Gewusst wie: Öffnen Sie einen Fall auf GlobalProtect Remote User VPN-Verbindungsprobleme

Gewusst wie: Öffnen Sie einen Fall auf GlobalProtect Remote User VPN-Verbindungsprobleme

36173
Created On 09/25/18 19:03 PM - Last Modified 06/16/23 18:29 PM


Resolution


Dieses Dokument zeigt, wie sammeln, vorläufige Angaben durch TAC, Beginn der Arbeit an GlobalProtect (GP) Verbindungsprobleme, sobald ein Fall geöffnet ist.

 

GlobalProtect beinhaltet vier Hauptkomponenten, so wenn ein Problem vorliegt, wir Protokolle benötigen, alle diese Geräte auf einmal entnommen. Die Protokolle hilft gleichzeitig, TAC Ingenieure korrelieren die Protokolle auf verschiedenen Geräten besser zu verstehen, zu welchem Zeitpunkt das Problem aufgetreten ist.  Im folgenden werden die Komponenten der GlobalProtect Remote User VPN.

 

  1. Portal
  2. Gateway
  3. Client
  4. Mobile Device Manager (MDM)

 

Portal

Portal ist die wichtigste Firewall, die hostet die Konfiguration remote-Benutzer zur Verfügung gestellt werden. Immer wenn es ein Problem im Zusammenhang mit GlobalProtect, versuchen Sie bitte folgende Informationen aus dem Portal zu sammeln:

 

  1. Tech_support Datei.
  2. System-Logs – filtern die Systemprotokolle etwa zur gleichen Zeit, wenn der Client eine Verbindung herstellt.
  3. Zeitstempel, zwischen welchen, die Zeiten das Problem zu erkennen ist.
  4. Verkehr meldet Portal IP-Adresse vom Client öffentliche IP-Adresse. Überspringen Sie diesen Schritt, wenn Client öffentliche IP-Adresse koordinierten ist; jedoch sehen, wenn es keine Logs gibt wo Verkehr Portal IP werden verworfen.

Wenn das Problem nach Belieben replizierbar ist, bitten wir die folgenden Debuggen Schritte, um Informationen zu sammeln.

 

  1. Rasmgr auf Debug Debuggen (der Befehl sollte zurück "folgen", wenn nicht zweimal ausführen "sw.rasmgr.debug.global: Debuggen")
  2. Ssl-VPN-global auf Debug Debuggen (der Befehl sollte zurück "folgen", wenn nicht zweimal ausführen "sw.sslvpn.debug.global: Debuggen")
  3. Replizieren Sie die Frage / versuchen Sie Verbindung zum Portal. Debug durch folgende Befehle deaktivieren
  4. Ssl-VPN-global auf Info zu debuggen
  5. Rasmgr auf Normal zu debuggen (der Befehl sollte zurück "folgen", wenn nicht zweimal ausführen "sw.rasmgr.debug.global: normal")
  6. Tech_support-Datei erzeugen
  7. Systemprotokolle innerhalb des Zeitrahmens der Replikation zu exportieren
  8. Zeitstempel, zwischen, denen das Problem sichtbar ist
  9. Verkehr meldet Portal IP-Adresse vom Client öffentliche IP-Adresse. (Überspringen diesen Schritt, wenn Client öffentliche IP-Adresse koordinierten, ist aber zu sehen, ob es welche gibt wo meldet traffic Portal IP werden verworfen)

Warum brauchen wir diese Informationen?

Wenn der Client versucht, mit GlobalProtect verbinden, ist der erste Versuch zum Portal gemacht, um die aktualisierte Konfiguration zu erhalten. Wenn nicht auf das Portal zu verbinden, wird dann eine zwischengespeicherte Konfiguration verwendet. Die Mitteilung an das Portal muss überprüft werden, um zu überprüfen, ob die ordnungsgemäße Konfiguration der Firewall gesendet wird.

