Kerberos 사용하여 HTTP 통한 WinRM을 사용하여 구성된 서버 모니터링 연결되지 않음을 표시합니다.

Kerberos 사용하여 HTTP 통한 WinRM을 사용하여 구성된 서버 모니터링 연결되지 않음을 표시합니다.

40969
Created On 10/05/22 08:39 AM - Last Modified 01/07/25 18:05 PM


Symptom


  • Kerberos 사용하여 HTTP 통해 WinRM을 구성하면 연결되지 않음이 표시됩니다.
  • 시스템 로그에 "연결에 실패했습니다. Kerberos 오류가 발생했습니다."라는 상태 .
  • 방화벽 에서 포트 5985가 열려 있습니다.
  • Kerberos 서버에 대한 ping이 성공했습니다.
  • 장치 > 사용자 식별 > Palo Alto Networks 사용자 ID 에이전트 설정 > 서버 모니터 계정 으로 이동합니다.
    • 도메인의 DNS 이름 에 IP 주소 구성합니다.
Server Monitor Account Username
  • 시스템 로그 표시:
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG1DC01V(vsys1): connection failed, Kerberos error
high     userid         connect 0  Server monitor MHG2DC01V(vsys1): connection failed, Kerberos error
  • userid.logs를 살펴보니
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2063): failed to get krb5 tgt ticket with error -1765328316.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2068): krb5: accout=svcMHG2FW01Vuid, domain=TEST.PALOALTONETWORKS.COM.AU,principal=svcMHG2FW01Vuid@TEST.PALOALTONETWORKS.COM.AU,cached file=/opt/pancfg/.userid/krb5_cache_1_MHG1DC01V_1662698913.
+1000 Error: pan_user_id_krb5_init_ticket(pan_user_id_win.c:2094): krb5 error -1765328316: Realm not local to KDC.
+1000 Warning: pan_user_id_krb5_set(pan_user_id_win.c:2182): failed to acquire krb5 tgt ticket on vsys 1 for server MHG1DC01V.
+1000 Error: pan_user_id_winrm_query(pan_user_id_win.c:2725): failed to prepare winrm connection in vsys 1, server=MHG1DC01V.
+1000 connecting to ldap://[10.31.200.50]:389 ...
+1000 Error: pan_ldap_bind_simple(pan_ldap.c:396): ldap_sasl_bind result return(49) : Invalid credentials
+1000 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:1086): pan_ldap_bind() failed

Environment


  • 팬-오스
  • 사용자 ID
  • HTTP 통한 WinRM을 사용한 모니터링

Cause


  • 장치 > 사용자 식별 > Palo Alto Networks 사용자 ID 에이전트 설정 > 서버 모니터 계정 의 "도메인의 DNS 이름" 필드에 잘못된 DNS IP 주소 사용되었습니다.

Resolution


  1. 모니터링되는 서버의 DNS 이름을 입력하세요.
  2. 서버 인증을 위해 Kerberos 사용하여 모니터링 서버에 대한 액세스를 구성하는 경우 Kerberos 영역 도메인을 입력합니다.

Windows 서버에서 Kerberos 서버의 FQDN 서버 관리자->도구-> DNS 관리자->에서 찾을 수 있습니다. -> 정방향 조회 영역->

Screenshot 2025-01-06 at 9.10.42?PM.png



Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wljsCAA&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language