Error de Kerberos "-1765328228" observado después de ... - Knowledge Base - Palo Alto Networks

Error de Kerberos "-1765328228" observado después de configurar con WinRM-HTTP o WinRM- para usuario sin agente-HTTPSID

16487

Created On 01/25/23 18:22 PM - Last Modified 04/11/23 01:21 AM

Symptom

Se observa el error "-1765328228" de Kerberos después de configurar con WinRM- o WinRM- para el usuario sin agente-HTTPHTTPSID

Detalles:

El perfil de servidor Kerberos está configurado para utilizar el puerto 5985 cuando el usuarioID sin agente tiene habilitado el protocolo WinRMHTTP

El perfil de servidor Kerberos se agrega a la configuración de usuarioID sin agente (GUI: Identificación de usuario > de dispositivo > > asignación de usuarios)

Configuración de usuarioID sin agente con WinRM- Perfil deHTTP servidor Kerberos

Después de confirmar los cambios, vemos que la conexión falló en la configuración de usuarioID sin agente y se generan entradas de registro a continuación en el useridd.log (menos mp-log useridd.log)

2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328228.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1987): krb5: accout=svc-panuserid, domain=PLANOLAB.COM, principal=svc-panuserid@PLANOLAB.COM, cached file=/opt/pancfg/.userid/krb5_cache_1_lab101.planolab.com_1661450486.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2013): krb5 error -1765328228: Cannot contact any KDC for realm 'PLANOLAB.COM'.
2022-08-28 15:59:52.139 -0700 Warning:  pan_user_id_krb5_set(pan_user_id_win.c:2101): failed to acquire krb5 tgt ticket on vsys 1 for server lab101.planolab.com.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_winrm_query(pan_user_id_win.c:2628): failed to prepare winrm connection in vsys 1, server=lab101.planolab.com.
2022-08-28 15:59:53.238 -0700 krb5 config:
[libdefaults]
         default_realm = PLANOLAB.COM
         dns_lookup_realm = true
         dns_lookup_kdc = true
         rdns = false
         dns_canonicalize_hostname = false
         default_tkt_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         default_tgs_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         forwardable = true
[realms]
         PLANOLAB.COM = {
                 kdc = lab101.planolab.com:5985
         }

Se generarán entradas de registro similares cuando el perfil de servidor Kerberos esté configurado para usar el puerto 5986 cuando el usuarioID sin agente tenga habilitado el protocolo WinRMHTTPS
Este mensaje de error en particular no pudo obtener el vale krb5 tgt con el error -1765328228 se genera cuando el perfil del servidor Kerberos tiene configurado el puerto incorrecto

Environment

Palo Alto Firewall
Apoyado PAN-OS
Usuario sin agente-ID
Protocolo WinRM o WinRMHTTPHTTPS
Perfil de autenticación Kerberos

Cause

Cuando el protocolo WinRM oHTTP WinRM está habilitado en la configuración de usuario sin HTTPS agente, firewall PAN-OS usará el puerto 5985 o 5986 respectivamente al conectarse a los controladores deID dominio. No es necesario configurar explícitamente estos puertos

Resolution

Use la configuración predeterminada para la configuración de Kerberos. PAN-OS firewall utilizará el puerto predeterminado 88 para conectarse al servidor Kerberos para cualquiera de los protocolos, como se muestra a continuación:

WinRM:HTTP perfil de servidor Kerberos con el puerto correcto

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates