如何排除与 User- 的连接失败ID代理人
40651
Created On 08/10/22 18:51 PM - Last Modified 02/09/24 21:39 PM
Objective
之间的连接故障故障排除firewall和用户-ID代理人PAN-OS10.0 及以上。
Environment
- 帕洛阿尔托 Firewall
- 用户-ID代理人
- PAN-OS 10.0及以上
Procedure
- 确定哪个用户-ID代理已断开连接:
- 对于用户-ID协议版本 5 的代理(Windows 用户-ID代理人或firewall运行 9.1 或更早版本)使用 CLI
show user user-id-agent statistics
- 对于其他用户-ID代理协议版本 6 (Firewall运行 10.0 或更高版本)CLI是:
show redistribution agent statistics
- 对于用户-ID协议版本 5 的代理(Windows 用户-ID代理人或firewall运行 9.1 或更早版本)使用 CLI
使用UI设备 > 数据重新分配 > 代理并检查连接的柱子。
- 检查有关断开连接的用户的更多详细信息-ID代理人:
- 对于用户-ID代理版本 5(Windows 用户-ID代理人或firewall运行 9.1 或更早版本),使用 CLI
show user user-id-agent state <user-id-agent name>
- 对于用户-ID代理版本 6 (Firewall运行 10.0 或更高版本)CLI是:
show redistribution agent state <user-id-agent name>
- 对于用户-ID代理版本 5(Windows 用户-ID代理人或firewall运行 9.1 或更早版本),使用 CLI
- 检查服务路线从firewall给用户-ID代理人:设备 > 设置 > 服务 > 服务路由配置 >UID代理人
- 对于管理(又名默认)UID代理服务路线下设备 > 设置 > 接口 > 管理 > 网络服务,如果允许IP地址已配置,请检查用户-ID代理地址包含在该列表中,如果您想要firewall充当其他防火墙的用户 ID 代理检查用户-ID复选框被选中。 可以在下面进行类似的检查网络 > 网络配置文件 > 接口管理用于数据平面UID代理服务路线。
- 检查下的日志监控 > 系统使用过滤器(子类型 eq 用户标识) 也用CLI:
show log system direction equal backward subtype equal userid
上述命令的输出示例(同时省略了事件的时间)Severity Subtype Object EventID ID Description ============================================================ high userid connect 0 Redistribution Agent My-UIA(vsys1):details:close connection to agent
- 检查日志来自CLI:
- 对于用户-ID代理版本 5(Windows 用户-ID代理人或firewall运行 9.1 或更早版本),使用 CLI
less mp-log useridd.log
- 对于用户-ID代理版本 6 (Firewall运行 10.0 或更高版本)运行 10.0 或更高版本,使用 CLI
less mp-log distributord.log
- 对于用户-ID代理版本 5(Windows 用户-ID代理人或firewall运行 9.1 或更早版本),使用 CLI
- 检查可达性firewall给用户-ID代理人:
- 对于用户-ID代理连接通过firewall管理用途 CLI
ping host <IP address of the User-ID Agent>
- 对于用户-ID代理连接通过Firewall数据平面使用CLI
ping source <IP address of the dataplane interface> host <IP address of User-ID Agent>
- 对于用户-ID代理连接通过firewall管理用途 CLI
- 检查TCP之间的握手Firewall和用户-ID代理人:
- 来自Firewall边:
show netstat numeric-hosts yes numeric-ports yes | match <IP address of the User-ID agent>
- 从 Windows 服务器端:
netstat -na | findstr 5007 netstat -na | findstr <IP address of the ethernet interface connected to the firewall>
- 来自Firewall边:
检查 Windows 服务器是否正在侦听端口 5007。
- 检查SSL之间的握手Firewall和用户-ID代理人:
- 对于用户-ID代理连接通过firewall管理用途 CLI
tcpdump filter host <IP address of the User-ID Agent> snaplen 0 view-pcap mgmt-pcap mgmt.pcap
- 对于用户-ID代理连接通过Firewall数据平面使用CLI, 设置数据包捕获firewall入门:数据包捕获.
- 对于用户-ID代理连接通过firewall管理用途 CLI
Additional Information
- 本文还可用于解决与数据重新分发代理的连接失败问题。
- 本文假设已经在客户端检查了配置Firewall和用户 ID 代理(Windows 用户 ID 代理或firewall充当用户 ID 代理,也称为数据重新分发代理)