ファイアウォールと user-id Edge サービス間の gRPC 接続障害のトラブルシューティング方法

ファイアウォールと user-id Edge サービス間の gRPC 接続障害のトラブルシューティング方法

13497
Created On 08/06/24 21:29 PM - Last Modified 11/25/25 23:56 PM


Objective



ファイアウォールと user-id Edge サービス間の接続障害をトラブルシューティングする方法。

Environment


  • パロアルトのファイアウォール
  • PAN-OS 11.0 以降。
  • ICD (Identity Client Daemon)
  • Edge User-ID サービス
  • CIE(Cloud Identity Engine)

Procedure


  1. デバイス証明書が有効で、FW.show device-certificate status に表示されていることを確認します。 
    show device-certificate status
  2. ファイアウォールの設定を確認します。 [Device > Setup > Management] に移動し、クラウドの User-ID 再配布機能を使用する場合は、[PAN-OS Edge Service Settings] で [Enable User Context Cloud Service] チェックボックスがオンになっていることを確認します。
    1. ユーザーコンテキストクラウドサービス
  3. クラウドユーザーID機能のサービスルートの設定を確認してください。 [Device (デバイス)] > [Setup (セットアップ)] > [Services (サービス)] に移動し、[Service Route Configuration (サービスルート設定)] で [iot] を探します。クラウドの user-id 再配布機能は、IoT サービスルートを使用します。
    1. クラウドユーザーIDサービスルート
       
  4. ファイアウォール管理プレーン (MP) と Edge User-ID サービス間の接続をトラブルシューティングします。
    1. CLI コマンドを使用します。 
      > show cloud-userid config-details
      その出力の例を以下に示します。 
      > show cloud-userid config-details
Cloud UserID: enabled
Connection: disconnected
    2. Edge User-ID サーバーへの接続の詳細については、CLI コマンドを使用します。 
      > show cloud-userid statistics
      その出力の例を以下に示します。 
      > show cloud-userid statistics
Summary of CUID gRPC client:
number of connection reset:       38700
number of connection failed:      8
number of connection established: 38702
number of connection attempts:    38711
number of connection released:    38702
number of connection selected:    38700
number of selections failed:      43891
number of bytes sent:             1122249
number of bytes received:         0
Last gRPC connection Attempt:     2024-07-31 06:50:03 -0400 EDT
Last successful gRPC connection:  2024-07-31 06:49:58 -0400 EDT
Cloud user-id URL:                identity.services-dge.paloaltonetworks.com
Source Address:                   192.168.5.3
Destination Address:              34.136.155.117:443
Device cert status: Installed
	Validity: 
		Notbefore: 2024-07-29 01:09:23 +0000 UTC 
		Notafter: 2024-10-27 01:09:22 +0000 UTC
max gRPC connections: 1, ongoing: 1, max alive time: unlimited, max bytes sent: unlimited
Cloud user-id connection: disconnected
UPLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
DOWNLOAD:
IP User Mappings:         0
IP Port User Mappings:    0
IP Tags:                  0
User Tags:                0
IP Host(Quarantine List): 0
    3. Firewall IoT サービス ルート、送信元 IP、Edge ユーザー ID サーバー、宛先 FQDN の間のネットワーク接続を確認します。 
      > traceroute host identity.services-edge.paloaltonetworks.com
       
      1. 注:このコマンドは、ManagementまたはDefaultがIoTサービスルートとして使用されている場合に有効であり、それ以外の場合は、コマンドにsourceを追加し、その後にサービスルートとして使用するデータプレーンインターフェイスのIPアドレスを追加します。  
        > traceroute source <IP address of the IoT service route dataplane interface> host identity.services-edge.paloaltonetworks.com
    4. Edge ユーザー ID サーバーへの netstat を確認します。 
      show netstat numeric-ports yes numeric-hosts yes | match <IP address of the Edge user-id server>
    5. ポート 443 で Edge ユーザー ID サーバーへの接続をブロックしているデバイスまたはファイアウォール ルールがないことを確認します。
    6. この接続に関連するファイアウォールシステムログを確認します。 
      > show log system direction equal backward subtype equal cuid-connection
    7. 最後の手段として、FW と Edge user-id サーバー間の接続を再開する必要がある場合は、CLI コマンドを使用します。 
      > debug cloud-userid reset-connection


        
      
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDq6CAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language