WinRM 使用時にサーバー監視ステータスが「接続拒否 (0)」のままになる -HTTP /WinRM-HTTPS
58706
Created On 01/25/22 00:11 AM - Last Modified 05/15/23 09:21 AM
Symptom
- セキュリティ イベントが監視されているドメイン コントローラーのステータスが「接続が拒否されました (0)」と表示されます。
- ユーザーがIPマッピングはドメイン コントローラーからは確認できません。
Environment
- PA Firewall を使用してPAN-OS統合ユーザー-IDエージェント。
- WinRM を使用して監視されているドメイン コントローラー -HTTPまたは WinRM-HTTPS輸送手段として。
Cause
ありませんHTTPレスポンスコードは0。 サーバー監視ステータスの「0」は、firewallドメイン コントローラーから応答を受信していません。 ときfirewallは応答を認識しません。デフォルトでは、応答コード フィールドに 0 が入力されます。 これは、次のようなことが原因で発生する可能性があります。
- のfirewall、または別のデバイスがポート 5985 上の Windows リモート管理トラフィックをブロックしています。
- 設定されたサーバー モニター アカウントのユーザー名の構文が間違っています (次の場合)FQDNの代わりに指定されますIPサーバーモニターの下のアドレス)。
- のFirewallドメイン コントローラーのホスト名を解決できません。
Resolution
1. useridd.log で次のエラー メッセージを確認します。
Error: pan_user_id_winrm_query(pan_user_id_win.c:2698): Connection failed. response code = 0, error: Failure when receiving data from the peer in vsys 1, server=server.pantac.local.lab.
このエラー メッセージが表示された場合は、ポート 5985 上の WinRM トラフィックがブロックされているか、またはユーザー名が以下で構成されていることを意味します。デバイス > ユーザー ID > Palo Alto Networks ユーザー -IDエージェントセットアップ > サーバーモニターアカウント構文が間違っています。 「pantac.local.lab」ドメイン内の「pan_agent」ユーザーの正しい構文の例は次のとおりです。
パンタック\パン_エージェント
この構文は、ドメイン コントローラーを使用して指定する場合に必要です。FQDN下デバイス >> ユーザー識別 >> サーバーモニター。
2. useridd.log に次のようなエラー メッセージが表示される可能性があります。
Error: pan_user_id_winrm_query(pan_user_id_win.c:2698): Connection failed. response code = 0, error: Couldn't resolve host name in vsys 1, server=server.pantac.local.lab
このメッセージが表示された場合は、firewallサーバー監視で設定されたホスト名を解決できません。 ことを確認してください。DNSで構成されたサーバーデバイス > セットアップ > サービスは正しく、ドメイン コントローラーのホスト名を解決できます。
Additional Information
詳しい内容については、HTTP応答コード 0 は、このスタック オーバーフロー スレッドを参照できることを意味します。
https://stackoverflow.com/questions/872206/what-does-it-mean-when-an-http-request-returns-status-code-0