User-ID エージェント状態がPalo Alto Networks Firewall上で'not-conn'と表示される

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

https://live.paloaltonetworks.com/t5/Management-Articles/User-ID-Agent-Shows-as-not-conn-on-the-Palo...

 

 

User-ID エージェントの状態がPalo Alto Networks ファイアウォール上で'not-conn'と表示される。

 

admin@PA-200> show user user-id-agent state all

 

Agent: Agent1(vsys: vsys1) Host: 10.129.80.47:5007

        Status                                            : not-conn:idle

        Version                                           : 0x0

        num of connection tried                           : 13

        num of connection succeeded                       : 0

.....

 

GUI上では、該当の状態は以下のようになります:

 

Screen Shot 2016-04-01 at 4.43.52 pm.png

 

 

 'non-conn' (未接続)状態は様々な理由で発生しえます。以下の事項をチェックしてください:

 

  1. 高可用性(HA)を設定していると、アクティブ デバイスのみがUser-ID エージェントに接続し、パッシブのファイアウォールは常に未接続と表示されます。
  2. ユーザーID エージェントが機器/サーバーに適切にインストールされ、ホストが5007番ポートを開放している必要があります:User-IDエージェント設定のヒント(Tips)
  3. ファイアウォールからサービスルートにて、User-IDエージェントに対して適切な接続性を保つ必要があり、該当のポートは中間でブロックされてはなりません。
  4. User-ID コレクターを使用する場合、再配信ファイアウォールが適切に設定され、ファイアウォールと接続性があることを確認してください。再配信ファイアウォールにて、サービスとポリシーが適切に許可されていることも確認してください:Firewall Deployment for User-ID Redistribution (訳注)
  5. ファイアウォールと再配信ファイアウォールはSSLを接続に使用するため、ファイアウォールで使用するSSL証明書が無効となっていないことを確認してください。管理ポートまたはデータプレーン ポート(サービス ルートを使用している場合)でハンドシェイクをキャプチャし、Client Certificateのパケットを展開して、証明書の有効性を確認してください:マネジメント インターフェイスでのパケット キャプチャの取得方法
  6. 何らかのエラーの出力がないか、ファイアウォールのUser-IDのログを確認します:



    admin@PA-200> tail follow yes mp-log useridd.log
    2016-04-01 17:00:44.370 +0800 Error:  __pan_print_msg(pan_sys.c:963): Failed to connect to
    10.129.80.47(10.129.80.47):50072016-04-01 17:00:44.371 +0800 Error:  __pan_print_msg(pan_sys.c:963): Failed to connect
    to 10.129.80.47(5007): Internal Error2016-04-01 17:00:44.371 +0800 Error:  pan_ssl_conn_open(pan_ssl_utils.c:383):
    pan_tcp_sock_open() failed

 

訳注:原文は翻訳時点でサポート期限切れのPAN-OS 6.0文書を参照していたため、翻訳文書ではPAN-OS 8.1文書へのリンクに変更しています

 

著者: abjain