Problembehandlung GlobalProtect
1373013
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM
Symptom
Probleme im Zusammenhang GlobalProtect mit können weit in die folgenden Kategorien fallen:
– GlobalProtect Kann keine Verbindung zum Portal oder Gateway herstellen
– Agent GlobalProtect verbunden, aber nicht auf Ressourcen zugreifen
–Sonstiges
Dieser Artikel listet einige der häufigsten Probleme und Methoden zur Fehlerbehebung GlobalProtect auf. Der Artikel geht davon aus, dass Sie sich der Grundlagen und der Konfiguration bewusst GlobalProtect sind. Siehe GlobalProtect Ressourcenhandbuch.
Tools zur Fehlerbehebung
Tools und Dienstprogramme zur Fehlerbehebung auf dem Clientcomputer
Ping/Traceroute | Erreichbarkeit mit dem Portal/Gateway überprüfen |
Nslookup | Um sicherzustellen, dass die FQDNs für das Portal/Gateway immer gelöst werden |
Ipconfig / Ifconfig / Netstat -nr / Route drucken | So überprüfen Sie die GlobalProtect vom Client installierten Adaptereinstellungen und Routen GlobalProtect |
MMC (Windows)/Schlüsselbundzugriff ( OSX ) | So installieren und überprüfen Sie die installierten Client-/Root-Zertifikate CA |
Wireshark | So erfassen Sie die Transaktion zwischen dem GlobalProtect Client und dem Portal/Gateway |
Webbrowser | So laden Sie den Client herunter GlobalProtect und bestätigen eine erfolgreiche Verbindung zwischen dem Client und dem SSL Portal/Gateway |
GlobalProtect Registerkarte Clientstatus/Detail | Überprüfen Sie den Status der Verbindung |
| GlobalProtect Client-Protokolle | So überprüfen Sie detaillierte Debugprotokolle vom GlobalProtect Client |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Verwenden Sie nslookup auf dem Client, um sicherzustellen, dass der Client die FQDNs für das Portal/Gateway auflösen kann.
4) Öffnen Sie einen Webbrowser und geben Sie die URL : https:// / <Portal- IP FQDN > und/oder https:// / <Gateway- IP FQDN >ein. Dadurch wird sichergestellt, dass die SSL Kommunikation zwischen dem Client und dem Portal/Gateway einwandfrei funktioniert. Der Web-Browser hilft leicht uns die Überprüfung des Zertifikats aus dem Portal/Gateway. Wenn Zertifikatprobleme auftreten, können Browserfehler dazu beitragen, diese zu isolieren. Im Folgenden finden Sie einige Beispiele:
– Signing Authority ist nicht vertrauenswürdig
– Der allgemeine Name im Zertifikat unterscheidet sich von den SNI vom Client angeforderten Namen oder SAN enthält keinen richtigen DNS Namen
– Zertifikatsgültigkeit abgelaufen
– Alle Probleme in der Zertifikatskette
5) Wenn die Browserseite oben nicht richtig geladen wird, überprüfen Sie mit Wireshark, ob der TCP Handshake abgeschlossen ist oder nicht. Verwenden Sie ggf. filter <Portal ip.addr== IP> oder ip.addr==. <gatewayIP></gatewayIP>
6) Wenn das SYN Paket ausgeht und nein empfangen wird, wechseln Sie zu der und sehen Sie, ACK ob die Sitzungen gebildet werden und ob Pakete verworfen firewall werden. Verwenden Sie Dataplane Debug oder kombiniert mit globalen Zähler erfasst, um das gleiche zu überprüfen. Überprüfen Sie sicherheitsrichtlinien NAT usw., um sicherzustellen, dass der Datenverkehr nicht gelöscht wird.
7) Im obigen Fall ist es manchmal auch hilfreich zu überprüfen, ob Dataplane-Ressourcen fehlerfrei sind. Überprüfen Sie die folgenden Befehle, um eine Ressourcenüberauslastung zu finden: > zeigen das Ausführen von
Ressourcenmonitoren
> Debugdatenebenenpoolstatistiken
8) Aktivieren Sie appweb3-sslvpn.log weitere Informationen, wenn Pakete nicht auf der Datenebene abgelegt werden.
