Microsoft PowerPoint - UIA-AD_QuickStartGuide(J)r4.pptx

Active Directoryとの連携によるユーザ識別機能

クイックスタートガイド

Sep 6, 2012

(Rev.4)

Akira.Hayashi

本ガイドは Active Directoryを使⽤している環境に対して

Palo Alto Networks PAシリーズファイアウォール 及び User-ID

機能によるユーザ識別/制御を利⽤する際の導⼊/展開を迅速に⾏う

ことを⽬的として作成しました。

実環境に対する導⼊設計や導⼊/展開を⾏われる際は、本資料のほか

製品マニュアルや、次の技術参考資料を併せてご参照ください。

<⽇本語技術参考資料>

“アクティブディレクトリを使ったユーザ認証”

“UserID_troubleshoot_JP”

本ガイドについて

・ユーザ識別処理の対象と

なるセキュリティゾーン

に対してユーザ識別機能

のためのオプション設定

を⾏います

・Pan-agentとの連携に

必要な設定を⾏います

・WMI/NetBIOSポーリン

グを使⽤したユーザログ

アウト確認機能を使⽤す

る場合にのみWindows

クライアントの設定を⾏

います(オプション)

・個々のクライアントPCに

対して個別に設定を変更

する⽅法のほかADサーバ

側でグループポリシーオ

ブジェクト機能を使⽤し

ドメインに参加するクラ

イアントPCの設定を⼀括

して変更することも出来

ます

・ADドメインへの参加設定

を⾏います

・弊社が無償提供している

ユーザ識別処理⽤エー

ジェントソフトウェア

(pan-agent)をインスト

ールします

・ADサーバ及びPAファイア

ウォールとの連携に必要

な設定を⾏います

・Pan-agentとの連携に

使⽤する専⽤アカウント

の登録と権限付与などの

設定を⾏います

・ADドメインに参加する

Windowsクライアント

PCの設定⼀括変更を⾏う

場合はグループポリシー

オブジェクト管理コンソ

ールソフトウェアのイン

ストールと設定を⾏いま

す (オプション)

導⼊作業の流れと各ステップごとの作業概要は次の通りです。

導⼊作業の流れ

Windows AD

サーバ設定

Pan-agent

インストール

設定

Windows

クライアント

設定

PA Series

ファイアウォール

設定

Windows アクティブディレクトリ

サーバ設定

(Microsoft Windows Server 2003 R2)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

1. Pan-agent⽤アカウントの作成

ユーザ識別エージェントサービス⽤アカウントを作成します。

作成したアカウントの所属グループに ”Domain Admins” を加えます。

※この例では ”uia” と⾔う名称のアカウントを作成

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

2. Pan-agent⽤アカウントに対する権限付与

ADサーバのセキュリティログ取得に必要な ”監査とセキュリティログの管理” 権限を

Pan-agent⽤アカウントに対して付与します。

１．管理ツール > ドメインセキュリティポリシーをオープンします。

２． “監査とセキュリティログの管理” 項⽬をダブルクリックし、”uia” アカウントを追加します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(作成したアカウントに対する権限付与)

WMIポーリングアクセス⼀括許可設定

(オプション）

デフォルトではWMIアクセスが許可されていないWindowsクライアントPCに対して

グループポリシー機能を使⽤して⼀括で設定変更を⾏う事が出来ます。

グループポリシー管理コンソールツールはOS導⼊時にインストールされないため、

マイクロソフト社のダウンロードサイトから⼊⼿しインストールする必要があります。

尚、WMIポーリング機能を使⽤しない場合は本作業は必要ありません。

１．次のURLからグループポリシー管理コンソール(GPMC)をダウンロードします。

http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=ja ※上記のURL⼜はマイクロソフトダウンロードセンターウェブサイトで“GPMC”キーワードにて検索してください。

２．ダウンロードしたファイルをダブルクリックして、ツールをインストールします。

※ツールのインストールによるシステム再起動は必要ありません。

３．グループポリシー管理コンソール(GPMC)を起動します。

C:¥>gpmc.msc

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

WMIポーリングアクセス⼀括許可設定

(オプション）

４．対象ドメインの ”Default Domain Policy” を右クリックし、編集を選択します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

WMIポーリングアクセス⼀括許可設定

(オプション）

５．コンピュータの構成 > 管理⽤テンプレート > ネットワーク > ネットワーク接続 > Windows

ファイアウォール > ドメインプロファイル メニューから ”リモート管理の例外を許可する”

