ファイアウォールで CIE グループを取得しようとすると、「リージョンの tenantDomain を取得できませんでした」というエラーが表示される

10225

Created On 12/06/22 16:04 PM - Last Modified 07/24/24 14:36 PM

Symptom

ファイアウォールのセットアップCloud Identity Engine からグループマッピングを取得する
エラーメッセージ "テナントドメインの取得に失敗しました。」 dscd.log のデバッグモードで表示されます ( mp-log dscd.log を減らす)

(デバッグモードでの dscd.log の実行に関する「追加情報」を確認してください)

{"level":"debug","time":"2022-12-02T07:56:44.339811754Z","message":"[CFG-DATA] Sending query to fetch tenantDomain for region europe"} 
{"level":"debug","time":"2022-12-02T07:56:44.339862462Z","message":"[CFG-DATA] TenantDomain: Get tenant Domains url: https://app-directory-sync.eu.paloaltonetworks.com/service/directory/v1/tenantdomains"} 
{"level":"debug","time":"2022-12-02T07:56:44.438575944Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.440328384Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.442030888Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"debug","time":"2022-12-02T07:56:44.443351098Z","message":"[CERT-VERIFY]Use local source address 10.14.22.240 for http request"}
{"level":"error","time":"2022-12-02T07:56:46.724860938Z","message":"Failed to retrieve tenantDomain for region europe"}

Environment

パロアルトファイアウォールまたはパノラマ
PAN-OS 10.1以降。
PAN-OS ファイアウォールが Cloud Identity Engine からグループマッピングを取得します。
クラウドディレクトリ構成を備えた Cloud Identity Engine。

Cause

CIE グループを取得するには、リージョンの取得が成功する必要があります。
dscd ログは、領域の取得が失敗していることを示しています。

Resolution

テナントドメイン URL (dscd.log に表示される) がファイアウォールから到達可能であることを確認します。

Additional Information

注1: URL は、CIE が設定されている地域に基づいて変わります。

以下のコマンドを実行すると、dscd.log をデバッグレベルで有効にできます。

> debug user-id dscd on debug

以下のコマンドを実行すると、変更を元に戻すことができます。

> debug user-id dscd on info