 

Gateway

Gateway ist die Firewall, die der Benutzer versucht, einen verschlüsselten Tunnel zu erstellen. Wenn es ein einziges Gateway und Portal und sie sind auf der gleichen Firewall gehostet, sollten die oben genannten Protokolle gesammelt für das Portal ausreichen.  Wenn das Tor in eine andere öffentliche IP-Adresse auf demselben Gerät gehostet wird, verworfen Bitte prüfen Sie, ob es gibt Protokolle unter Angabe Mitteilung an die Gateway-IP-Adresse.  Wenn das Tor aus dem Portal unterscheidet, müssten wir die gleiche Informationen vom Gateway:

 

  1. Tech_support Datei
  2. System-Logs – filtern die Systemprotokolle etwa zur gleichen Zeit, wenn der Client eine Verbindung herstellt.
  3. Zeitstempel, zwischen, denen das Problem sichtbar ist
  4. Verkehr meldet Portal IP-Adresse vom Client öffentliche IP-Adresse. (Überspringen diesen Schritt, wenn Client öffentliche IP-Adresse koordinierten, ist aber zu sehen, ob es welche gibt wo meldet traffic Portal IP werden verworfen)

Debugging für Portal und Gateway ist das gleiche. Bitte stellen Sie sicher, dass Debuggen aktiviert und zur gleichen Zeit auf Portal und Gateway deaktiviert ist. Dies hilft, um Protokolle auf beiden Geräten zu vergleichen. In dem Szenario von komplexen Fragen, die IP-Tunnel für remote-Benutzer Probleme beinhalten, wird für eine live Debugsitzung TAC zugehen.

 

Agent/Client

Agent-Software auf verschiedenen Betriebssystemen anders verhalten; die Kommunikationsart der Agent mit Portal und Gateway bleibt jedoch immer noch das gleiche. Unter Windows und Macintosh würden wir es benötigen, um Debug im Reiter "Troubleshooting" zu aktivieren. Dieser Tab kann nur unter "Ansicht > Show-Panel" eingesehen werden,Wenn "Advanced View aktivieren" unter Agent-Konfiguration auf dem Portal überprüft wird. Lesen Sie in Bild 3 das Dokument "wie man Globalprotect konfiguriert" .

 

Bitte stellen Sie sicher, dass die folgenden debugging aktiviert ist:

 

  • PanGPS – Debug
  • PanGPA – Debug (machen es ausgeben, wenn das Problem repliziert werden kann. Zurück zum Debuggen, sobald die Replikation abgeschlossen ist).

2016-06-24_gp1.pngZur Fehlerbehebung Registerkarte zeigt die Debug-Ebene.

 

Sammeln Sie die Protokolle von Agent unter "File"-Option. Mobile GlobalProtect Software ermöglicht es, die Protokolle auf e-Mails exportieren.

 

Für Windows und Macintosh:

2016-06-24_gp2.pngSammeln Sie die Protokolle von Agent unter "File"-Option.

 

 

Für iOS:

 

Picture1.png

 

Fordern Sie wenn es ein Problem mit SSO oder gibt es ein dritte Anmeldeinformations-Manager unter Windows an, dann die folgenden Registrierungsinformationen:

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Authentication\Credential Anbieter.
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\

Für jede Verbindungsproblem mit GlobalProtect während der Verwendung von Drittanbieter-Clients oder Xauth wollen wir alle Logs von Drittanbieter-Client oder das Gerät hinsichtlich dieser Xauth-Mitteilung zu sammeln. Wie erwähnt, ist darauf zu achten, dass die Protokolle gleichzeitig getroffen werden. Bitte geben Sie die Timestamps von Client und Firewall. Dies wird helfen, um Probleme zu identifizieren, wenn Client und Firewall in einer anderen Zeitzone befinden.

 

Mobile Device Manager (MDM)

 

MDM dient zur Konfiguration und Implementierung von Richtlinien auf mobilen Geräten zum globalen Schutz Portal verbunden. Wann immer es, dass ein Problem mit MDM Funktionen wie Registrierung, Politikimplementation, müssten wir die folgende Informationen von MDM Bitte stellen Sie sicher, dass die folgende Informationen des Zeitfensters abdeckt, wenn der Client versucht, eine Verbindung herstellen oder Richtlinien an die Clients geschoben werden

  1. Tech_support Datei.
  2. Systemprotokolle für das Zeitfenster wenn Problem gemeldet wird.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTgCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language