項⽬をダブルクリックします。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

WMIポーリングアクセス⼀括許可設定

(オプション）

６．デフォルトの未構成から有効に変更し “OKボタン” を押します。

※安全性向上のため “要請されない着信メッセージを許可するアドレス” への許可IP設定を可能な限り

実施して下さい。(アドレス欄には UIA PCやWMI監視サーバのIP⼜はIPサブネットを記載)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

この項⽬に Pan-agentやWMIを使⽤する

監視サーバなどIPアドレスを定義すること

でWMI通信の許可に伴う安全性の低下を

最⼩限に留めることが可能

WMIポーリングアクセス⼀括許可設定

(オプション）

７．設定後の画⾯

設定変更後、ドメインに参加しているクライアントPCを再起動するか、⼜はデフォルトのグループポリシー

オブジェクト⾃動更新間隔である90分経過後、WMIポーリングアクセスが有効になります。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

NetBIOSポーリングアクセス⼀括許可設定

(オプション）

デフォルトではNetBIOSポーリングアクセスが許可されていないWindowsクライアン

トPCに対して、グループポリシー機能を使⽤して⼀括で設定変更を⾏う事が出来ます。

グループポリシー管理コンソールツールはOS導⼊時にインストールされないため、

マイクロソフト社のダウンロードサイトから⼊⼿しインストールする必要があります。

尚、WMIポーリング機能を使⽤しない場合は本作業は必要ありません。

１．次のURLからグループポリシー管理コンソール(GPMC)をダウンロードします。

http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=ja ※上記のURL⼜はマイクロソフトダウンロードセンターウェブサイトで“GPMC”キーワードにて検索してください。

２．ダウンロードしたファイルをダブルクリックして、ツールをインストールします。

※ツールのインストールによるシステム再起動は必要ありません。

３．グループポリシー管理コンソール(GPMC)を起動します。

C:¥>gpmc.msc

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

NetBIOSポーリングアクセス⼀括許可設定

(オプション）

４．対象ドメインの ”Default Domain Policy” を右クリックし、編集を選択します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

「注意」

この例では説明を簡素化するため ”Default Domain Policy” を直接編集していますが、通常は ”Default Domain Policy” への設定は⾏わず、新規にグループ ポリシーオブジェクトを作成し、作成したオブジェクトに対してポリシー定義を⾏った後グループポリシー適⽤対象のOUにリンクして使⽤します。

<参考URL>

NetBIOSポーリングアクセス⼀括許可設定

(オプション）

５．コンピュータの構成 > 管理⽤テンプレート > ネットワーク > ネットワーク接続 > Windows

ファイアウォール > ドメインプロファイル メニューから ”ファイルとプリンタの共有の例外を

許可する” 項⽬をダブルクリックします。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

NetBIOSポーリングアクセス⼀括許可設定

(オプション）

６．デフォルトの未構成から有効に変更し “OKボタン” を押します。

※運⽤上ファイルやプリンタの共有を許可していない場合は “要請されない着信メッセージを許可するアドレス”

項⽬に pan-agentのIPアドレスを設定します。(設定されたIPアドレスからの通信のみ受信)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

この項⽬に Pan-agentやファイルやプリン

タ共有の対象となるマシンのIPアドレスや

ネットワークアドレスを定義しておくこと

でファイルやプリンタ共有の許可に伴う

安全性の低下を最⼩限に留めることが可能

<Tips>

Windows Vista OSはXPや7と異なりデフォルト ではファイル共有が有効になっていません。 このため、GPOを使⽤し ”ファイアウォールのフ ァイルとプリンタの共有の除外” を有効にしただ けでは NetBIOSによるポーリングを⾏うことが できません。 また、Microsoft社は今後NetBIOSではなくWMI を標準的に採⽤して⾏く予定になっていること から、WMIによるポーリングを使⽤されること をお勧めいたします。

NetBIOSポーリングアクセス⼀括許可設定

(オプション）

７．設定後の画⾯

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows ADサーバ設定

(クライアント設定⼀括変更 オプション設定)

Pan-agent のインストールと設定

(Microsoft Windows XP)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

[注意]

Windows Vista, Windows7, Windows2008 OSにおいて

UAC(ユーザ・アカウント制御)が有効になっている場合は

エージェント(サービス)のインストールや管理プログラム

が正しく動作しないため、UACの無効化またはエージェント

のインストール時および管理プログラムを"管理者として実⾏"

