Useridd:日志查询<server>失败的:NTSTATUS :NT代码 0xc002001b

Useridd:日志查询<server>失败的:NTSTATUS :NT代码 0xc002001b

9511
Created On 02/09/21 17:28 PM - Last Modified 03/02/23 05:28 AM


Symptom


  • firewall 使用无代理用户标识无法学习IP来自受监控服务器的用户映射
  • 用户idd.log包含以下消息:
2021-01-16 00:31:06.253 -0500 Error: pan_user_id_win_wmic_log_query(pan_user_id_win.c:1439): log query for <server name> failed: NTSTATUS: NT code 0xc002001b - NT code 0xc002001b
  • 监控选项卡 > 系统登录网站GUI显示服务器监视器显示“连接超时”、“连接被拒绝”
2020/12/27 10:48:33 high userid connect 0 User-ID server monitor <server name>  Connection refused
2020/12/27 10:48:00 high userid connect 0 User-ID server monitor <server name> Connection timeout
2020/12/27 10:45:32 high userid connect 0 User-ID server monitor <server name> Host unreachable
2020/12/27 10:43:29 high userid connect 0 User-ID server monitor <server name> Connection refused

 

Environment


  • PAN-OS
  • 无代理用户 ID

Cause


  • 该问题可能是由于没有NTP上配置的时间源firewall,或者如果NTP时间与受监控的服务器不同步
  • 查询监控AD安全日志的服务器是基于时间戳的并且是时间敏感的

Resolution


  1. 配置一个NTP服务器在 firewall
  2. 配置一个NTP服务器上的监控AD服务器
    1. 在某些情况下NTP服务器可能需要更改为具有更高质量时间源或更接近(更少延迟)的另一台服务器 firewall

Additional Information


  • 解释错误代码的 Microsoft 文章
  • 2.3.1NTSTATUS价值观
  • 0xC002001B 是“RPC (远程过程调用)失败”
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCpCCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language