Active Directoryとの 連 携 によるユーザ 識 別 機 能 クイックスタートガイド Sep 6, 2012 (Rev.4) Akira.Hayashi Palo Alto Networks G.K.
本 ガイドについて 本 ガイドは Active Directoryを 使 している 環 境 に 対 して Palo Alto Networks シリーズファイアウォール 及 び User-ID 機 能 によるユーザ 識 別 / 制 御 を 利 する 際 の 導 / 展 開 を 迅 速 に う ことを 的 として 作 成 しました 実 環 境 に 対 する 導 設 計 や 導 / 展 開 を われる 際 は 本 資 料 のほか 製 品 マニュアルや 次 の 技 術 参 考 資 料 を 併 せてご 参 照 ください < 本 語 技 術 参 考 資 料 > アクティブディレクトリを 使 ったユーザ 認 証 UserID_troubleshoot_JP Page 2
導 作 業 の 流 れ 導 作 業 の 流 れと 各 ステップごとの 作 業 概 要 は 次 の 通 りです Windows AD サーバ Pan-agent インストール Windows クライアント Series ファイアウォール Pan-agentとの 連 携 に 使 する 専 アカウント の 登 録 と 権 限 付 与 などの を います ADドメインに 参 加 する Windowsクライアント PCの 括 変 更 を う 場 合 はグループポリシー オブジェクト 管 理 コンソ ールソフトウェアのイン ストールと を いま す (オプション) ADドメインへの 参 加 を います 弊 社 が 無 償 提 供 している ユーザ 識 別 処 理 エー ジェントソフトウェア (pan-agent)をインスト ールします ADサーバ 及 びファイア ウォールとの 連 携 に 必 要 な を います WMI/NetBIOSポーリン グを 使 したユーザログ アウト 確 認 機 能 を 使 す る 場 合 にのみWindows クライアントの を います(オプション) 個 々のクライアントPCに 対 して 個 別 に を 変 更 する 法 のほかADサーバ 側 でグループポリシーオ ブジェクト 機 能 を 使 し ドメインに 参 加 するクラ イアントPCの を 括 して 変 更 することも 出 来 ます ユーザ 識 別 処 理 の 対 象 と なるセキュリティゾーン に 対 してユーザ 識 別 機 能 のためのオプション を います Pan-agentとの 連 携 に 必 要 な を います Page 3
Windows アクティブディレクトリ サーバ (Microsoft Windows Server 2003 R2) Page 4
Windows ADサーバ (Pan-agent 連 携 アカウントの 作 成 ) 1. Pan-agent アカウントの 作 成 ユーザ 識 別 エージェントサービス アカウントを 作 成 します 作 成 したアカウントの 所 属 グループに Domain Admins を 加 えます この 例 では uia と う 名 称 のアカウントを 作 成 Page 5
Windows ADサーバ ( 作 成 したアカウントに 対 する 権 限 付 与 ) 2. Pan-agent アカウントに 対 する 権 限 付 与 ADサーバのセキュリティログ 取 得 に 必 要 な 監 査 とセキュリティログの 管 理 権 限 を Pan-agent アカウントに 対 して 付 与 します 1. 管 理 ツール > ドメインセキュリティポリシーをオープンします 2. 監 査 とセキュリティログの 管 理 項 をダブルクリックし uia アカウントを 追 加 します Page 6
Windows ADサーバ (クライアント 括 変 更 オプション ) WMIポーリングアクセス 括 許 可 (オプション) デフォルトではWMIアクセスが 許 可 されていないWindowsクライアントPCに 対 して グループポリシー 機 能 を 使 して 括 で 変 更 を う 事 が 出 来 ます グループポリシー 管 理 コンソールツールはOS 導 時 にインストールされないため マイクロソフト 社 のダウンロードサイトから しインストールする 必 要 があります 尚 WMIポーリング 機 能 を 使 しない 場 合 は 本 作 業 は 必 要 ありません 1. 次 のURLからグループポリシー 管 理 コンソール(GPMC)をダウンロードします http://www.microsoft.com/downloads/details.aspx?familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=ja 上 記 のURL はマイクロソフトダウンロードセンターウェブサイトで GPMC キーワードにて 検 索 してください 2.ダウンロードしたファイルをダブルクリックして ツールをインストールします ツールのインストールによるシステム 再 起 動 は 必 要 ありません 3.グループポリシー 管 理 コンソール(GPMC)を 起 動 します C: >gpmc.msc Page 7