9) Wenn die Anmeldeseite ordnungsgemäß geladen wird, wird im Browser GlobalProtect möglicherweise das Clientzertifikat angefragt, wenn die clientzertifikatbasierte Authentifizierung im Portal aktiviert ist.
10) Überprüfen Sie, ob das richtige Clientzertifikat in den Zertifikatspeicher des Computers und den Zertifikatspeicher des Browsers geladen wird.
11) Wenn Sie den Fehler "Gültiges Clientzertifikat ist erforderlich" erhalten, importieren Sie das Clientzertifikat in den Browser und den Clientcomputer.
'Gültiges Clientzertifikat ist erforderlich' Fehler beim Zugriff auf die Portaladresse im Firefox
Internet Explorer Browser Fehler: "Gültiges Clientzertifikat erforderlich"
12) Versuchen Sie, sich bei der GlobalProtect Portal-Webseite anzumelden. Dadurch wird bestätigt, dass die Authentifizierung einwandfrei funktioniert.
13) Wenn Sie sich nicht anmelden können, überprüfen Sie die firewall authd-Protokolle, um den Fehler zu sehen. Das folgende Dokument kann hilfreich sein, wenn Sie LDAP die Authentifizierung verwenden: So beheben Sie die LDAP Authentifizierung
14) Wenn Sie sich bei der Portal-Webseite anmelden können, laden Sie den Client herunter und installieren Sie GlobalProtect ihn, sofern er noch nicht installiert ist.
15) Öffnen Sie den GlobalProtect Client, und geben Sie die erforderlichen Einstellungen (Benutzername/ Passwort / Portal) ein und klicken Sie auf Übernehmen.
16) Beachten Sie die Meldung, die auf der Registerkarte Status angezeigt wird.
17) Sammeln Sie die Protokolle auf dem GlobalProtect Client, wie im verwendeten Abschnitt der Tools erwähnt, und öffnen Sie die PanGPS.log-Datei im ziped-Ordner.
18) Gehen Sie durch die Protokolle, und basierend auf Fehlermeldungen, ergreifen Sie Korrekturmaßnahmen oder Fehlerbehebung.
19) Gleichzeitig müssen Sie möglicherweise die mp-log/appweb3-sslvpn.log auf der firewall für weitere Informationen überprüfen.
5) Wenn die Browserseite oben nicht richtig geladen wird, überprüfen Sie mit Wireshark, ob der TCP Handshake abgeschlossen ist oder nicht. Verwenden Sie ggf. filter <Portal ip.addr== IP> oder ip.addr==. <gatewayIP></gatewayIP>
6) Wenn das SYN Paket ausgeht und nein empfangen wird, wechseln Sie zu der und sehen Sie, ACK ob die Sitzungen gebildet werden und ob Pakete verworfen firewall werden. Verwenden Sie Dataplane Debug oder kombiniert mit globalen Zähler erfasst, um das gleiche zu überprüfen. Überprüfen Sie sicherheitsrichtlinien NAT usw., um sicherzustellen, dass der Datenverkehr nicht gelöscht wird.
7) Im obigen Fall ist es manchmal auch hilfreich zu überprüfen, ob Dataplane-Ressourcen fehlerfrei sind. Überprüfen Sie die folgenden Befehle, um eine Ressourcenüberauslastung zu finden: > zeigen das Ausführen von
Ressourcenmonitoren
> Debugdatenebenenpoolstatistiken
8) Aktivieren Sie appweb3-sslvpn.log weitere Informationen, wenn Pakete nicht auf der Datenebene abgelegt werden.
9) Wenn die Anmeldeseite ordnungsgemäß geladen wird, wird im Browser GlobalProtect möglicherweise das Clientzertifikat angefragt, wenn die clientzertifikatbasierte Authentifizierung im Portal aktiviert ist.
10) Überprüfen Sie, ob das richtige Clientzertifikat in den Zertifikatspeicher des Computers und den Zertifikatspeicher des Browsers geladen wird.
