GlobalProtect リモート ユーザー VPN 接続に関するサポート案件をオープンする方法

GlobalProtect リモート ユーザー VPN 接続に関するサポート案件をオープンする方法

36157
Created On 09/25/18 19:03 PM - Last Modified 06/16/23 18:29 PM


Resolution


このドキュメントは、TAC でケースを開いてすぐに、GlobalProtect (GP) 接続に関する作業を開始するために必要な予備的な情報を収集する方法を示します。

 

GlobalProtect には 4 つの主要なコンポーネントが含まれますので、一度にすべてのこれらのデバイスから取得したログが必要問題があるたびに。同時にログを取って TAC エンジニアがどの時点で問題が起こったかを理解するための様々 なデバイス間でログを関連付けることができます。  GlobalProtect リモート ユーザー VPN の構成要素を次に示します。

 

  1. ポータル
  2. ゲートウェイ
  3. クライアント
  4. モバイル デバイス マネージャー (MDM)

 

ポータル

ポータルは、リモート ユーザーに提供される構成をホストする主なファイアウォールです。GlobalProtect に関する問題があるたびにポータルから次の情報を収集をお試しください。

 

  1. Tech_support ファイル。
  2. システム ログ-は、クライアントが接続する同じ時期にシステム ログをフィルター処理します。
  3. 問題を見て時間のタイム ・ スタンプ。
  4. ポータルの IP アドレスをクライアントのパブリック ip アドレスからのトラフィックを記録します。クライアントのパブリック ip アドレスが nat 変換された; 場合は、この手順をスキップします。ただし、任意のログがあるかどうかを参照してください場所交通ポータル IP は破棄されます。

問題がレプリケート可能な場合、我々 は情報を収集するために、次のデバッグ手順を要求します。

 

  1. rasmgr デバッグをデバッグ (コマンドが返す必要があります '次' 2 回実行されない場合"sw.rasmgr.debug.global: デバッグ」)
  2. ssl vpn のグローバル デバッグをデバッグ (コマンドが返す必要があります '次' 2 回実行されない場合"sw.sslvpn.debug.global: デバッグ」)
  3. 問題を再現/ポータルに接続してみてください。次のコマンドでデバッグを無効にします。
  4. デバッグ ssl-vpn 情報グローバル
  5. 通常の rasmgr をデバッグ (コマンドが返す必要があります '次' 2 回実行されない場合"sw.rasmgr.debug.global: 通常")
  6. Tech_support ファイルを生成します。
  7. レプリケーションの時間枠内でシステム ログをエクスポートします。
  8. 問題を見て間にタイム ・ スタンプ
  9. ポータルの IP アドレスをクライアントのパブリック ip アドレスからのトラフィックを記録します。(IP は破棄されますポータルにトラフィックのパブリック IP クライアントは nat を使用、どこをログするにはいずれかがあるかどうかを参照してください場合このステップ スキップ)

なぜ我々 はこの情報が必要ですか。

クライアントが GlobalProtect に接続しようとすると、ときに最初の試みが、ポータルに更新された構成を取得されます。ポータルへの接続に失敗すると、キャッシュされた構成を使用します。ポータルへの通信はファイアウォールで適切な構成が送信されますを確認するために検証する必要があります。

 

ゲートウェイ

ゲートウェイは、ユーザーが暗号化されたトンネルを作成するファイアウォールです。1 つのゲートウェイがあるポータルと彼らは同じファイアウォールでホストしている場合、上記のログをポータルの収集は足りるはずです。 ゲートウェイは同じデバイスの異なるパブリック IP アドレスでホストされている場合してください確認を示すログがある場合はゲートウェイの IP アドレスへの通信を破棄しました。 ゲートウェイは、ポータルとは異なるが、我々 がゲートウェイから同じ情報を必要です。

 

  1. Tech_support ファイル
  2. システム ログ-は、クライアントが接続する同じ時期にシステム ログをフィルター処理します。
  3. 問題を見て間にタイム ・ スタンプ
  4. ポータルの IP アドレスをクライアントのパブリック ip アドレスからのトラフィックを記録します。(IP は破棄されますポータルにトラフィックのパブリック IP クライアントは nat を使用、どこをログするにはいずれかがあるかどうかを参照してください場合このステップ スキップ)

ポータルとゲートウェイのデバッグは、同じです。ポータルおよびゲートウェイを同時にオンとオフにデバッグが有効か確認してください。これは、両方のデバイスのログを比較するのに役立ちます。リモート ユーザーの IP トンネル問題を伴う複雑な問題の場合、ライブ デバッグ セッションの TAC をつたえていきます。

 

エージェント/クライアント

異なるオペレーティング システム上のエージェント ソフトウェアの動作が異なる。ただし、ポータル ゲートウェイとエージェントの通信方式はまだ同じままです。Windows と Macintosh では、[トラブルシューティング] タブでデバッグを有効にする必要があります。このタブは、ポータルの [エージェントの構成] で [詳細表示を有効にする]チェックボックスがオン になっている場合にのみ表示されます。GlobalProtectドキュメントの設定方法については、画像3を参照してください。

 

次のデバッグが有効になっているか確認してください。

 

  • PanGPS-デバッグ
  • PanGPA – デバッグ (ダンプ、それを作る問題をレプリケートできる場合。レプリケーションが完了したらデバッグに戻ります)。

2016-06-24_gp1.png[トラブルシューティング] タブ、デバッグ レベルを示します。

 

「ファイル」オプションの下のエージェントからログを収集します。携帯 GlobalProtect ソフトウェアは、メールにログをエクスポートすることができます。

 

Windows と Macintosh:

2016-06-24_gp2.png「ファイル」オプションの下のエージェントからログを収集します。

 

 

IOS: のため

 

Picture1.png

 

SSO で問題がある場合、または Windows に、サードパーティの資格情報マネージャーがある場合は、次のレジストリ情報を要求します。

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Authentication\Credential プロバイダー。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Palo アルト Networks\

任意接続には、サード パーティ製クライアントまたは Xauth を使用しながら GlobalProtect との問題が、我々 はサードパーティ製のクライアントやこの Xauth 通信に関するデバイスから任意のログを収集したいです。述べたように、ログは同時に行われることを確認します。クライアントとファイアウォールからタイムスタンプを含めてください。これはときにクライアントとファイアウォールが別のタイム ゾーン内の問題を特定するのに役立ちます。

 

モバイル デバイス マネージャー (MDM)

 

構成に MDM を使用してグローバル保護ポータルに接続されているモバイル デバイスにポリシーを実装します。MDM の問題関連ポリシー実装の登録のような機能があるたびに MDM. から次の情報必要になります クライアントが接続するとき、またはポリシーがクライアントにプッシュされると、次の情報が時間帯をカバーすることを確認してください。

  1. Tech_support ファイル。
  2. タイム ・ ウィンドウの問題が報告された場合のシステム ログ。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTgCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language