Kerberos-Fehler "-1765328228" nach der Konfiguration ... - Knowledge Base - Palo Alto Networks

Kerberos-Fehler "-1765328228" nach der Konfiguration mit WinRM- oder WinRM- für agentenlose Benutzer-HTTPHTTPSID

16489

Created On 01/25/23 18:22 PM - Last Modified 04/11/23 01:22 AM

Symptom

Kerberos-Fehler "-1765328228" wird nach der Konfiguration mit WinRM- oder WinRM-HTTPHTTPS für agentenlose Benutzer beobachtetID

Details:

Das Kerberos-Serverprofil ist so konfiguriert, dass es den Port 5985 verwendet, wenn für den agentlosen BenutzerID das WinRM-ProtokollHTTP aktiviert ist

Das Kerberos-Serverprofil wird der Konfiguration des agentenlosen Benutzers hinzugefügt (GUI: Geräte- > Benutzeridentifikation > > BenutzerzuordnungID)

Agentenlose BenutzerkonfigurationID mit WinRM-Kerberos-ServerprofilHTTP

Nach dem Festschreiben der Änderungen sehen wir, dass die Verbindung in der Konfiguration des agentenlosen BenutzersID fehlgeschlagen ist und die folgenden Protokolleinträge in der useridd.log generiert werden (weniger mp-log useridd.log)

2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328228.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1987): krb5: accout=svc-panuserid, domain=PLANOLAB.COM, principal=svc-panuserid@PLANOLAB.COM, cached file=/opt/pancfg/.userid/krb5_cache_1_lab101.planolab.com_1661450486.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2013): krb5 error -1765328228: Cannot contact any KDC for realm 'PLANOLAB.COM'.
2022-08-28 15:59:52.139 -0700 Warning:  pan_user_id_krb5_set(pan_user_id_win.c:2101): failed to acquire krb5 tgt ticket on vsys 1 for server lab101.planolab.com.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_winrm_query(pan_user_id_win.c:2628): failed to prepare winrm connection in vsys 1, server=lab101.planolab.com.
2022-08-28 15:59:53.238 -0700 krb5 config:
[libdefaults]
         default_realm = PLANOLAB.COM
         dns_lookup_realm = true
         dns_lookup_kdc = true
         rdns = false
         dns_canonicalize_hostname = false
         default_tkt_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         default_tgs_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         forwardable = true
[realms]
         PLANOLAB.COM = {
                 kdc = lab101.planolab.com:5985
         }

Ähnliche Protokolleinträge werden generiert, wenn das Kerberos-Serverprofil für die Verwendung des Ports 5986 konfiguriert ist, wenn das WinRM-ProtokollHTTPS für agentenlosen BenutzerID aktiviert ist
Diese spezielle Fehlermeldung konnte das krb5 tgt-Ticket nicht mit dem Fehler -1765328228 wird generiert, wenn das Kerberos-Serverprofil den falschen Port konfiguriert hat

Environment

Palo Alto Firewall
Unterstützt PAN-OS
Agentenloser Benutzer-ID
WinRM- oder WinRM-HTTPHTTPS Protokoll
Kerberos-Authentifizierungsprofil

Cause

Wenn entweder das WinRM- oder das WinRM-ProtokollHTTPS HTTP in der Konfiguration des agentenlosen BenutzersID aktiviert ist, wird Port 5985 bzw. 5986 verwendet, PAN-OS firewall wenn eine Verbindung zu den Domänencontrollern hergestellt wird. Diese Ports müssen nicht explizit konfiguriert werden

Resolution

Verwenden Sie die Standardkonfiguration für die Kerberos-Konfiguration. PAN-OS firewall verwendet den Standardport 88, um eine Verbindung zum Kerberos-Server für eines der folgenden Protokolle herzustellen:

WinRM - Kerberos-ServerprofilHTTP mit korrektem Port

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates