Cómo solucionar el problema de que los usuarios de GlobalProtect pierdan el acceso a la red algunos minutos después de conectarse (ID de usuario sobrescrito)

Cómo solucionar el problema de que los usuarios de GlobalProtect pierdan el acceso a la red algunos minutos después de conectarse (ID de usuario sobrescrito)

6188
Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM


Symptom


Los usuarios se vuelven a autenticar en 20 minutos a mitad de la sesión.
? Cambios en el formato de nombre de usuario en la tabla de mapeo de direcciones IP de usuario
? Los servidores DNS no estaban accesibles desde la máquina en el momento del problema
No se observaron respuestas DNS
? El problema se resolvió temporalmente al actualizar la conexión de GlobalProtect
El problema se repite cada 20 minutos.

**REGISTROS DE ERRORES**
? Certificado de cliente no válido
? El certificado del cliente no está presente
? Cookie caducada
? Se agotó el tiempo de espera de las solicitudes DNS
? Aplicación marcada como no aplicable para los puertos 53 y 443
? TCP se restablece desde el servidor

**FIRMAS DE REGISTRO**
? usuario.src eq 'malopolskieamichalski'
? usuario.src eq 'malopolskie.straz.gov.plamichalski'

Environment


**Versiones del producto**
? PANOS-10.2
? PANOS-11.x
? Protección global: 6.x

Cause


La causa principal del problema fue la combinación de puertas de enlace de GlobalProtect mal configuradas, mapeo inconsistente de ID de usuario y problemas de resolución de DNS . Los firewalls estaban mal configurados para verificar tanto el certificado como la cookie para la autenticación en la puerta de enlace de Rozrywki. Esto provocó que el certificado del cliente no estuviera presente debido a una autenticación inconsistente. Este problema se complicó aún más porque a veces no se podía acceder a los servidores DNS , lo que generaba tiempos de espera de DNS e imposibilidad de acceder a los recursos internos.

Resolution


**PLAN DE RECTIFICACIÓN**
1. Configure las puertas de enlace de GlobalProtect de forma uniforme en todos los firewalls. Utilice autenticación con certificado y cookies o utilice solo cookies.
2. Verifique que los servicios DNS sean accesibles desde las máquinas cliente y que la resolución DNS esté funcionando correctamente
3. Revise y actualizar las políticas para garantizar que se apliquen las políticas adecuadas para el tráfico HTTPS y Tráfico DNS.
4. Asegúrese de que el proceso de asignación de ID de usuario sea consistente y correcto en ambos firewalls.

**MEDIDAS PREVENTIVAS**
1. Implementar un mecanismo para supervisar de manera proactiva la disponibilidad y la conectividad del servidor DNS desde las máquinas cliente
2. Configure el registro y las alertas para cualquier problema o inconsistencia relacionada con la identificación del usuario.
3. Revise periódicamente las configuraciones de la Puerta de enlace de GlobalProtect y los métodos de autenticación para garantizar la coherencia.

Additional Information


N / A
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PR0aCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language