques > Interface > Gestion > Services réseau, si les adresses autorisées IP sont configurées, vérifiez que les adresses utilisateur-agent sont incluses dans cette liste et si vous souhaitez que vous firewall agissiez en tant qu’agent d’ID utilisateur pour d’autres pare-feuIDID, cochez la case Utilisateur- est activée. Des vérifications similaires peuvent être effectuées sous Network > Network Profiles > interface Mgmt pour le routage du service de l’agent de plan de données UID .
- Vérifiez les journaux sous Surveiller > Système à l’aide du filtre ( sous-type eq userid ) utilisez CLIégalement :
show log system direction equal backward subtype equal userid
Exemple de sortie (en omettant l’heure de l’événement) de la commande ci-dessusSeverity Subtype Object EventID ID Description ============================================================ high userid connect 0 Redistribution Agent My-UIA(vsys1):details:close connection to agent
- Vérifiez les journaux de CLI:
- Pour l’agentID utilisateur version 5 (agent utilisateurID Windows ou exécutant la version 9.1 ou firewall antérieure), utilisez CLI
less mp-log useridd.log
- Pour l’agentID utilisateur version 6 (Firewall exécutant 10.0 ou version ultérieure) exécutant la version 10.0 ou ultérieure, utilisez CLI
less mp-log distributord.log
- Pour l’agentID utilisateur version 5 (agent utilisateurID Windows ou exécutant la version 9.1 ou firewall antérieure), utilisez CLI
- Vérifiez l’accessibilité de à l’agent firewall utilisateurID :
- Pour la connexion utilisateur-agentID via firewall l’utilisation de la gestion CLI
ping host <IP address of the User-ID Agent>
- Pour la connexion utilisateur-agentID via Firewall l’utilisation du plan de données CLI
ping source <IP address of the dataplane interface> host <IP address of User-ID Agent>
- Pour la connexion utilisateur-agentID via firewall l’utilisation de la gestion CLI
- Vérifiez la poignée de TCP main entre Firewall et l’agent utilisateur:ID
- De côté Firewall :
show netstat numeric-hosts yes numeric-ports yes | match <IP address of the User-ID agent>
- Du côté serveur Windows :
netstat -na | findstr 5007 netstat -na | findstr <IP address of the ethernet interface connected to the firewall>
- De côté Firewall :
Vérifiez si le serveur Windows écoute sur le port 5007.
- Vérifiez la poignée de SSL main entre Firewall et l’agent utilisateurID :
- Pour la connexion utilisateur-agentID via firewall l’utilisation de la gestion CLI
tcpdump filter host <IP address of the User-ID Agent> snaplen 0 view-pcap mgmt-pcap mgmt.pcap
- Pour la connexion utilisateur-agentID via Firewall l’utilisation CLIdu plan de données, définissez une capture de paquets sur Misefirewall en route : capture de paquets.
- Pour la connexion utilisateur-agentID via firewall l’utilisation de la gestion CLI
Additional Information
- Cet article peut également être utilisé pour résoudre les problèmes d’échec de connexion à l’agent de redistribution de données.
- Cet article suppose que la configuration a été vérifiée sur le client Firewall et l’agent d’ID utilisateur (agent d’ID utilisateur Windows ou firewall agissant en tant qu’agent d’ID utilisateur alias agent de redistribution de données)
Configurer l’utilisateur Windows-ID Agent pour le mappage utilisateur
Identification des périphériques > des utilisateurs Sécurité >
connexion Configurer la redistribution des données