如何修复 GlobalProtect 用户连接后几分钟失去网络访问权限(用户 ID 被覆盖)

如何修复 GlobalProtect 用户连接后几分钟失去网络访问权限(用户 ID 被覆盖)

6166
Created On 01/02/25 16:36 PM - Last Modified 09/22/25 17:35 PM


Symptom


? 用户在会话中 20 分钟内重新进行身份验证
? 用户-ip映射表中用户名格式变化
? 发生问题时,计算机无法访问DNS服务器
? 没有观察到DNS响应
? 通过刷新 GlobalProtect 连接暂时解决问题
? 问题每 20 分钟重复一次

**错误日志**
? 客户端证书无效
? 客户端证书不存在
? Cookie 已过期
? DNS请求超时
? 应用程序标记为不适用于端口 53 和 443
? TCP从服务器重置

**日志签名**
?用户.src eq 'malopolskieamichalski'
?用户.src eq 'malopolskie.straz.gov.plamichalski'

Environment


**产品版本**
帕诺斯-10.2
帕诺斯-11.x
? GlobalProtect:6.x

Cause


问题的根本原因是 GlobalProtect 网关配置错误、用户 ID 映射不一致以及DNS解析问题。防火墙配置错误,无法在 Rozrywki 网关上验证证书和 cookie 以进行身份​​验证。这导致由于身份验证不一致而出现客户端证书不存在的问题。DNSDNS有时无法访问,导致DNS超时和无法访问内部资源,这使问题变得更加复杂。

Resolution


**补救计划**
1. 在所有防火墙上一致地配置 GlobalProtect 网关。要么同时使用证书和 cookie 身份验证,要么仅使用 cookie。
2. 验证是否可以从客户端计算机访问DNS服务,以及DNS解析是否正常运行
3. 审查并更新策略,以确保对HTTPS和DNS 流量应用适当的策略。
4. 确保两个防火墙上的用户 ID 映射过程一致且正确。

**预防措施**
1. 实施一种机制,从客户端计算机主动监视器DNS服务器的可用性和连接性
2. 设置日志记录和警报,以记录任何与用户 ID 相关的问题或不一致情况
3. 定期检查GlobalProtect 网关配置和身份验证方法,以确保一致性

Additional Information


不适用
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PR0aCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language