11) Wenn Sie den Fehler "Gültiges Clientzertifikat ist erforderlich" erhalten, importieren Sie das Clientzertifikat in den Browser und den Clientcomputer.
'Gültiges Clientzertifikat ist erforderlich' Fehler beim Zugriff auf die Portaladresse im Firefox
Internet Explorer Browser Fehler: "Gültiges Clientzertifikat erforderlich"
12) Versuchen Sie, sich bei der GlobalProtect Portal-Webseite anzumelden. Dadurch wird bestätigt, dass die Authentifizierung einwandfrei funktioniert.
13) Wenn Sie sich nicht anmelden können, überprüfen Sie die firewall authd-Protokolle, um den Fehler zu sehen. Das folgende Dokument kann hilfreich sein, wenn Sie LDAP die Authentifizierung verwenden: So beheben Sie die LDAP Authentifizierung
14) Wenn Sie sich bei der Portal-Webseite anmelden können, laden Sie den Client herunter und installieren Sie GlobalProtect ihn, sofern er noch nicht installiert ist.
15) Öffnen Sie den GlobalProtect Client, und geben Sie die erforderlichen Einstellungen (Benutzername/ Passwort / Portal) ein und klicken Sie auf Übernehmen.
16) Beachten Sie die Meldung, die auf der Registerkarte Status angezeigt wird.
17) Sammeln Sie die Protokolle auf dem GlobalProtect Client, wie im verwendeten Abschnitt der Tools erwähnt, und öffnen Sie die PanGPS.log-Datei im ziped-Ordner.
18) Gehen Sie durch die Protokolle, und basierend auf Fehlermeldungen, ergreifen Sie Korrekturmaßnahmen oder Fehlerbehebung.
19) Gleichzeitig müssen Sie möglicherweise die mp-log/appweb3-sslvpn.log auf der firewall für weitere Informationen überprüfen.
Häufige Probleme
GlobalProtectKann
keine Verbindung zum Portal oder Gateway herstellen Nach dem obenbeschriebenen Fehlerbehebungsansatz, wenn Sie die folgenden Fehler erhalten:
1) Konnte keine Verbindung mit Portal (oder ähnlichen Symptomen) erhalten
– GlobalProtectClientfehler: Portaladresse nicht gefunden
– Client GlobalProtectnicht verbinden
– Client beim Verbinden, wenn sich GlobalProtectdie Arbeitsstation im lokalen Netzwerk befindet
– Client kann auf GlobalProtectneu installiertem Computer
keine Verbindung herstellen2) Erforderliches Clientzertifikat wurde nicht gefunden
– keine Verbindung hergestellt GlobalProtect– erforderliches Clientzertifikat wurde nicht gefunden
3) "Serverzertifikatsüberprüfung fehlgeschlagen" oder "Protokollfehler". Serverzertifikat überprüfen
– GPClientfehler: Gatewayprotokollfehler, Serverzertifikat überprüfen
– Aufgrund eines Fehlers konnte nicht auf fehlerbehaftet GlobalProtect (3659)
4) SetDoc fehlgeschlagen sein. Meldung: Fehler, die config werden GlobalProtect
–GlobalProtect Clientfehler: "Fehler bei SetDoc. Meldung: Fehler immer GlobalProtect config"
5) [ OCSP ] Das Ergebnis der Zertifikatstatusabfrage ist nicht verfügbar
– Validierung OCSPdes Clientzertifikats funktioniert nicht
6) Erkennen
des Netzwerks– Wie man Treiberprobleme behebt, die dazu GlobalProtect führen, dass "Netzwerk entdecken" feststeckt.
