の証明書の追加PAN-OS統合ユーザー-IDエージェント WinRM オーバーHTTPS接続すると、ターミナル サーバー エージェントの接続が失敗する場合があります。

いずれかに必要な証明書を追加するPAN-OS統合ユーザー-IDエージェント WinRM オーバーHTTPSトランスポート プロトコルによって署名された証明書をターミナル サーバー エージェントが使用していない場合、ターミナル サーバー エージェントの接続が失敗します。CAに含まれる証明書プロファイルその結果、停止します。

ユーザー-IDにログオンしますfirewall次のエラーが表示されます。

2022-09-30 10:55:45.339-0700 エラー: pan_ssl_conn_open (pan_ssl_utils.c:843): エラー: 10.xxx への接続に失敗しました (ソース: 10.yyy)、SSLエラー: エラー:00000000:lib(0):機能(0):理由(0)(0)

エラーログには2つ表示されますIPアドレス。 最初IPアドレス (上記の例では10.xxx ) は、ターミナル サーバー エージェントのIP住所。 二番目IPアドレス (上記の例では10.yyy ） それはfirewallのIP住所。

Firewall/PanoramaランニングPAN-OS10.0 以上のバージョン
PAN-OS統合ユーザー-IDエージェント
ターミナル サーバー エージェント

から始まるPAN-OS10.0 では、ファイアウォールとエージェント間の安全な通信のために証明書を追加できます。 ただし、firewallユーザー間で共有されます-IDエージェントとターミナル サーバー エージェント。

したがって、証明書を追加するとPAN-OS統合ユーザー-IDエージェント WinRMHTTPS証明書プロファイルはターミナル サーバー エージェントとの接続にも影響し、証明書を検証できない場合、ターミナル サーバー エージェントへの接続は失敗します。

1. ユーザーの予期される動作により、IDエージェントとターミナル サーバー エージェントが証明書プロファイルを共有している場合、これを防ぐ 1 つの方法は、同じルートによって署名されたターミナル サーバー エージェント証明書を持つことです。CA上の証明書プロファイルで指定された証明書firewall.
   1. ドキュメントのステップ 4 (オプション) を参照してください。 Palo Alto Networks ターミナル サーバーを構成します (TS ) ユーザー マッピングのエージェント
2. ユーザーを切り替えます-ID WinRM を使用するエージェントHTTP. この方法では証明書を使用する必要がないため、証明書プロファイルは必要ありません。