してください。

Active Directoryドメインへの参加 (インストール前準備)

Pan-agentを動作させるPCをActive Directory ドメインに参加させます。

※この例では ”panj-lab” ドメインに参加 (OS操作のため詳細説明は割愛)

Pan-agentのインストールと設定

(ADドメインへの参加)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agent ソフトウェアのインストール

１．管理者権限ユーザでシステムにログインし、Pan-agent ソフトウェアをダブルクリックし

ソフトウェアのインストールを実⾏します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(ソフトウェアのインストール)

Pan-agent のサービス起動設定

１．管理ツール > サービスを選択し、サービス管理画⾯を表⽰します。

２．”PanAgentService” をダブルクリックしてプロパティを開き、ログオンタブを選択します。

３．”アカウント(T):” をクリックし、ADサーバでPan-agent⽤に作成した(ドメイン名¥)ユーザ名

とパスワードを⼊⼒し、”OK” ボタンを押します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(Pan-agent サービス起動設定)

Pan-agent の設定

１．プログラムメニューから ”User Identification Agent” プログラム

を起動します。

２．メイン画⾯右上側にある “Configure” ボタンをクリックし設定画⾯を表⽰します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(Pan-agent の設定)

Pan-agent の設定

(続き)

３．Pan-agent の動作に必要な設定を⼊⼒し ”OK” ボタンを押します。

①

②

③

④

⑤

① … ADドメイン名

② … PAとの通信⽤ポート番号

※1024以上の番号を使⽤し

PA Firewall側設定と合わせる

③ … ADサーバIPアドレス

④ … ユーザ識別対象IPサブネット

⑤ … ユーザ識別対象外IPアドレス

(サーバやプリンタなどを登録)

オプション設定やタイマー値の変更は

基本的な動作確認が完了した後、

必要に応じて変更して下さい。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(Pan-agent の設定)

⑥

⑦

⑧

⑨

⑥ … ユーザ無通信時エントリ削除時間

※WMI/NetBIOS Probingが無効の場合

ユーザエントリは⾃動削除されない

⑦ … ADユーザ/グループ情報更新間隔

⑧ … ADサーバセキュリティログ

チェック間隔

⑨ … WMI/NetBIOSポーリング間隔

⑩ … ADサーバセッションテーブル

チェック間隔

Pan-agent の設定

(続き)

４．”Filter Group Members” ボタンを押し、ユーザ識別処理の対象に含めるアクティブ

ディレクトリのグループを選択し ”OK” ボタンを押します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(Pan-agent の設定)

Pan-agentの基本動作確認

１．主に２つの操作を⾏い、ADサーバとの接続状態確認を⾏います。

ファイアウォール側の設定が完了し、既にクライアントPCがドメインにログインしている場合

は、ユーザ名⇔IPアドレスのマッピング状態を確認する事が出来ます。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentのインストールと設定

(動作確認)

Windows クライアントの設定

(Windows XP SP3 / Windows Vista SP2 / Windows 7 SP1)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windowsクライアント設定の概要

ユーザ識別機能利⽤に際し、クライアントPCに対するソフトウェアのインストールや

特殊な設定を⾏う必要は特にありませんが、WMI/NetBIOSポーリングによるユーザ

ログアウト検出を⾏う場合はWindowsクライアント側の設定変更が必要になります。

このセクションでは、ユーザログアウトの検出に必要なWMI/NetBIOSポーリングを

許可するために必要なクライアント側の設定について説明していますが、多数のクライ

アントPCに対する個別の設定変更作業は作業⼯数の増⼤と作業ミス発⽣につながる恐れ

があるため、ADサーバ設定セクションで記載した ADのGPO(グループポリシーオブ

ジェクト)によるクライアントPCの⼀括設定変更機能を活⽤されることをお勧めします。

前提条件

ユーザ識別機能利⽤に対するWindowsクライアントPC前提条件は次の通りです。

１．Windowsドメインにログオンする環境で利⽤していること。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windowsクライアントの設定

(はじめに)

OS毎 デフォルト WMI/NetBIOSポーリング許可状態⼀覧

AD Svr設定 UIA 設定 PA 設定 Client PC 設定

OS種別

WMI

NetBIOS

備考

Windows XP SP3

×

×

Windows Vista SP2

×

×

ファイル共有機能デフォルト無効

Windows 7 SP1

×

×

OSのデフォルト設定では WMI/NetBIOSによるポーリングアクセスが出来ないため、ユーザ

ログアウト検出を⾏う場合は必ずクライアントPCの設定変更作業を⾏う必要があります。

Windowsクライアントの設定

(OSデフォルト状態について)