7) IpReleaseAddress fehlgeschlagen: Der RPC Server ist nicht verfügbar
keine Verbindung zum Portal oder Gateway herstellen Nach dem obenbeschriebenen Fehlerbehebungsansatz, wenn Sie die folgenden Fehler erhalten:
1) Konnte keine Verbindung mit Portal (oder ähnlichen Symptomen) erhalten
– GlobalProtectClientfehler: Portaladresse nicht gefunden
– Client GlobalProtectnicht verbinden
– Client beim Verbinden, wenn sich GlobalProtectdie Arbeitsstation im lokalen Netzwerk befindet
– Client kann auf GlobalProtectneu installiertem Computer
keine Verbindung herstellen2) Erforderliches Clientzertifikat wurde nicht gefunden
– keine Verbindung hergestellt GlobalProtect– erforderliches Clientzertifikat wurde nicht gefunden
3) "Serverzertifikatsüberprüfung fehlgeschlagen" oder "Protokollfehler". Serverzertifikat überprüfen
– GPClientfehler: Gatewayprotokollfehler, Serverzertifikat überprüfen
– Aufgrund eines Fehlers konnte nicht auf fehlerbehaftet GlobalProtect (3659)
4) SetDoc fehlgeschlagen sein. Meldung: Fehler, die config werden GlobalProtect
–GlobalProtect Clientfehler: "Fehler bei SetDoc. Meldung: Fehler immer GlobalProtect config"
5) [ OCSP ] Das Ergebnis der Zertifikatstatusabfrage ist nicht verfügbar
– Validierung OCSPdes Clientzertifikats funktioniert nicht
6) Erkennen
des Netzwerks– Wie man Treiberprobleme behebt, die dazu GlobalProtect führen, dass "Netzwerk entdecken" feststeckt.
7) IpReleaseAddress fehlgeschlagen: Der RPC Server ist nicht verfügbar
– Versuchen Sie, andere virtuelle Adapter zu deinstallieren
– Versuchen Sie, den GlobalProtect Client neu zu installieren, nachdem Sie alle Komponenten entfernt haben.
– Versuchen Sie, die Dienste zu beenden und zu RPC starten:
– – Klicken Sie auf start und gehen Sie zum Fenster Ausführen.
– – Geben Sie auf Laufen services.msc ein
– – Suchen Sie die Remote-Prozedur Anrufdienst.
– – Starten Sie remote prozedur Anrufdienst, indem Sie mit der rechten Maustaste auf den Dienst. Wenn er gestartet wird, beenden sie und starten Sie es erneut.
– – Starten Sie die PC neu, und sehen Sie, ob das Problem weiterhin besteht.
– – Sie können auch versuchen, Windows auf dem Computer neu zu OS installieren.
– – Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.
8) Element nicht gefunden
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
8) Element nicht gefunden
– https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
– Versuchen Sie, die Microsoft-Patches auf dem Clientcomputer zu aktualisieren.
– Versuchen Sie, eine andere GlobalProtect Client-Version zu installieren.
– Überprüfen Sie Palo Alto Release Notes für alle gemeldeten Probleme.
– Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.
9) Virtuelle PANGP Adapterschnittstelle konnte nicht gefunden werden
9) Virtuelle PANGP Adapterschnittstelle konnte nicht gefunden werden
– Deaktivieren sie WMI Dienste. Run - services.msc - WMI - stoppen Sie die Dienste.
– Löschen GlobalProtect Sie verwandte Dateien, deinstalliert GlobalProtect , stellen Sie sicher, dass der virtuelle Adapter verschwunden ist.
– Starten Sie den Computer neu, installieren Sie ihn neu, und überprüfen Sie den Status.
– Eine Neuinstallation des Clients OS kann helfen, wenn die Situation dies zulässt.
– Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.
10) Fehler beim Abrufen eines Standardrouteneintrags
10) Fehler beim Abrufen eines Standardrouteneintrags
– Deinstallieren Sie den Client neu installieren GlobalProtect
– Wenn eine neuere Version des GlobalProtect Clients verfügbar ist und die Situation dies zulässt, installieren Sie die neuere Version.
– Versuchen Sie, Windows : Run - services. neu zu DHCP starten. msc - DHCP Client - Beenden Sie den Dienst, Starten Sie den Dienst.
– Aktualisieren der Microsoft-Patches oder Hotfix : https://support.microsoft.com/en-us/kb/2459530
– Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.
11) Es kann keine Verbindung mit root-cimv2 hergestellt werden.
11) Es kann keine Verbindung mit root-cimv2 hergestellt werden.
