Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
WinRM で構成した後に Kerberos エラー "-1765328228" が観察される -HTTP... - Knowledge Base - Palo Alto Networks

WinRM で構成した後に Kerberos エラー "-1765328228" が観察される -HTTPまたはWinRM-HTTPSエージェントレス ユーザー向け -ID

16489
Created On 01/25/23 18:22 PM - Last Modified 04/11/23 01:21 AM


Symptom


  • WinRM で構成した後に Kerberos エラー "-1765328228" が観察される -HTTPまたはWinRM-HTTPSエージェントレス ユーザー向け -ID
詳細:
WinRM-HTTP Kerberos サーバー プロファイル
  • エージェントレス ユーザーに Kerberos サーバー プロファイルが追加されます。ID構成 (GUI :デバイス > ユーザー ID > > ユーザー マッピング )
エージェントレス ユーザー-ID WinRM を使用した構成-HTTP Kerberos サーバー プロファイル
  • 変更をコミットすると、接続に失敗しましたエージェントレスユーザーで-ID設定および以下のログ エントリがuseridd.log (少ない mp ログ useridd.log )
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1982): failed to get krb5 tgt ticket with error -1765328228.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:1987): krb5: accout=svc-panuserid, domain=PLANOLAB.COM, principal=svc-panuserid@PLANOLAB.COM, cached file=/opt/pancfg/.userid/krb5_cache_1_lab101.planolab.com_1661450486.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_krb5_init_ticket(pan_user_id_win.c:2013): krb5 error -1765328228: Cannot contact any KDC for realm 'PLANOLAB.COM'.
2022-08-28 15:59:52.139 -0700 Warning:  pan_user_id_krb5_set(pan_user_id_win.c:2101): failed to acquire krb5 tgt ticket on vsys 1 for server lab101.planolab.com.
2022-08-28 15:59:52.139 -0700 Error:  pan_user_id_winrm_query(pan_user_id_win.c:2628): failed to prepare winrm connection in vsys 1, server=lab101.planolab.com.
2022-08-28 15:59:53.238 -0700 krb5 config:
[libdefaults]
         default_realm = PLANOLAB.COM
         dns_lookup_realm = true
         dns_lookup_kdc = true
         rdns = false
         dns_canonicalize_hostname = false
         default_tkt_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         default_tgs_enctypes = aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96
         forwardable = true
[realms]
         PLANOLAB.COM = {
                 kdc = lab101.planolab.com:5985
         }
  • Agentless User-IDもっているWinRM-HTTPSプロトコルが有効
  • この特定のエラーメッセージエラー -1765328228 で krb5 tgt チケットを取得できませんでしたKerberos サーバー プロファイルに正しくないポートが構成されている場合に生成されます

Environment


  • パロアルト Firewall
  • 対応 PAN-OS
  • エージェントレス ユーザー-ID
  • WinRM-HTTPまたはWinRM-HTTPSプロトコル
  • Kerberos 認証プロファイル

Cause


いずれかの場合WinRM-HTTPまたWinRM-HTTPSエージェントレス ユーザーでプロトコルが有効になっています。ID構成、PAN-OSfirewallドメイン コントローラに接続するときは、それぞれポート 5985 または 5986 を使用します。 これらのポートを明示的に構成する必要はありません

Resolution


Kerberos 構成のデフォルト構成を使用します。 PAN-OS firewall 以下に示すように、デフォルトのポート 88 を使用して、いずれかのプロトコルの Kerberos サーバーに接続します。
WinRM-HTTP正しいポートを持つ Kerberos サーバー プロファイル
 
 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,268
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sadWCAQ&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language