Comment résoudre le problème des utilisateurs de GlobalProtect qui perdent l'accès au réseau quelques minutes après la connexion (ID utilisateur écrasé)

Comment résoudre le problème des utilisateurs de GlobalProtect qui perdent l'accès au réseau quelques minutes après la connexion (ID utilisateur écrasé)

6196
Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM


Symptom


? Les utilisateurs sont ré-authentifiés en 20 minutes au milieu de la session
? Modifications du format du nom d'utilisateur dans la table de mappage utilisateur-IP
? Les serveurs DNS étaient inaccessibles depuis la machine au moment du problème
? Aucune réponse DNS observée
? Problème temporairement résolu en actualisant la connexion GlobalProtect
? Le problème se reproduit toutes les 20 minutes

**JOURNAUX D'ERREURS**
? Certificat client non valide
? Le certificat client n'est pas présent
? Cookie expiré
? Les requêtes DNS ont expiré
? Application marquée comme non applicable pour les ports 53 et 443
? TCP se réinitialise à partir du serveur

**SIGNATURES_DU_JOURNAL**
? utilisateur.src eq 'malopolskieamichalski'
? utilisateur.src eq 'malopolskie.straz.gov.plamichalski'

Environment


**Versions_du_produit**
? PANOS-10.2
? PANOS-11.x
? GlobalProtect : 6.x

Cause


La cause principale du problème était la combinaison de passerelles GlobalProtect mal configurées, d'un mappage d'ID utilisateur incohérent et de problèmes de résolution DNS . Les pare-feu ont été mal configurés pour vérifier à la fois le certificat et le cookie pour l'authentification sur la passerelle Rozrywki. Cela a entraîné un problème d'absence de certificat client en raison d'une authentification incohérente. Ce problème a été encore compliqué par le fait que les serveurs DNS étaient parfois inaccessibles, ce qui a entraîné des expirations de délai DNS et l'impossibilité d'accéder aux ressources internes.

Resolution


**PLAN_DE_REMÉDIATION**
1. Configurez les passerelles GlobalProtect de manière cohérente sur tous les pare-feu. Utilisez l'authentification par certificat et par cookie ou utilisez uniquement l'authentification par cookie.
2. Vérifiez que les services DNS sont accessibles depuis les machines clientes et que la résolution DNS fonctionne correctement
3. Examinez et mettre à jour les politiques pour vous assurer que les politiques appropriées sont appliquées au trafic DNS HTTPS et DNS.
4. Assurez-vous que le processus de mappage des ID utilisateur est cohérent et correct sur les deux pare-feu.

**MESURES_PRÉVENTIVES**
1. Mettre en œuvre un mécanisme permettant de surveiller de manière proactive la disponibilité et la connectivité du serveur DNS à partir des machines clientes
2. Configurez la journalisation et les alertes pour tout problème ou incohérence lié à l'ID utilisateur
3. Vérifiez régulièrement les configurations de la passerelle GlobalProtect et les méthodes d'authentification pour garantir la cohérence

Additional Information


N / A
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PR0aCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language