GlobalProtect ユーザーが接続後数分でネットワーク アクセスを失う問題を修正する方法 (ユーザー ID が上書きされる)
6194
Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM
Symptom
? ユーザーはセッションの途中で20分以内に再認証を受ける
? ユーザー-IP マッピング テーブルでのユーザー名形式の変更
? 問題が発生した時点で、マシンからDNSサーバーにアクセスできなかった
? DNS応答が観測されない
? GlobalProtect接続を更新することで問題は一時的に解決されました
? 問題は20分ごとに再発します
**エラーログ**
? クライアント証明書が無効です
? クライアント証明書が存在しません
? クッキーの有効期限が切れました
? DNS要求がタイムアウトしました
? ポート53および443には適用されないとマークされたアプリケーション
? サーバーからのTCPリセット
**ログ署名**
?ユーザー.src eq 'malopolskieamichalski'
?ユーザー.src eq 'malopolskie.straz.gov.plamichalski'
Environment
**製品バージョン**
? パノス-10.2
? パノス-11.x
? グローバルプロテクト: 6.x
Cause
この問題の根本的な原因は、GlobalProtect ゲートウェイの誤った構成、一貫性のないユーザー ID マッピング、およびDNS解決の問題の組み合わせでした。ファイアウォールは、Rozrywki ゲートウェイでの認証に証明書と Cookie の両方を検証するように誤って構成されていました。その結果、一貫性のない認証によりクライアント証明書が存在しないという問題が発生しました。この問題は、 DNSサーバーが時々アクセス不能になり、 DNSタイムアウトが発生して内部リソースにアクセスできなくなることでさらに複雑になりました。
Resolution
**修復計画**
1. すべてのファイアウォールで GlobalProtect ゲートウェイを一貫して構成します。証明書と Cookie 認証の両方を使用するか、Cookie のみを使用します。
2. クライアントマシンからDNSサービスにアクセスでき、 DNS解決が正しく機能していることを確認します。
3. ポリシーを確認して更新する、 HTTPSおよびDNSトラフィックに適切なポリシーが適用されていることを確認します。
4. 両方のファイアウォールでユーザー ID マッピング プロセスが一貫しており、正しいことを確認します。
**予防措置**
1. クライアントマシンからDNSサーバーの可用性と接続性を積極的に監視するメカニズムを実装する
2. ユーザーID関連の問題や不一致についてログとアラートを設定する
3. GlobalProtectゲートウェイの構成と認証方法を定期的に確認し、一貫性を確保する
Additional Information
該当なし