Windows ADサーバ (クライアント 括 変 更 オプション ) WMIポーリングアクセス 括 許 可 (オプション) 4. 対 象 ドメインの Default Domain Policy を 右 クリックし 編 集 を 選 択 します 注 意 この 例 では 説 明 を 簡 素 化 するため Default Domain Policy を 直 接 編 集 していますが 通 常 は Default Domain Policy への は わず 新 規 にグループ ポリシーオブジェクトを 作 成 し 作 成 したオブジェクトに 対 してポリシー 定 義 を った 後 グループポリシー 適 対 象 のOUにリンクして 使 します < 参 考 URL> http://technet.microsoft.com/ja-jp/library/bb735163.aspx Page 8
Windows ADサーバ (クライアント 括 変 更 オプション ) WMIポーリングアクセス 括 許 可 (オプション) 5.コンピュータの 構 成 > 管 理 テンプレート > ネットワーク > ネットワーク 接 続 > Windows ファイアウォール > ドメインプロファイル メニューから リモート 管 理 の 例 外 を 許 可 する 項 をダブルクリックします Page 9
Windows ADサーバ (クライアント 括 変 更 オプション ) WMIポーリングアクセス 括 許 可 (オプション) 6.デフォルトの 未 構 成 から 有 効 に 変 更 し OKボタン を 押 します 安 全 性 向 上 のため 要 請 されない 着 信 メッセージを 許 可 するアドレス への 許 可 IP を 可 能 な 限 り 実 施 して 下 さい (アドレス 欄 には PCやWMI 監 視 サーバのIP はIPサブネットを 記 載 ) この 項 に Pan-agentやWMIを 使 する 監 視 サーバなどIPアドレスを 定 義 すること でWMI 通 信 の 許 可 に 伴 う 安 全 性 の 低 下 を 最 限 に 留 めることが 可 能 Page 10
Windows ADサーバ (クライアント 括 変 更 オプション ) WMIポーリングアクセス 括 許 可 (オプション) 7. 後 の 画 変 更 後 ドメインに 参 加 しているクライアントPCを 再 起 動 するか はデフォルトのグループポリシー オブジェクト 動 更 新 間 隔 である90 分 経 過 後 WMIポーリングアクセスが 有 効 になります Page 11
Windows ADサーバ (クライアント 括 変 更 オプション ) NetBIOSポーリングアクセス 括 許 可 (オプション) デフォルトではNetBIOSポーリングアクセスが 許 可 されていないWindowsクライアン トPCに 対 して グループポリシー 機 能 を 使 して 括 で 変 更 を う 事 が 出 来 ます グループポリシー 管 理 コンソールツールはOS 導 時 にインストールされないため マイクロソフト 社 のダウンロードサイトから しインストールする 必 要 があります 尚 WMIポーリング 機 能 を 使 しない 場 合 は 本 作 業 は 必 要 ありません 1. 次 のURLからグループポリシー 管 理 コンソール(GPMC)をダウンロードします http://www.microsoft.com/downloads/details.aspx?familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=ja 上 記 のURL はマイクロソフトダウンロードセンターウェブサイトで GPMC キーワードにて 検 索 してください 2.ダウンロードしたファイルをダブルクリックして ツールをインストールします ツールのインストールによるシステム 再 起 動 は 必 要 ありません 3.グループポリシー 管 理 コンソール(GPMC)を 起 動 します C: >gpmc.msc Page 12
Windows ADサーバ (クライアント 括 変 更 オプション ) NetBIOSポーリングアクセス 括 許 可 (オプション) 4. 対 象 ドメインの Default Domain Policy を 右 クリックし 編 集 を 選 択 します 注 意 この 例 では 説 明 を 簡 素 化 するため Default Domain Policy を 直 接 編 集 していますが 通 常 は Default Domain Policy への は わず 新 規 にグループ ポリシーオブジェクトを 作 成 し 作 成 したオブジェクトに 対 してポリシー 定 義 を った 後 グループポリシー 適 対 象 のOUにリンクして 使 します < 参 考 URL> http://technet.microsoft.com/ja-jp/library/bb735163.aspx Page 13
