Problembehandlung bei gRPC-Verbindungsfehlern zwischen der Firewall und dem Edge-Dienst mit der Benutzer-ID

Problembehandlung bei gRPC-Verbindungsfehlern zwischen der Firewall und dem Edge-Dienst mit der Benutzer-ID

13499
Created On 08/06/24 21:29 PM - Last Modified 11/25/25 23:56 PM


Objective



Beheben von Verbindungsfehlern zwischen der Firewall und dem Edge-Dienst mit der Benutzer-ID.

Environment


  • Palo Alto Firewalls
  • PAN-OS 11.0 und höher.
  • ICD (Identity Client Daemon)
  • Edge-Benutzer-ID-Dienst
  • CIE (Cloud Identity Engine)

Procedure


  1. Überprüfen Sie, ob ein Gerätezertifikat gültig und im Status FW.show device-certificate vorhanden ist. 
    show device-certificate status
  2. Überprüfen Sie die Konfiguration der Firewall. Navigieren Sie zu Device > Setup > Management, und stellen Sie unter den PAN-OS-Edge-Diensteinstellungen sicher, dass das Kontrollkästchen "User Context Cloud Service aktivieren" aktiviert ist, wenn Sie die Funktion zur Neuverteilung der Cloud-Benutzer-ID verwenden möchten.
    1. Cloud-Dienst für den Benutzerkontext
  3. Überprüfen Sie die Konfiguration der Dienstroute der Cloud-Benutzer-ID-Funktion. Navigieren Sie zu Device > Setup > Services, und suchen Sie unter Service Route Configuration nach "iot".Die Funktion zur Neuverteilung der Cloud-Benutzer-ID verwendet die IoT-Dienstroute.
    1. Route des Cloud-Benutzer-ID-Diensts
       
  4. Problembehandlung bei der Verbindung zwischen der Firewall-Verwaltungsebene (Management Plane, MP) und dem Edge-Benutzer-ID-Dienst:
    1. Verwenden Sie den CLI-Befehl: 
      > show cloud-userid config-details
      Ein Beispiel dieser Ausgabe ist unten dargestellt: 
      > show cloud-userid config-details
Cloud UserID: enabled
Connection: disconnected
    2. Weitere Informationen zur Verbindung mit dem Edge-User-ID-Server finden Sie im CLI-Befehl: 
      > show cloud-userid statistics
      Ein Beispiel dieser Ausgabe ist unten dargestellt: 
      > show cloud-userid statistics
Summary of CUID gRPC client:
number of connection reset:       38700
number of connection failed:      8
number of connection established: 38702
number of connection attempts:    38711
number of connection released:    38702
number of connection selected:    38700
number of selections failed:      43891
number of bytes sent:             1122249
number of bytes received:         0
Last gRPC connection Attempt:     2024-07-31 06:50:03 -0400 EDT
Last successful gRPC connection:  2024-07-31 06:49:58 -0400 EDT
Cloud user-id URL:                identity.services-dge.paloaltonetworks.com
Source Address:                   192.168.5.3
Destination Address:              34.136.155.117:443
Device cert status: Installed
	Validity: 
		Notbefore: 2024-07-29 01:09:23 +0000 UTC 
		Notafter: 2024-10-27 01:09:22 +0000 UTC
max gRPC connections: 1, ongoing: 1, max alive time: unlimited, max bytes sent: unlimited
Cloud user-id connection: disconnected
UPLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
DOWNLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
    3. Überprüfen Sie die Netzwerkverbindung zwischen der Firewall IoT-Dienstroute, der Quell-IP-Adresse, und dem Edge-Benutzer-ID-Server, Ziel-FQDN:  
      > traceroute host identity.services-edge.paloaltonetworks.com
       
      1. Hinweis: Dieser Befehl ist gültig, falls Management oder Default als IoT-Serviceroute verwendet wird, andernfalls fügen Sie dem Befehl source hinzu, gefolgt von der IP-Adresse der Datenebenenschnittstelle, die als Serviceroute verwendet wird.  
        > traceroute source <IP address of the IoT service route dataplane interface> host identity.services-edge.paloaltonetworks.com
    4. Überprüfen Sie netstat auf dem Edge-Benutzer-ID-Server: 
      show netstat numeric-ports yes numeric-hosts yes | match <IP address of the Edge user-id server>
    5. Stellen Sie sicher, dass keine Geräte- oder Firewallregel die Verbindung mit dem Edge-Benutzer-ID-Server an Port 443 blockiert.
    6. Überprüfen Sie die Firewall-Systemprotokolle, die sich auf diese Verbindung beziehen: 
      > show log system direction equal backward subtype equal cuid-connection
    7. Verwenden Sie als letzten Ausweg und wenn Sie die Verbindung zwischen FW und Edge-Benutzer-ID-Server neu starten müssen, den CLI-Befehl: 
      > debug cloud-userid reset-connection


        
      
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDq6CAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language