So beheben Sie das Problem, dass GlobalProtect-Benutzer einige Minuten nach der Verbindung den Netzwerkzugriff verlieren (Benutzer-ID überschrieben)

So beheben Sie das Problem, dass GlobalProtect-Benutzer einige Minuten nach der Verbindung den Netzwerkzugriff verlieren (Benutzer-ID überschrieben)

6186
Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM


Symptom


? Benutzer werden innerhalb von 20 Minuten während der Sitzung erneut authentifiziert
? Änderungen am Benutzernamenformat in der Benutzer-IP-Zuordnungstabelle
? DNS Server waren zum Zeitpunkt des Problems von der Maschine aus nicht erreichbar
? Keine DNS Antworten beobachtet
? Problem vorübergehend behoben durch Aktualisieren der GlobalProtect-Verbindung
? Das Problem tritt alle 20 Minuten erneut auf

**FEHLERLOGS**
? Client-Zertifikat ungültig
? Client-Zertifikat nicht vorhanden
? Cookie abgelaufen
? DNS -Anfragen sind abgelaufen
? Anwendung als nicht anwendbar markiert für Ports 53 und 443
? TCP Resets vom Server

**LOG_SIGNATUREN**
? Benutzer.src eq 'malopolskieamichalski'
? Benutzer.src eq 'malopolskie.straz.gov.plamichalski'

Environment


**Produktversionen**
PANOS-10.2
? PANOS-11.x
? GlobalProtect: 6.x

Cause


Die Hauptursache des Problems war die Kombination aus falsch konfigurierten GlobalProtect-Gateways, inkonsistenter Benutzer-ID-Zuordnung und DNS Auflösungsproblemen. Die Firewalls waren falsch konfiguriert, um sowohl Zertifikat als auch Cookie für die Authentifizierung auf dem Rozrywki-Gateway zu überprüfen. Dies führte dazu, dass das Client-Zertifikat aufgrund inkonsistenter Authentifizierung nicht vorhanden war. Dieses Problem wurde noch dadurch verschärft, dass die DNS Server zeitweise nicht erreichbar waren, was zu DNS Timeouts und der Unfähigkeit führte, auf interne Ressourcen zuzugreifen.

Resolution


**SANIERUNGSPLAN**
1. Konfigurieren Sie GlobalProtect-Gateways einheitlich auf allen Firewalls. Verwenden Sie entweder sowohl Zertifikat als auch Cookie-Authentifizierung oder nur Cookies.
2. Überprüfen Sie, ob die DNS Dienste von den Client-Rechnern aus erreichbar sind und ob die DNS Auflösung ordnungsgemäß funktioniert.
3. Überprüfen und aktualisieren die Richtlinien, um sicherzustellen, dass für HTTPS und DNS-Datenverkehr die entsprechenden Richtlinien angewendet werden.
4. Stellen Sie sicher, dass der Benutzer-ID-Zuordnungsprozess auf beiden Firewalls konsistent und korrekt ist.

**PRÄVENTIVE_MASSNAHMEN**
1. Implementieren Sie einen Mechanismus zur proaktiven überwachen der DNS Serververfügbarkeit und -konnektivität von Client-Rechnern
2. Richten Sie Protokollierungen und Warnmeldungen für alle Probleme oder Inkonsistenzen im Zusammenhang mit der Benutzer-ID ein
3. Überprüfen Sie regelmäßig die GlobalProtect Gateway -Konfigurationen und Authentifizierungsmethoden, um Konsistenz sicherzustellen

Additional Information


N / A
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PR0aCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language