Windows ADサーバ (クライアント 括 変 更 オプション ) NetBIOSポーリングアクセス 括 許 可 (オプション) 5.コンピュータの 構 成 > 管 理 テンプレート > ネットワーク > ネットワーク 接 続 > Windows ファイアウォール > ドメインプロファイル メニューから ファイルとプリンタの 共 有 の 例 外 を 許 可 する 項 をダブルクリックします Page 14
Windows ADサーバ (クライアント 括 変 更 オプション ) NetBIOSポーリングアクセス 括 許 可 (オプション) 6.デフォルトの 未 構 成 から 有 効 に 変 更 し OKボタン を 押 します 運 上 ファイルやプリンタの 共 有 を 許 可 していない 場 合 は 要 請 されない 着 信 メッセージを 許 可 するアドレス 項 に pan-agentのipアドレスを します ( されたIPアドレスからの 通 信 のみ 受 信 ) この 項 に Pan-agentやファイルやプリン タ 共 有 の 対 象 となるマシンのIPアドレスや ネットワークアドレスを 定 義 しておくこと でファイルやプリンタ 共 有 の 許 可 に 伴 う 安 全 性 の 低 下 を 最 限 に 留 めることが 可 能 <Tips> Windows Vista OSはXPや7と 異 なりデフォルト ではファイル 共 有 が 有 効 になっていません このため GPOを 使 し ファイアウォールのフ ァイルとプリンタの 共 有 の 除 外 を 有 効 にしただ けでは NetBIOSによるポーリングを うことが できません また Microsoft 社 は 今 後 NetBIOSではなくWMI を 標 準 的 に 採 して く 予 定 になっていること から WMIによるポーリングを 使 されること をお 勧 めいたします Page 15
Windows ADサーバ (クライアント 括 変 更 オプション ) NetBIOSポーリングアクセス 括 許 可 (オプション) 7. 後 の 画 変 更 後 ドメインに 参 加 しているクライアントPCを 再 起 動 するか はデフォルトのグループポリシー オブジェクト 動 更 新 間 隔 である90 分 経 過 後 NetBIOSポーリングアクセスが 有 効 になります Page 16
Pan-agent のインストールと (Microsoft Windows XP) [ 注 意 ] Windows Vista, Windows7, Windows2008 OSにおいて UAC(ユーザ アカウント 制 御 )が 有 効 になっている 場 合 は エージェント(サービス)のインストールや 管 理 プログラム が 正 しく 動 作 しないため UACの 無 効 化 またはエージェント のインストール 時 および 管 理 プログラムを" 管 理 者 として 実 " してください Page 17
Pan-agentのインストールと (ADドメインへの 参 加 ) Active Directoryドメインへの 参 加 (インストール 前 準 備 ) Pan-agentを 動 作 させるPCをActive Directory ドメインに 参 加 させます この 例 では panj-lab ドメインに 参 加 (OS 操 作 のため 詳 細 説 明 は 割 愛 ) ドメイン 参 加 後 はシステムを 再 起 動 してください Page 18
Pan-agentのインストールと (ソフトウェアのインストール) Pan-agent ソフトウェアのインストール 1. 管 理 者 権 限 ユーザでシステムにログインし Pan-agent ソフトウェアをダブルクリックし ソフトウェアのインストールを 実 します Page 19
Pan-agentのインストールと (Pan-agent サービス 起 動 ) Pan-agent のサービス 起 動 1. 管 理 ツール > サービスを 選 択 し サービス 管 理 画 を 表 します 2. PanAgentService をダブルクリックしてプロパティを 開 き ログオンタブを 選 択 します 3. アカウント(T): をクリックし ADサーバでPan-agent に 作 成 した(ドメイン 名 )ユーザ 名 とパスワードを し OK ボタンを 押 します 完 了 後 システムを 再 起 動 してください Page 20
Pan-agentのインストールと (Pan-agent の ) Pan-agent の 1.プログラムメニューから User Identification Agent プログラム を 起 動 します 2.メイン 画 右 上 側 にある Configure ボタンをクリックし 画 を 表 します Page 21
