Richtlinie mit MFA funktioniert nicht für RDP über Global Protect-Verbindung
5545
Created On 10/05/22 05:00 AM - Last Modified 01/28/25 21:44 PM
Symptom
- RDP schlägt mit der Fehlermeldung „Ein interner Fehler ist aufgetreten“ fehl.
- PAN_GPS logs
CPanMSService::MFAuthHandleMsg: received optType=3, optLength=62, optVal=0x68 CPanMSService::MFAuthHandleMsg: received url=http://10.16.0.1:6080/php/browser_challenge.php?vsys=1&rule=0 CPanMSService::MFAuthHandleMsg: host name =10.16.0.1:6080 CPanMSService::IsHostInTrustedList() host = 10.16.0.1:6080 is not in trusted host list! CPanMSService::MFAuthHandleMsg: The host (10.16.0.1:6080) is not in the trusted host list. - In der Firewall konnten wir den Grund für das Sitzung als „auth-policy-deny“ für die Anwendung „cotp“ sehen.
Environment
- Globaler Schutz
- PAN-OS
Cause
- Die Authentifizierung ist fehlgeschlagen, da der Umleitungshost nicht in der Liste der vertrauenswürdigen MFA-Hosts konfiguriert war
Resolution
- Navigieren Sie zu Netzwerk > GlobalProtect > Portale > wählen Sie das konfigurierte Portal > Agent > wählen Sie die App > und ändern Sie die folgenden App-Konfigurationsparameter
- Fügen Sie im Feld „Vertrauenswürdige MFA-Gateways“ die umgeleitete Host- IP-Adresse und den Port hinzu, die in den PANGPS-Protokollen gefunden wurden.
Additional Information
- Überprüfen Sie die PAN-GPS-Protokolle, um die genaue IP-Adresse des Umleitungshosts zu erfahren
- Hinweis: Überprüfen Sie, ob die Windows Defender- Firewall die MFA-Eingabeaufforderung blockiert, indem Sie die Windows Defender- Firewall deaktivieren.
- Konfigurieren Sie GlobalProtect, um Benachrichtigungen zur Multi-Faktor-Authentifizierung zu ermöglichen https://docs.paloaltonetworks.com/globalprotect/9-1/globalprotect-admin/authentication/configure-globalprotect-to-facilitate-multi-factor-authentication-notifications
- GlobalProtect: Authentifizierungsrichtlinie mit MFA https://live.paloaltonetworks.com/t5/globalprotect-articles/globalprotect-authentication-policy-with-mfa/ta-p/322236