Se requiere aplicar una política de filtrado de URL para ciertos usuarios en un directorio activo, pero el firewall USG6000 no está registrando a los usuarios en línea.
Referirse a la siguiente topología
【Análisis del Problema】
1. Primero confirmamos conectividad con ping al servidor de directorio activo (AD).
2. Verificado los permisos del usuario, el usuario no tenía permiso de administrador, por lo que solicitó un usuario con permisos de administrador. Después de eso pudimos sincronizar correctamente el Monitor AD:
3. Una vez sincronizado, seguimos sin ver al usuario de prueba en línea, por lo que verificamos el Monitor AD y encontramos registros de usuarios:
4. Con esta información, el siguiente paso es verificar la conectividad al firewall.
Según el cliente, el enrutamiento estaba habilitado, por lo que creamos un nuevo usuario de prueba de políticas para permitir el tráfico de AD Monitor.
Después de esto, pudimos ver el tráfico saliente en el servidor y entrante en la tabla de sesión:
5. Finalmente pudimos ver al usuario en línea y el cliente confirmó que la política de filtrado de URL se aplicó con éxito:
【Causa principal】
El directorio activo no estaba sincronizado con un usuario administrador y no se aplicó ninguna política a los usuarios de AD.
【Solución】
Use un usuario administrativo para sincronizar el AD y el firewall, habilite el enrutamiento y las políticas desde la red del usuario y el firewall.