Pan-agentのインストールと (Pan-agent の ) Pan-agent の ( 続 き) 3.Pan-agent の 動 作 に 必 要 な を し OK ボタンを 押 します 2 1 4 1 ADドメイン 名 2 との 通 信 ポート 番 号 1024 以 上 の 番 号 を 使 し Firewall 側 と 合 わせる 3 ADサーバIPアドレス 4 ユーザ 識 別 対 象 IPサブネット 5 ユーザ 識 別 対 象 外 IPアドレス (サーバやプリンタなどを 登 録 ) 3 オプション やタイマー 値 の 変 更 は 基 本 的 な 動 作 確 認 が 完 了 した 後 必 要 に 応 じて 変 更 して 下 さい 6 7 8 9 10 5 6 ユーザ 無 通 信 時 エントリ 削 除 時 間 WMI/NetBIOS Probingが 無 効 の 場 合 ユーザエントリは 動 削 除 されない 7 ADユーザ/グループ 情 報 更 新 間 隔 8 ADサーバセキュリティログ チェック 間 隔 9 WMI/NetBIOSポーリング 間 隔 10 ADサーバセッションテーブル チェック 間 隔 各 項 の 可 能 範 囲 :1 ( 上 限 値 制 限 なし) WMIによるユーザログアウト 検 出 機 能 使 時 はこのラジオボタンをチェック (Default=NetBIOSによるチェック) Page 22
Pan-agentのインストールと (Pan-agent の ) Pan-agent の ( 続 き) 4. Filter Group Members ボタンを 押 し ユーザ 識 別 処 理 の 対 象 に 含 めるアクティブ ディレクトリのグループを 選 択 し OK ボタンを 押 します Page 23
Pan-agentのインストールと ( 動 作 確 認 ) Pan-agentの 基 本 動 作 確 認 1. 主 に2つの 操 作 を い ADサーバとの 接 続 状 態 確 認 を います ファイアウォール 側 の が 完 了 し 既 にクライアントPCがドメインにログインしている 場 合 は ユーザ 名 IPアドレスのマッピング 状 態 を 確 認 する 事 が 出 来 ます Page 24
Windows クライアントの (Windows XP SP3 / Windows Vista SP2 / Windows 7 SP1) Page 25
Windowsクライアントの (はじめに) Windowsクライアント の 概 要 ユーザ 識 別 機 能 利 に 際 し クライアントPCに 対 するソフトウェアのインストールや 特 殊 な を う 必 要 は 特 にありませんが WMI/NetBIOSポーリングによるユーザ ログアウト 検 出 を う 場 合 はWindowsクライアント 側 の 変 更 が 必 要 になります このセクションでは ユーザログアウトの 検 出 に 必 要 なWMI/NetBIOSポーリングを 許 可 するために 必 要 なクライアント 側 の について 説 明 していますが 多 数 のクライ アントPCに 対 する 個 別 の 変 更 作 業 は 作 業 数 の 増 と 作 業 ミス 発 につながる 恐 れ があるため ADサーバ セクションで 記 載 した ADのGPO(グループポリシーオブ ジェクト)によるクライアントPCの 括 変 更 機 能 を 活 されることをお 勧 めします 前 提 条 件 ユーザ 識 別 機 能 利 に 対 するWindowsクライアントPC 前 提 条 件 は 次 の 通 りです 1.Windowsドメインにログオンする 環 境 で 利 していること 2.リモートデスクトップ 機 能 による 遠 隔 操 作 機 能 を 使 しないこと Page 26
Windowsクライアントの (OSデフォルト 状 態 について) OS 毎 デフォルト WMI/NetBIOSポーリング 許 可 状 態 覧 OS 種 別 WMI NetBIOS 備 考 Windows XP SP3 Windows Vista SP2 ファイル 共 有 機 能 デフォルト 無 効 Windows 7 SP1 OSのデフォルト では WMI/NetBIOSによるポーリングアクセスが 出 来 ないため ユーザ ログアウト 検 出 を う 場 合 は 必 ずクライアントPCの 変 更 作 業 を う 必 要 があります Page 27
Windowsクライアントの (XP WMI ポーリング 許 可 ) Windows XP SP3 WMI ポーリング 許 可 法 1. 管 理 者 権 限 ユーザでログインし コマンドプロンプトをオープンします 2.リモート 管 理 モードを 有 効 にするためのコマンドを します 確 認 コマンド リモート 管 理 モード 無 効 化 コマンド C: netsh firewall set service remoteadmin disable Page 28
Windowsクライアントの (XP NetBIOS ポーリング 許 可 ) Windows XP SP3 NetBIOS ポーリング 許 可 法 1. 管 理 者 権 限 ユーザでログインし ネットワーク 接 続 のプロパティで Microsoftネッ トワーク ファイルとプリンタ 共 有 を 有 効 にします (デフォルト 有 効 ) 2.Windows ファイアウォールの 例 外 で ファイルとプリンタの 共 有 を 有 効 に します <ネットワーク 接 続 プロパティ 画 > <Windowsファイアウォール 例 外 画 > 他 社 製 PCファイアウォールソフトウェアを 使 している 場 合 は 上 記 と 同 様 の を って 下 さい Page 29
