Se ve el error "Error al recuperar tenantDomain para la región" al intentar recuperar grupos CIE en el firewall

10303

Created On 12/06/22 16:04 PM - Last Modified 07/24/24 14:36 PM

Symptom

Configuración del firewall para recuperar asignaciones de grupos de Cloud Identity Engine
Mensaje de error "Error al recuperar tenantDomain.. " se ve en modo de depuración de DSCD.log (menos MP-log DSCD.log)

(Marque "información adicional" para ejecutar dscd.log en modo de depuración)

{"level":"debug","time":"2022-12-02T07:56:44.339811754Z","message":"[CFG-DATA] Sending query to fetch tenantDomain for region europe"} 
{"level":"debug","time":"2022-12-02T07:56:44.339862462Z","message":"[CFG-DATA] TenantDomain: Get tenant Domains url: https://app-directory-sync.eu.paloaltonetworks.com/service/directory/v1/tenantdomains"} 
{"level":"debug","time":"2022-12-02T07:56:44.438575944Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.440328384Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.442030888Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.443351098Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"error","time":"2022-12-02T07:56:46.724860938Z","message":"Failed to retrieve tenantDomain for region europe"}

Environment

Cortafuegos de Palo Alto o Panorama
PAN-OS 10.1 y superior.
Firewall de PAN-OS recuperando asignaciones de grupo de Cloud Identity Engine.
Cloud Identity Engine con configuración de directorios en la nube.

Cause

Es necesario realizar una búsqueda exitosa de la Región para recuperar los grupos CIE.
Los registros DSCD indican que se está produciendo un error en la recuperación de la región.

Resolution

Asegúrese de que la dirección URL del dominio del inquilino (como se ve en dscd.log) sea accesible desde el firewall.

Additional Information

Nota 1: La dirección URL cambia en función de la región donde está configurada la CIE.

El dscd.log se puede habilitar en el nivel de depuración ejecutando el siguiente comando:

> debug user-id dscd on debug

Puede revertir los cambios ejecutando el siguiente comando:

> debug user-id dscd on info

Nota 2: Cloud Identity Engine utiliza la ruta de servicio de Palo Alto Networks Services.