Der Terminalserver-Agent kann nach dem Upgrade auf firewall 10.1.3 nicht verbunden werden

• PaloAlto Firewall
• PAN-OS Upgrade auf 10.1.x
• Terminalserver-Agent

• Ab PAN-OS Version 10.0 weist die Verbindung zum Terminalserver-Agent die firewall gleiche Sicherheitsüberprüfung auf wie der Benutzer-Agent ID (UIA).
• Es gibt zusätzliche Schlüsselverwendung und CN (Common Name) Validierungen für das Zertifikat, das vom Terminalserver-Agent auf der firewall.
• Wenn sie unterschiedlich sind, wird im useridd-Protokoll (abzüglich mp-log useridd.log) angezeigt, dass sich der auf dem Zertifikat von dem Hostnamen unterscheidet, der auf der CN . firewall

debug: pan_user_id_perform_cn_validations(pan_user_id_ssl.c:1021): pan_user_id_perform_cn_validations failed
Error: pan_user_id_tsa_verify_def_cert_cb(pan_user_id_tsa.c:381): pan_user_id_perform_cn_validations failed

• Konfigurieren des Terminalserver-Agents
• Siehe auch: 10.1.5 behobene Probleme () - Es wurde ein Problem behoben, bei dem Terminaldienst-Agenten (PAN-184047TSAgent) Verbindungen mit einem Zertifikatsprofil und der Zertifikatskette auf dem TS Agenten fehlschlugen. Dies lag daran, dass allgemeine Namensüberprüfungen und Schlüsselverwendungsprüfungen im Stamm- oder Zwischenzertifikat durchgeführt wurden.