ユーザーIDターミナルサーバーエージェントへの接続失敗のトラブルシューティング方法

ユーザーIDターミナルサーバーエージェントへの接続失敗のトラブルシューティング方法

20744
Created On 08/17/22 07:21 AM - Last Modified 07/15/25 16:59 PM


Objective


トラブルシューティングを行うか、考えられる根本原因を特定し、ターミナル サーバー エージェントの接続を復元します。

Environment


  • パロアルトファイアウォール
  • ターミナル サーバー エージェント (TSA)

Procedure


1. どのTSエージェントがファイアウォールから切断されているかを確認します。

  1. CLIコマンドを使用する:
> show user ts-agent statistics

「not-conn」状態の接続を探します。

  1. CLIを使用してシステム ログを検索すると、次のようになります。
> show log system direction equal backward subtype equal "userid"

説明が「TS-Agent」で始まるメッセージを探します。

2. NTP の状態が同期ていることを確認します (特に証明書認証に必要)。

  1. In the firewall, execute the command below 
    > show ntp
  2. TSA をホストしているデバイスのNTP状態を確認します。

3. DNS がTSA のFQDNを解決できることを確認します。

> ping host tsa1.paloaltonetworks.com

4.ファイアウォールをTSAホストに指定するためにIPアドレスをホストとして使用している場合は、abcd/32ではなくabcdというIPアドレス形式のみを使用してください。確認するには、ファイアウォールのUIにアクセスし、 「デバイス」>「ユーザーID」>「ターミナルサーバーエージェント」>適切なTSA設定をクリックします。
5. TSA エージェントはポート 5009 をリッスンします。ファイアウォールと TSA の間でTCPポート 5009 が開いていることを確認します。
6.ファイアウォールとUser-ID TSAエージェント間のネットワーク接続を確認します。pingやtraceroutepingのツールを使用して、両端から接続をテストすることで確認できます。ファイアウォールとUser-ID TSAエージェントを実行しているサーバーの両方でパケットキャプチャを実行し、接続試行に関連するトラフィックをキャプチャします。キャプチャしたパケットを分析し、異常や問題を特定します。

  1. management port ( 管理ポート - MGT port)が使用されていて問題が発生している場合は、 「管理インターフェイスの接続の問題をトラブルシューティングする方法」を参照してください。
  2. データプレーンポートが使用されていて問題が発生している場合は、 「はじめに: パケットキャプチャ」を参照してください。

7. TSAホスト上のSophosアンチウイルスソフトウェアをすべて無効にしてください。サードパーティ製のセキュリティソフトウェアは、ポートの再バインドプロセスに干渉する可能性があります。特にTSAエージェントのデバッグログにドライバエラーが表示される場合は、無効にした状態でテストしてください。「 ターミナルサーバーエージェントの問題のトラブルシューティング方法」を参照してください。
8. 認証に証明書が使用されている場合は、ファイアウォールとエージェントの証明書の有効期限を確認します。

  1. ファイアウォールの期限切れの証明書の場合は、 「期限切れの証明書を更新または交換する方法」を参照してください。
  2. TSAの期限切れの証明書の場合は、 ユーザーマッピング用のPalo Alto Networksターミナルサーバー(TS)エージェントの構成を使用します。

9.ファイアウォールに設定されているオフラインまたは廃止されたTSAホストを削除します。これにより、ファイアウォールは存在しないTSAに接続する必要があり、不要なリソースが消費され、既存のTSAに影響を与える可能性があります。
10 TSA 互換性マトリックスを使用して、TSA がインストールされているホストがサポートされていることを確認します。
11.ファイアウォールとUser-ID TSAエージェントの両方のログを分析し、接続試行に関連するエラーメッセージや警告がないか確認します。接続タイムアウト、認証失敗、その他の問題の兆候がないか確認します。ファイアウォールの場合は、 CLIコマンドを使用します。

> less mp-log useridd.log

12. 最後の手段として、上記のすべてのチェックを行っても問題が解決しない場合は、メンテナンス ウィンドウ中に user-id デーモンと devsrvr デーモンを再起動してみてください。

  1. restart useridd 
    > debug software restart process user-id
  2. restart device-server 
    > debug software restart process device-server
  3. Commit force 
    # configure 
# commit force 
# exit

Additional Information


エラー: xxxx(xxxx):5009 の User-ID-Agent への接続に失敗しました
ターミナル サーバー エージェントのインストールと構成方法
ターミナルサーバーエージェントの問題のトラブルシューティング方法
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrDmCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language