Windowsクライアントの (Vista WMI ポーリング 許 可 ) Windows Vista SP2 WMI ポーリング 許 可 法 1. 管 理 者 権 限 ユーザでログインし コントロールパネル > ネットワークとインター ネット > ネットワークと 共 有 センター > Windowsファイアウォール にある の 変 更 を 開 き 例 外 タブ 選 択 後 リモート 管 理 をチェックします Page 30
Windowsクライアントの (Vista NetBIOS ポーリング 許 可 ) Windows Vista SP2 NetBIOS ポーリング 許 可 法 (1/2) 1. 管 理 者 権 限 ユーザでログインし コントロールパネル > (ネットワークとインター ネット) > ネットワークと 共 有 センター を 開 き 共 有 と 探 索 メニューにある ファイル 共 有 を 有 効 にします (デフォルト 無 効 ) Page 31
Windowsクライアントの (Vista NetBIOS ポーリング 許 可 ) Windows Vista SP2 NetBIOS ポーリング 許 可 法 (2/2) 2. 管 理 者 権 限 ユーザでログインし コントロールパネル > ネットワークとインター ネット > ネットワークと 共 有 センター > Windowsファイアウォール にある の 変 更 を 開 き 例 外 タブ 選 択 後 ファイルとプリンタの 共 有 を チェックします Page 32
Windowsクライアントの (Win7 WMI ポーリング 許 可 ) Windows 7 SP1 WMI ポーリング 許 可 法 1. 管 理 者 権 限 ユーザでログインし コントロールパネル > (ネットワークとインター ネット) > ネットワークと 共 有 センター > Windowsファイアウォール にある 詳 細 を 開 き 画 左 側 メニュー 内 の 受 信 の 規 則 を 選 択 後 Windows Management Instrumentation (WMI 受 信 ) を 有 効 化 します Page 33
Windowsクライアントの (Win7 NetBIOS ポーリング 許 可 ) Windows 7 SP1 NetBIOS ポーリング 許 可 法 1. 管 理 者 権 限 ユーザでログインし コントロールパネル > (ネットワークとインター ネット) > ネットワークと 共 有 センター > Windowsファイアウォール にある 詳 細 を 開 き 画 左 側 メニュー 内 の 受 信 の 規 則 を 選 択 後 ファイルと プリンターの 共 有 (NBセッション 受 信,NB 名 受 信,SMB 受 信 ) を 有 効 化 します Page 34
Palo Alto Networks Series ファイアウォール (N-OS4.0) Page 35
Series ファイアウォールの (はじめに) シリーズの 動 作 モードとユーザ 識 別 機 能 Palo Alto Networks シリーズファイアウォールは VWireモード L2モード L3モードやTAPモードなど 複 数 の 動 作 モードをサポートしていますが ユーザ 識 別 機 能 は 全 てのモードで 利 することが 出 来 ます ADユーザ 識 別 に 関 する 主 要 項 AD 環 境 下 でユーザ 識 別 機 能 を 使 する 場 合 の 主 な 項 は 次 の2つです 1.Pan-agentとの 連 携 動 作 2.ユーザ 識 別 処 理 対 象 となるセキュリティゾーンへのユーザ 識 別 ユーザやグループ 単 位 で 通 信 を 制 御 するためのセキュリティポリシーの 法 に 関 する 説 明 は 本 ガイドには 含 まれておりません Page 36
Series ファイアウォールの (Pan-agent 連 携 ) Pan-agentとの 連 携 1. 管 理 者 権 限 ユーザでWebUIにログインし Device > User Identification を 開 き User Identification Agent 画 内 の Add ボタンを 押 します Page 37
Series ファイアウォールの (Pan-agent 連 携 ) Pan-agentとの 連 携 2.Agent Typeとして pan-agent を 選 択 し Pan-agentの 名 称 やIPアドレスや ポート 番 号 を し OKボタンを 押 します Pan-agent を 選 択 Pan-agent 識 別 名 を 通 常 はデフォルト 値 のまま Pan-agent のIPアドレスを Pan-agent との 通 信 ポート 番 号 を Pan-agant 側 の と 合 わせる Page 38
Series ファイアウォールの (Zone ) ゾーン 1.WebUIにて Network > Zones を 開 き ユーザ 識 別 処 理 対 象 に 含 めるゾーン 名 をクリックして 選 択 します Page 39
