Privileged Access Manager ( 以下 PAM ) サーバを 3.4.x から 4.0.2aにアップグレードした。
その後、特定のセグメント 172.17.16.x のサーバへ PAM のネットワーク ツールから接続確認ができない。
デバイス > ネットワークツール から Ping、ポートスキャンなどで応答がない。

このため、該当セグメント上のSocket Filter Agentが認識できないなどの障害が発生した。

しかしながら、旧バージョンから PAM のネットワーク設定もシステムのネットワーク設定/構成も変更はなし。

Product: Privileged Access Manager 

Release : 4.0.2a

4.0.2aでは新しく、一部機能を Docker コンテナを利用して実装されていることがわかりました。
  Splunk サーバのログ記録の設定
  https://techdocs.broadcom.com/jp/ja/symantec-security-software/identity-security/privileged-access-manager/4-0-2/implementing/configuring-your-server/use-logs-to-monitor-operations-and-user-sessions/configure-a-splunk-server-for-logging.html

Dockerではデフォルトの内部仮想アドレスとしてプライベートネットワークアドレス 172.17.0.0/16を
使用します。
このため、お客様のネットワークと競合が発生し、今回の事象が発生したことが判明しました。

PAM 4.1.1をご利用の予定がない場合に基本的には172.17.*.*へのネットワーク通信設定を避けてください。
また、この事象を回避するためには以下の方法が有効です。

1. 管理対象のサーバ ( SFAサーバなどを含む ) を別セグメントに移動させる。
2. 競合するネットワーク自体を別のネットワークアドレス (例えば、 172.18.0.0/16 など) に変更する。
3. PAM を 4.1.1 にアップグレードし、Docker の使用アドレスをデフォルトから変更する。
     4.1.1 の新機能および拡張機能
     https://techdocs.broadcom.com/jp/ja/symantec-security-software/identity-security/privileged-access-manager/4-1-1/release-information/New-Features-and-Enhancements-in-4-1-1.html
     Docker ネットワーク設定の構成
     https://techdocs.broadcom.com/jp/ja/symantec-security-software/identity-security/privileged-access-manager/4-1-1/configuring-your-server/configure-network-settings/docker-network-settings.html