La supervisión del servidor configurada mediante WinRM con HTTP Kerberos muestra que no está conectado

La supervisión del servidor configurada mediante WinRM con HTTP Kerberos muestra que no está conectado

40999
Created On 10/05/22 08:39 AM - Last Modified 01/07/25 05:12 AM


Symptom


  • La configuración de WinRM con HTTP Kerberos muestra no conectado.
  • Los registros del sistema indican " error de conexión, error de Kerberos ".
  • El puerto 5985 está abierto en el firewall
  • El ping al servidor Kerberos se realiza correctamente.
  • Vaya a Device > User identification > Palo Alto Networks User-Agent Setup > Server Monitor Account (Configuración del agente de usuario de Palo Alto Networks Cuenta de monitor delID servidor).
    • Configuración IP de la dirección en Nombre de DNS dominio.
Image.png
  • Mostrar registros del sistema:
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error           
  • Mirando userid.logs
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328316.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2068): krb5: accout=svcMHG2FW01Vuid, domain=TEST.PALOALTONETWORKS.COM.AU,principal=svcMHG2FW01Vuid@TEST.PALOALTONETWORKS.COM.AU,cached file=/opt/pancfg/.userid/krb5_cache_1_MHG1DC01V_1662698913.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2094): krb5 error -1765328316: Realm not local to KDC.
+1000 Warning: pan_user_id_krb5_set(pan_user_id_win.c:2182): failed to acquire krb5 tgt ticket on vsys 1 for server MHG1DC01V.
+1000 Error: pan_user_id_winrm_query(pan_user_id_win.c:2725): failed to prepare winrm connection in vsys 1, server=MHG1DC01V.
+1000 connecting to ldap://[10.31.200.50]:389 ...
+1000 Error: pan_ldap_bind_simple(pan_ldap.c:396): ldap_sasl_bind result return(49) : Invalid credentials
+1000 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:1086): pan_ldap_bind() failed

 

Environment


  • PAN-OS 
  • USER-ID
  • Supervisión mediante WinRM sobre HTTP

Cause


  • Se utiliza una dirección incorrecta DNS IP en el campo "Nombre de DNS dominio" en Identificación de usuario > dispositivo > Configuración del agente de PaloID Alto Networks > Cuenta de monitor del servidor

Resolution


  1. Introduzca el DNS nombre del servidor supervisado.
  2. Si configura el acceso a servidores supervisados mediante Kerberos para la autenticación del servidor, escriba el dominio de dominio Kerberos

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wljsCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language