Series ファイアウォールの (Zone ) ゾーン 2. Enable User Identification をチェックしユーザ 識 別 処 理 対 象 に 含 めるアドレス また 必 要 に 応 じて 処 理 対 象 外 のアドレスを します ( 完 了 後 要 コミット 操 作 ) ユーザ 識 別 の 対 象 となるネットワーク アドレスやホストアドレスをここで します ユーザ 識 別 の 対 象 に 含 めたくない ( 例 :pan-agentなど)ネットワーク アドレスやホストアドレスをここで します Page 40
Series ファイアウォールの ( 基 本 動 作 確 認 ) 基 本 動 作 確 認 ユーザ 識 別 に 必 要 な とコミット 操 作 が 完 了 した 後 シリーズのCLIにログイン し Pan-agentとの 連 携 状 態 など 動 作 状 態 の 確 認 を います 1.Pan-agentとの 接 続 状 態 確 認 StatusがNGの 場 合,Pan-agent 確 認 とネットワーク 接 続 性 を 確 認 admin@> show user pan agent statistics Timer: interval of group membership retrieval State: *:primary pan agent to retrieve group membership Name IP Address Port Vsys State Users Grps IPs Activity Timer(s) Domain Index pan agent_192.168.100.239 192.168.100.239 3033 vsys1 *connected, ok 4 2 1 47542 600 panj lab 1 2.ADグループ&ユーザ 情 報 取 得 状 態 確 認 何 も 表 されない 場 合 ADとPan-agentの を 確 認 admin@> show user pan agent user IDs User Name Vsys Groups panj lab s user1 vsys1 panj lab sales panj lab t user1 vsys1 panj lab tech panj lab s user2 vsys1 panj lab sales panj lab t user2 vsys1 panj lab tech 3.IP ユーザマッピング 状 態 確 認 実 通 信 時 にユーザ 名 が 表 されない 場 合 はZone などを 確 認 admin@> show user ip user mapping IP Ident. By User Idle Timeout (s) Max. Timeout (s) 192.168.100.254 AD panj lab t user2 1502 1502 Total: 1 users Page 41
おかしいなと 思 ったら ( 基 本 的 なトラブルシューティング) 基 本 的 なトラブルシューティング ユーザ 識 別 が 思 う 様 に 動 作 しない 場 合 は 以 下 の 項 をチェックしてみましょう Pan-agentのインストール 時 にサービスインストールエラーが 発 する またはエージェント 正 しく 動 作 しない Windows Vista 以 降 のOSでUACが 有 効 になっている 場 合 は エージェントのインストールや 管 理 プログラム が 正 常 に 動 作 しません この 問 題 を 解 決 するには UACを 無 効 化 するか またはプログラムのインストール 時 および 管 理 プログラムの 実 時 管 理 者 として 実 オプションを 有 効 にしてください とPan-agent 間 のコネクションが 確 出 来 ない のMGMT LAN I/FとPan-agentとのネットワーク 接 続 は 正 しく われていますか? ( 途 中 経 路 で 通 信 ポートがフィルタされていませんか?) ADにログオンしたはずなのに Pan-agent 上 でIP to User informationにユーザが 表 されない ADサーバーのEventログ でドメインログオンイベントが 記 録 が 無 効 化 されていませんか? WMI/NetBIOSのProbingでログインユーザの 情 報 が 正 しく 識 別 されない リモートデスクトップによる 遠 隔 ログイン 環 境 で 使 していませんか? (リモートデスクトップ 環 境 は 未 サポート) クライアントやサーバの 時 刻 が 幅 にずれていませんか? 同 PCに 複 数 のユーザが 同 時 にログオンしていませんか? ( 例 : 外 部 ターミナルを 使 したOSの 複 数 同 時 使 など) Pan-agent とクライアントPCとの 間 で ファイアウォールやルータなどによるWMI/NetBIOSトラフィック が 破 棄 されていませんか? 複 数 のクライアントがあるはずなのに 単 のIPからの 通 信 に えてしまう はIPに 対 する 識 別 ユーザ 名 が 頻 繁 にかわる クライアントPCとファイアウォールとの 間 ( 途 中 の 経 路 )にProxy 装 置 が っていませんか? Page 42
Page 43 2009 Palo Alto Networks. Proprietary and Confidential.