Windows XP SP3 WMI ポーリング許可設定⽅法

１．管理者権限ユーザでログインし、コマンドプロンプトをオープンします。

２．リモート管理モードを有効にするためのコマンドを⼊⼒します。

○ 設定確認コマンド

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windowsクライアントの設定

(XP WMI ポーリング許可設定)

Windows XP SP3 NetBIOS ポーリング許可設定⽅法

１．管理者権限ユーザでログインし ネットワーク接続のプロパティで”

Microsoftネッ

トワーク⽤ファイルとプリンタ共有

” を有効にします。(デフォルト有効)

２．Windows ファイアウォールの例外設定で”

ファイルとプリンタの共有

”を有効に

します。

※他社製PCファイアウォールソフトウェアを使⽤している場合は上記設定と同様の設定を⾏って下さい。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

<ネットワーク接続プロパティ設定画⾯>

<Windowsファイアウォール例外設定画⾯>

Windowsクライアントの設定

(XP NetBIOS ポーリング許可設定)

Windows Vista SP2 WMI ポーリング許可設定⽅法

１．管理者権限ユーザでログインし、

コントロールパネル

>

ネットワークとインター

ネット

>

ネットワークと共有センター

>

Windowsファイアウォール

にある

”

設定の変更

” を開き、”

例外

” タブ選択後、”

リモート管理

” をチェックします。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows Vista SP2 NetBIOS ポーリング許可設定⽅法 (1/2)

１．管理者権限ユーザでログインし、

コントロールパネル

> (

ネットワークとインター

ネット)

>

ネットワークと共有センター

を開き、”

共有と探索

” メニューにある

”

ファイル共有

” を有効にします。(デフォルト無効)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows Vista SP2 NetBIOS ポーリング許可設定⽅法 (2/2)

２．管理者権限ユーザでログインし、

コントロールパネル

>

ネットワークとインター

ネット

>

ネットワークと共有センター

>

Windowsファイアウォール

にある

”

設定の変更

” を開き、”

例外

” タブ選択後、”

ファイルとプリンタの共有

” を

チェックします。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows 7 SP1 WMI ポーリング許可設定⽅法

１．管理者権限ユーザでログインし、

コントロールパネル

> (

ネットワークとインター

ネット)

>

ネットワークと共有センター

>

Windowsファイアウォール

にある

”

詳細設定

” を開き、画⾯左側メニュー内の”

受信の規則

” を選択後、”

Windows

Management Instrumentation (WMI受信)

” を有効化します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Windows 7 SP1 NetBIOS ポーリング許可設定⽅法

１．管理者権限ユーザでログインし、

コントロールパネル

> (

ネットワークとインター

ネット)

>

ネットワークと共有センター

>

Windowsファイアウォール

にある

”

詳細設定

” を開き、画⾯左側メニュー内の”

受信の規則

” を選択後、”

ファイルと

プリンターの共有(NBセッション受信,NB名受信,SMB受信)

” を有効化します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Palo Alto Networks PA Series

ファイアウォール設定

(PAN-OS4.0)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

PAシリーズの動作モードとユーザ識別機能

Palo Alto Networks PA シリーズファイアウォールは、VWireモード、L2モード、

L3モードやTAPモードなど、複数の動作モードをサポートしていますが、ユーザ識別

機能は全てのモードで利⽤することが出来ます。

ADユーザ識別に関する主要設定項⽬

AD 環境下でユーザ識別機能を使⽤する場合の主な設定項⽬は次の２つです。

１．Pan-agentとの連携動作設定

２．ユーザ識別処理対象となるセキュリティゾーンへのユーザ識別設定

※ユーザやグループ単位で通信を制御するためのセキュリティポリシーの設定⽅法に

関する説明は本ガイドには含まれておりません。

PA Series ファイアウォールの設定

(はじめに)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentとの連携設定

１．管理者権限ユーザでWebUIにログインし、

Device

>

User Identification

を

開き、”

User Identification Agent

” 画⾯内の ”

Add

” ボタンを押します。

PA Series ファイアウォールの設定

(Pan-agent連携設定)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

Pan-agentとの連携設定

２．Agent Typeとして、”pan-agent” を選択し、Pan-agentの名称やIPアドレスや

ポート番号を設定し、OKボタンを押します。

PA Series ファイアウォールの設定

(Pan-agent連携設定)

