Comment résoudre l'échec de connexion à l'agent Terminal Server d'ID utilisateur

• Pare-feu de Palo Alto
• Agent de serveur terminal (TSA)

1. Vérifiez quel agent TS est déconnecté du pare-feu:

1. En utilisant la commande CLI:

> show user ts-agent statistics

Recherchez la connexion dans l' état« not-conn ».

2. En recherchant les journaux système à l'aide de la CLI:

> show log system direction equal backward subtype equal "userid"

Recherchez les messages dont la description commence par «TS -Agent ».

2. Vérifiez que l’ état NTP est synchroniser (particulièrement nécessaire pour l’authentification par certificat ).

1. In the firewall, execute the command below

   > show ntp

2. Vérifiez l’ état NTP de l’ appareil hébergeant le TSA.

3. Vérifiez que le DNS peut résoudre le FQDN du TSA.

> ping host tsa1.paloaltonetworks.com

4. Si l' adresse IP a été utilisée comme hôte pour pointer le pare-feu vers l'hôte TSA, assurez-vous d'utiliser uniquement la forme adresse IP abcd plutôt que abcd/32. Pour confirmer, accédez à l'interface utilisateur du pare-feu : Périphérique > Identification utilisateur > Agent Terminal Server > cliquez sur la configuration TSA appropriée.
5. L'agent TSA écoute le port 5009. Assurez-vous que le port TCP 5009 est ouvert entre le pare-feu et la TSA.
6. Vérifiez la connectivité réseau entre le pare-feu et l'agent TSA User-ID. Pour ce faire, testez la connectivité à l'aide d'outils tels que ping ou traceroute aux deux extrémités. Effectuez des captures de paquets sur le pare-feu et sur le serveur exécutant l'agent TSA User-ID afin de capturer le trafic lié à la tentative de connexion. Analysez les paquets capturés pour identifier toute anomalie ou tout problème.

1. Si le port de gestion est utilisé et rencontre des problèmes, veuillez utiliser COMMENT RÉSOUDRE LES PROBLÈMES DE CONNECTIVITÉ SUR L'INTERFACE DE GESTION ?
2. Si le port du plan de données est utilisé et rencontre des problèmes, veuillez utiliser MISE EN ROUTE : CAPTURE DE PAQUETS

7. Désactivez tout logiciel antivirus Sophos sur l'hôte TSA. Les logiciels de sécurité tiers peuvent interférer avec le processus de réaffectation des ports. Effectuez les tests en les désactivant, surtout si des erreurs de pilote sont détectées dans les journaux de débogage de l'agent TSA. Consultez la section « Résoudre les problèmes liés à l'agent Terminal Server » .
8. Si un certificat est utilisé pour l'authentification, vérifiez l'expiration du certificat sur le pare-feu et l'agent :

1. Pour un certificat de pare-feu expiré, utilisez COMMENT RENOUVELER OU REMPLACER UN CERTIFICAT EXPIRÉ
2. Pour le certificat TSA expiré, utilisez Configurer l'agent Palo Alto Networks Terminal Server (TS) pour le mappage des utilisateurs

9. Supprimez les hôtes TSA configurés dans le pare-feu qui sont hors ligne/hors service. Cela oblige le pare-feu à se connecter à un TSA inexistant et consomme des ressources inutiles qui peuvent affecter les hôtes existants.
10 Confirmez que l'hôte sur lequel TSA est installé est pris en charge, à l'aide de la matrice de compatibilité TSA .
11. Analysez les journaux du pare-feu et de l'agent TSA User-ID pour détecter d'éventuels messages d'erreur ou avertissements liés à la tentative de connexion. Recherchez des indications de dépassement de délai de connexion, d'échec d'authentification ou d'autres problèmes. Pour le pare-feu, utilisez la commande CLI:

> less mp-log useridd.log

12. En dernier recours et si toutes les vérifications ci-dessus ne résolvent pas le problème, essayez de redémarrer les démons user-id et devsrvr pendant une fenêtre de maintenance.

1. restart useridd

   > debug software restart process user-id

2. restart device-server

   > debug software restart process device-server

3. Commit force

   # configure 
   # commit force 
   # exit

Erreur : Échec de la connexion à User-ID-Agent à xxxx(xxxx):5009
Comment installer et configurer Terminal Server Agent
Comment résoudre les problèmes liés à l'agent Terminal Server