具有 MFA 的身份验证策略不适用于通过全局保护连接的RDP

具有 MFA 的身份验证策略不适用于通过全局保护连接的RDP

5560
Created On 10/05/22 05:00 AM - Last Modified 01/28/25 21:44 PM


Symptom


  • RDP失败,并显示错误“发生内部错误”。
  • image (12).png
  • PAN_GPS logs
    CPanMSService::MFAuthHandleMsg: received optType=3, optLength=62, optVal=0x68
CPanMSService::MFAuthHandleMsg: received url=http://10.16.0.1:6080/php/browser_challenge.php?vsys=1&rule=0
CPanMSService::MFAuthHandleMsg: host name =10.16.0.1:6080
CPanMSService::IsHostInTrustedList() host = 10.16.0.1:6080 is not in trusted host list!
CPanMSService::MFAuthHandleMsg: The host (10.16.0.1:6080) is not in the trusted host list.
  • 在防火墙中,我们可以看到应用程序“cotp”的会话结束原因是“auth-policy-deny”

Environment


  • 全球保护
  • 泛操作系统

Cause


  • 由于重定向主机未配置在受信任的 MFA 主机列表中,因此身份验证失败

Resolution


  1. 导航到网络 > GlobalProtect > 门户 > 选择已配置的门户> 代理 > 选择应用程序 > 并更改以下应用程序配置参数
  2. 在“受信任的 MFA 网关”字段中添加在 PANGPS 日志中找到的重定向主机IP 地址和端口截图 2022-10-05 105209.png

Additional Information


  • 检查 PAN-GPS 日志以了解确切的重定向主机IP 地址
  • 注意:通过禁用 Windows Defender防火墙来检查 Windows Defender防火墙是否阻止了 MFA 提示。
  • 配置 GlobalProtect 以促进多因素身份验证通知 https://docs.paloaltonetworks.com/globalprotect/9-1/globalprotect-admin/authentication/configure-globalprotect-to-facilitate-multi-factor-authentication-notifications
  • GlobalProtect:使用 MFA 的身份验证策略 https://live.paloaltonetworks.com/t5/globalprotect-articles/globalprotect-authentication-policy-with-mfa/ta-p/322236
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wljdCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language