Useridd : requête de journal pour<server>Echec : NTSTATUSCode NT 0xc002001b

• firewall avec l’ID utilisateur sans agent ne peut pas apprendre IP les mappages utilisateur à partir des serveurs surveillés
• userIDD.log contient les messages suivants :

2021-01-16 00:31:06.253 -0500 Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1439): log query for <server name> failed: NTSTATUS: NT code 0xc002001b - NT code 0xc002001b

• Onglet Moniteur > Le journal système dans le Web affiche le GUI moniteur du serveur affiche « Délai de connexion », « Connexion refusée »

2020/12/27 10:48:33 high userid connect 0 User-ID server monitor <server name>  Connection refused
2020/12/27 10:48:00 high userid connect 0 User-ID server monitor <server name> Connection timeout
2020/12/27 10:45:32 high userid connect 0 User-ID server monitor <server name> Host unreachable
2020/12/27 10:43:29 high userid connect 0 User-ID server monitor <server name> Connection refused

• PAN-OS
• ID utilisateur sans agent

• Le problème peut être dû au fait qu’aucune NTP source de temps n’est configurée sur le firewall, ou si l’heure NTP est trop désynchronisée avec les serveurs surveillés.
• L’interrogation des serveurs surveillés AD pour les journaux de sécurité est basée sur l’horodatage et est sensible au temps

1. Configurez un NTP serveur sur le firewall
2. Configurer un NTP serveur sur le serveur surveillé AD
   1. Dans certains cas, le NTP serveur peut avoir besoin d’être remplacé par un autre serveur avec une source de temps de meilleure qualité ou plus proche (moins de délai) du serveur firewall

• Article Microsoft expliquant les codes d’erreur
• 2.3.1 NTSTATUS Valeurs
• 0xC002001B est "RPC (appel de procédure distante) a échoué »