GlobalProtect 사용자가 연결 후 몇 분 만에 네트워크 액세스를 잃는 문제를 해결하는 방법(사용자 ID 덮어쓰기)

6160

Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM

Symptom

? 사용자는 세션 중간에 20분 이내에 재인증됩니다.
? 사용자-IP 매핑 테이블에서 사용자 이름 형식이 변경되었습니다.
? 문제 발생 시 해당 컴퓨터에서 DNS 서버에 접근할 수 없었습니다.
? DNS 응답이 관찰되지 않았습니다.
? GlobalProtect 연결을 새로 고치면 문제가 일시적으로 해결됩니다.
? 문제가 20분마다 반복됩니다

**오류 로그**
? 클라이언트 인증서가 유효하지 않습니다.
? 클라이언트 인증서가 없습니다
? 쿠키가 만료되었습니다
? DNS 요청 시간이 초과되었습니다.
? 포트 53 및 443에 적용 불가로 표시된 응용 프로그램
? 서버에서 TCP 재설정

**로그 서명**
? 사용자.src eq '말로폴스키에미칼스키'
? 사용자.src eq 'malopolskie.straz.gov.plamichalski'

Environment

**제품 버전**
? PANOS-10.2
? PANOS-11.x
? 글로벌 프로텍트: 6.x

Cause

문제의 근본 원인은 잘못 구성된 GlobalProtect 게이트웨이, 일관되지 않은 사용자 ID 매핑, DNS 확인 문제의 조합이었습니다. 방화벽은 Rozrywki 게이트웨이에서 인증을 위해 인증 와 쿠키를 모두 확인하도록 잘못 구성되었습니다. 이로 인해 일관되지 않은 인증으로 인해 클라이언트 인증서가 존재하지 않는 문제가 발생했습니다. 이 문제는 때때로 DNS 서버에 도달할 수 없어서 DNS 시간 초과 및 내부 리소스에 액세스할 수 없게 되어 더욱 복잡해졌습니다.

Resolution

**개선 계획**
1. 모든 방화벽에서 GlobalProtect 게이트웨이를 일관되게 구성합니다. 인증 와 쿠키 인증을 모두 사용하거나 쿠키만 사용합니다.
2. 클라이언트 컴퓨터에서 DNS 서비스에 액세스할 수 있는지, DNS 확인이 올바르게 작동하는지 확인합니다.
3. HTTPS 및 DNS 트래픽 에 적절한 정책이 적용되는지 확인하기 위해 정책을 검토하고 업데이트하다 .
4. 사용자 ID 매핑 프로세스가 두 방화벽 모두에서 일관되고 정확한지 확인합니다.

**예방 조치**
1. 클라이언트 컴퓨터에서 DNS 서버 가용성 및 연결을 사전에 모니터 메커니즘을 구현합니다.
2. 사용자 ID 관련 문제나 불일치 사항에 대한 로깅 및 경고 설정
3. 일관성을 보장하기 위해 GlobalProtect 게이트웨이 구성 및 인증 방법을 정기적으로 검토합니다.

Additional Information