Konfigurierte Serverüberwachung mit WinRM über HTTP mit Kerberos zeigt nicht verbunden an

Konfigurierte Serverüberwachung mit WinRM über HTTP mit Kerberos zeigt nicht verbunden an

40997
Created On 10/05/22 08:39 AM - Last Modified 01/07/25 05:12 AM


Symptom


  • Wenn Sie WinRM mit Kerberos konfigurieren HTTP , wird keine Verbindung angezeigt.
  • Systemprotokollstatus " Verbindung fehlgeschlagen, Kerberos-Fehler ".
  • Port 5985 ist auf der firewall
  • Der Ping-Befehl an den Kerberos-Server ist erfolgreich.
  • Navigieren Sie zu Geräte- > Benutzeridentifikation > Palo Alto Networks User-Agent Setup > Server Monitor-KontoID.
    • Konfigurieren der IP Adresse im DomänennamenDNS.
Bild.png
  • Systemprotokolle anzeigen:
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error           
  • Anzeigen von userid.logs
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328316.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2068): krb5: accout=svcMHG2FW01Vuid, domain=TEST.PALOALTONETWORKS.COM.AU,principal=svcMHG2FW01Vuid@TEST.PALOALTONETWORKS.COM.AU,cached file=/opt/pancfg/.userid/krb5_cache_1_MHG1DC01V_1662698913.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2094): krb5 error -1765328316: Realm not local to KDC.
+1000 Warning: pan_user_id_krb5_set(pan_user_id_win.c:2182): failed to acquire krb5 tgt ticket on vsys 1 for server MHG1DC01V.
+1000 Error: pan_user_id_winrm_query(pan_user_id_win.c:2725): failed to prepare winrm connection in vsys 1, server=MHG1DC01V.
+1000 connecting to ldap://[10.31.200.50]:389 ...
+1000 Error: pan_ldap_bind_simple(pan_ldap.c:396): ldap_sasl_bind result return(49) : Invalid credentials
+1000 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:1086): pan_ldap_bind() failed

 

Environment


  • PAN-OS 
  • USER-ID
  • Überwachung mit WinRM über HTTP

Cause


  • Falsche DNS IP Adresse wird im Feld "Name der DNS Domäne" unter Geräte- > Benutzeridentifikation > Palo Alto Networks Benutzer-Agent-Setup > Servermonitor-KontoID verwendet


Resolution


  1. Geben Sie den DNS Namen des überwachten Servers ein.
  2. Wenn Sie den Zugriff auf überwachte Server mithilfe von Kerberos für die Serverauthentifizierung konfigurieren, geben Sie die Kerberos-Realm-Domäne ein.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wljsCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language