Pan-agent を選択

Pan-agent 設定識別名を⼊⼒

通常はデフォルト値のまま

Pan-agent のIPアドレスを⼊⼒

Pan-agent との通信⽤ポート

番号を⼊⼒

※Pan-agant 側の設定と合わせる AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

ゾーン設定

１．WebUIにて、

Network

>

Zones

を開き、ユーザ識別処理対象に含めるゾーン名

をクリックして選択します。

PA Series ファイアウォールの設定

(Zone設定)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

ゾーン設定

２．”Enable User Identification”をチェックしユーザ識別処理対象に含めるアドレス

また必要に応じて処理対象外のアドレスを⼊⼒します。

(設定完了後 要コミット操作)

PA Series ファイアウォールの設定

(Zone設定)

ユーザ識別の対象となるネットワーク

アドレスやホストアドレスをここで

設定します。

ユーザ識別の対象に含めたくない

(例：pan-agentなど)ネットワーク

アドレスやホストアドレスをここで

設定します。

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

基本動作確認

ユーザ識別に必要な設定とコミット操作が完了した後、PAシリーズのCLIにログイン

し、Pan-agentとの連携状態など動作状態の確認を⾏います。

１．Pan-agentとの接続状態確認

→ StatusがNGの場合PA,Pan-agent設定確認とネットワーク接続性を確認

admin@PA> show user pan‐agent statistics Timer: interval of group membership retrieval State: *:primary pan‐agent to retrieve group membership ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐ ‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ Name       IP Address      Port  Vsys State       Users  Grps IPs      Activity Timer(s) Domain      Index ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐ ‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ pan‐agent_192.168.100.239 192.168.100.239 3033  vsys1   *connected, ok     4      2      1        47542    600      panj‐lab  1

２．ADグループ＆ユーザ情報取得状態確認

→ 何も表⽰されない場合ADとPan-agentの設定を確認

admin@PA> show user pan‐agent user‐IDs User Name       Vsys Groups ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ panj‐lab¥s‐user1      vsys1   panj‐lab¥sales panj‐lab¥t‐user1      vsys1   panj‐lab¥tech panj‐lab¥s‐user2      vsys1   panj‐lab¥sales panj‐lab¥t‐user2      vsys1   panj‐lab¥tech

３．IP⇔ユーザマッピング状態確認

→ 実通信時にユーザ名が表⽰されない場合はZone設定などを確認

admin@PA> show user ip‐user‐mapping IP      Ident. By User       Idle Timeout (s) Max. Timeout (s) ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 192.168.100.254 AD        panj‐lab¥t‐user2       1502       1502 Total: 1 users

PA Series ファイアウォールの設定

(基本動作確認)

AD Svr 設定 UIA 設定 PA 設定 Client PC 設定

基本的なトラブルシューティング

ユーザ識別が思う様に動作しない場合は以下の項⽬をチェックしてみましょう。

□

Pan-agentのインストール時にサービスインストールエラーが発⽣する、またはエージェント正しく動作しない。

⇒ Windows Vista以降のOSでUACが有効になっている場合は、エージェントのインストールや管理プログラム

が正常に動作しません。この問題を解決するには UACを無効化するか、またはプログラムのインストール時

および、管理プログラムの実⾏時 “管理者として実⾏” オプションを有効にしてください。

□

PAとPan-agent間のコネクションが確⽴出来ない。

⇒ PAのMGMT LAN I/FとPan-agentとのネットワーク接続は正しく⾏われていますか？

（途中経路で通信⽤ポートがフィルタされていませんか？）

□

ADにログオンしたはずなのに Pan-agent上でIP to User informationにユーザが表⽰されない。

⇒ ADサーバーのEventログ設定でドメインログオンイベントが記録が無効化されていませんか？

□

WMI/NetBIOSのProbingでログインユーザの情報が正しく識別されない。

⇒ リモートデスクトップによる遠隔ログイン環境で使⽤していませんか？

(リモートデスクトップ環境は未サポート）

⇒ クライアントやサーバの時刻が⼤幅にずれていませんか？

⇒ 同⼀PCに複数のユーザが同時にログオンしていませんか？

(例：外部ターミナルを使⽤したOSの複数⼈同時使⽤など）

⇒ Pan-agent とクライアントPCとの間で、ファイアウォールやルータなどによるWMI/NetBIOSトラフィック

が破棄されていませんか？

おかしいなと思ったら

(基本的なトラブルシューティング)