ユーザーへの接続障害のトラブルシューティング方法 -IDエージェント
55207
Created On 08/10/22 18:51 PM - Last Modified 02/09/24 21:39 PM
Objective
間の接続障害のトラブルシューティングfirewallおよびユーザー-ID上のエージェントPAN-OS10.0 以上。
Environment
- パロアルト Firewall
- ユーザー-IDエージェント
- PAN-OS 10.0以上
Procedure
- 次のユーザーを決定します。IDエージェントが切断されました:
- ユーザー向け-IDプロトコル バージョン 5 のエージェント (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している) を使用 CLI
show user user-id-agent statistics
- 他のユーザーの場合-IDエージェント プロトコル バージョン 6 (Firewall 10.0 以降を実行している)CLIは:
show redistribution agent statistics
- ユーザー向け-IDプロトコル バージョン 5 のエージェント (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している) を使用 CLI
使用UIデバイス > データ再配布 > エージェントそして、接続済み桁。
- 切断されたユーザーに関する詳細を確認してください-IDエージェント:
- ユーザー向け-IDエージェント バージョン 5 (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している)、使用 CLI
show user user-id-agent state <user-id-agent name>
- ユーザー向け-IDエージェント バージョン 6 (Firewall 10.0 以降を実行している)CLIは:
show redistribution agent state <user-id-agent name>
- ユーザー向け-IDエージェント バージョン 5 (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している)、使用 CLI
- からの運行ルートをご確認ください。firewallユーザーへIDエージェント:デバイス > セットアップ > サービス > サービス ルート構成 >UIDエージェント
- 管理用 (別名 Default )UID下のエージェント サービス ルートデバイス > セットアップ > インターフェイス > 管理 > ネットワーク サービス、許可されている場合IPアドレスが設定されている場合、User-IDエージェントのアドレスはそのリストに含まれています。firewall他のファイアウォールのユーザー ID エージェントとして機能するには、次のことを確認してください。ユーザー-IDチェックボックスが選択されています。 同様のチェックは以下で行うことができますネットワーク > ネットワーク プロファイル > インターフェイス管理データプレーン用UIDエージェント サービス ルート。
- 以下のログを確認してください監視 > システムフィルターの使用 (サブタイプ eq ユーザー ID ) も使用CLI:
show log system direction equal backward subtype equal userid
上記のコマンドの出力例 (イベントの時刻を省略)Severity Subtype Object EventID ID Description ============================================================ high userid connect 0 Redistribution Agent My-UIA(vsys1):details:close connection to agent
- からのログを確認してくださいCLI:
- ユーザー向け-IDエージェント バージョン 5 (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している)、使用 CLI
less mp-log useridd.log
- ユーザー向け-IDエージェント バージョン 6 (Firewall 10.0 以降を実行している場合) 10.0 以降を実行している場合は、 CLI
less mp-log distributord.log
- ユーザー向け-IDエージェント バージョン 5 (Windows ユーザー -IDエージェントまたはfirewall9.1 以前を実行している)、使用 CLI
- からの到達可能性を確認しますfirewallユーザーへIDエージェント:
- ユーザー向け-ID経由のエージェント接続firewall管理用 CLI
ping host <IP address of the User-ID Agent>
- ユーザー向け-ID経由のエージェント接続Firewallデータプレーンの使用CLI
ping source <IP address of the dataplane interface> host <IP address of User-ID Agent>
- ユーザー向け-ID経由のエージェント接続firewall管理用 CLI
- を確認してくださいTCP間の握手Firewallとユーザー-IDエージェント:
- からFirewall側:
show netstat numeric-hosts yes numeric-ports yes | match <IP address of the User-ID agent>
- Windows サーバー側から:
netstat -na | findstr 5007 netstat -na | findstr <IP address of the ethernet interface connected to the firewall>
- からFirewall側:
Windows サーバーがポート 5007 でリッスンしているかどうかを確認します。
- を確認してくださいSSL間の握手Firewallおよびユーザー-IDエージェント:
- ユーザー向け-ID経由のエージェント接続firewall管理用 CLI
tcpdump filter host <IP address of the User-ID Agent> snaplen 0 view-pcap mgmt-pcap mgmt.pcap
- ユーザー向け-ID経由のエージェント接続Firewallデータプレーンの使用CLIで、パケット キャプチャを設定します。firewallはじめに: パケット キャプチャ.
- ユーザー向け-ID経由のエージェント接続firewall管理用 CLI
Additional Information
- この記事は、データ再配布エージェントへの接続エラーのトラブルシューティングにも使用できます。
- この記事では、クライアントで構成がチェックされていることを前提としていますFirewallおよびユーザー ID エージェント (Windows ユーザー ID エージェントまたはfirewallユーザー ID エージェント、別名データ再配布エージェントとして機能する)
Windows ユーザーを構成します。IDユーザー マッピングのエージェント
デバイス > ユーザー ID > 接続セキュリティ
データ再配布の構成