HIP Berichte werden nicht an das GlobalProtect Gateway gesendet

• Es gibt HIP match-basierte Sicherheitsregeln , um den Datenverkehr für globale Benutzer zu steuern.
• Die Regeln stimmen nicht überein, und es wird festgestellt, dass auf dem Gateway kein HIP Bericht für die Clients verfügbar ist.
• Das Problem betrifft alle Benutzer für das jeweilige Gateway und diejenigen, die mit einer bestimmten Agentenkonfiguration übereinstimmen.

• Das Gleiche, wenn Sie mit einem anderen GP Gateway verbunden sind oder Prisma-Mandant funktioniert gut mit HIP Berichten, Protokolle PC können für diesen Benutzer eingesehen werden. Dadurch wird verhindert, dass das Problem nicht beim Benutzercomputer liegt.
• Es gibt keine Blockprotokolle von der Öffentlichkeit des Clients zur Öffentlichkeit IP IPdes GP Gateways.
• Das Problem besteht auch nach dem Entfernen aller 3rd-Party-Proxy- und Sicherheitssoftware vom Client.
• Selbst wenn der Client versucht, den HIP Bericht manuell zu übermitteln, funktioniert er nicht. Die folgenden PanGPS-Protokolle zeigen an, dass der Client den Bericht nicht einmal für die manuelle Übermittlung einreicht. (Dump-Level-Protokoll auf GP dem Client aktivieren)

Dump 02/01/21 10:15:50:038 Received following message from UI
<request><type>hip</type></request>

Debug 02/01/21 10:15:50:045 CheckHipMissingPatchInOtherProcess(): Starting process PanGpHipMp.exe
Debug02/01/21 10:16:24:978 Got hip report in other process ready event.
<hip-report>
	<generate-time>02/01/2021 10:16:24</generate-time>

Debug 02/01/21 10:16:24:978 HipReportThread: got HIP report ready event.
Debug 02/01/21 10:16:24:979 HipReportThread: wait for network discover ready event.
Debug 02/01/21 10:16:25:127 HipReportThread: network type is unknown network.

• Palo Alto Firewall oder Prisma Access Firewall.
• Unterstützt PAN-OS.
• GlobalProtect Konfiguriert
• HIP Kontrollkästchen aktiviert.

• Überprüfen Sie das PanGPS auf folgende Protokolle.

Debug: 01/31/21 18:44:42:963 NetworkDiscoverThread: Discover external network.
Debug: 01/31/21 18:44:42:963 gateway 0 of us-east-g-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 gateway 1 of us-southeast-customer.gw.gpcloudservice.com is manual select only, will not be in rediscover list
Debug: 01/31/21 18:44:42:963 There is no gateway suitable to discovery
Debug: 02/01/21 10:09:58:418 --Set state to Connected
Debug: 02/01/21 10:09:58:540 Tunnel is created with the gateway us-southeast-customer.gw.gpcloudservice.com

Debug: 02/01/21 10:09:59:445 HipReportThread: network type is unknown network.
Debug: 02/01/21 10:09:59:447 HipReportThread: wait for HIP report ready event.

• Die obigen Protokolle weisen darauf hin, dass die Netzwerkerkennung für das externe Netzwerk und Gateway fehlschlägt. Die Meldung "kein Gateway geeignet" weist auf ein Problem mit der Konfiguration hin.
• Darüber hinaus zeigen die HIP Protokolle, dass der Netzwerktyp unbekannt ist, was darauf hinweist, dass der HIP Bericht nicht gesendet wird. Überprüfen Sie die connect-Methode in der Portalkonfiguration oder in den PanGPS-Protokollen, wenn sie auf user-logon eingestellt ist.

Info: 01/29/21 13:43:26:411 Connect method is user-logon

1. Die Verbindungsmethode user-logon kann nicht verwendet werden, wenn sich alle in der Konfiguration aufgeführten externen Gateways im Modus "Nur manuell" befinden (Schritt 7 -7).
2. Dies ist eine Fehlkonfiguration: Eine der folgenden 2 Optionen hilft bei der Behebung des Problems.

• Konfigurieren Sie die On-Demand-Verbindungsmethode.
• Legen Sie die Gateways mit einer bestimmten Priorität fest und entfernen Sie den manuellen Modus. (Sie können weiterhin für eine manuelle Verbindung zur Verfügung gestellt werden, damit der Benutzer das Gateway auswählen kann)