– Das Repository muss neu erstellt WMI werden. Bitte überprüfen Sie um sicherzustellen, dass alle anderen Dienste nicht betroffen sind.
– Wenden Sie sich bei Problemen an den Technischen Support.
12) Zuweisen privater IP Adresse fehlgeschlagen
12) Zuweisen privater IP Adresse fehlgeschlagen
– Überprüfen Sie, ob der IP Adresspool über genügend IPs verfügt
– Überprüfen Sie, ob sich der IP Pool nicht mit dem des Clients überschneidet. IP PC
– Überprüfen Sie, ob die in Global Protec verwendete Benutzergruppe > Gateway > Clientkonfiguration > Netzwerkeinstellung ordnungsgemäß in den Gruppenzuordnungen auf der enthalten firewall ist und die Gruppe vom Server abrufen firewall AD kann.
– Überprüfen Sie, ob der Benutzer zur richtigen Gruppe gehört, wie in den Netzwerkeinstellungen der Clientkonfiguration unter GP Gateway.
GlobalProtect Agent verbunden, aber nicht auf Ressourcen zugreifen
1) Überprüfen Sie, ob der virtuelle GlobalProtect Clientadapter eine IP Adresse, DNS Suffix und Zugriffsrouten für die Remoteressourcen erhält. Sie können die GlobalProtect Registerkarte Clientpanel Detail oder die Befehlszeilentools wie ipconfig/all, ifconfig, nslookup, netstat -nr, route print etc. für dasselbe verwenden.
2) Überprüfen Sie, ob Port 4501 nicht auf den Palo Alto-Netzwerken firewall oder der Client-Seite (auf ) oder irgendwo dazwischen blockiert firewall PC ist, da dies von IPSec für die Datenkommunikation zwischen dem Client und dem verwendet GlobalProtect firewall wird. Pcaps auf der physischen Clientschnittstelle oder pcaps und Debugs auf der firewall können dazu beitragen, sicherzustellen, dass Pakete nirgendwo abgelegt werden.
3) Überprüfen Sie, ob der Firewall mit den richtigen Sicherheitsrichtlinien konfiguriert ist, um den Datenverkehr aus dem IP Pool zuzulassen, der dem virtuellen Clientadapter zugewiesen GlobalProtect ist. Der policy sollte von der Zone der Tunnelschnittstelle zur Zone der geschützten Ressource konfiguriert werden. Tools wie Verkehr Protokolle, Paket erfasst, Dataplane Debug mit globalen Leistungsindikatoren können verwendet werden, um diese zu beheben. Paketerfassungen auf dem Client auf dem GlobalProtect Adapter können helfen, die vom Client gesendeten Pakete mit dem zu vergleichen, was auf der und umgekehrt empfangen firewall wird.
4) Prüfen Sie, ob es eine richtige Route für den Pool gibt, IP der im Netzwerk für den Antwortverkehr genutzt GlobalProtect wird. Wenn Sie das dynamische routing verwenden, müssen Sie diese Routen in der routing-Protokoll von Palo Alto Networks verteilen. Erfassungen in den Palo Alto-Netzwerken für unverschlüsselten Datenverkehr können helfen herauszufinden, ob die Pakete in Richtung der Ressourcen gesendet werden firewall und ob sie eine Antwort firewall erhalten.
5) Überprüfen Sie, ob der Firewall die IP-Benutzerzuordnung vom GlobalProtect Client erhält. Überprüfen Sie mit > zeigen Sie <ip></ip> Benutzer ip-user-mapping ip an, um sicherzustellen, dass die firewall Gruppe, zu der der Benutzer gehört, gefunden werden kann. Wenn die Gruppenzuordnung nicht ordnungsgemäß aufgefüllt ist, beheben Sie das Problem ID benutzerfrei.
Fehlerbehebung Benutzer-ID:Gruppe und Benutzer-to- IP Mapping
User-ID Ressourcenliste
6) Überprüfen Sie, ob die firewall HIPDaten vom Client GlobalProtect abrufen, und ob das Objekt ordnungsgemäß konfiguriert und in der HIP Sicherheitsregel zulässig ist. So beheben Sie HIP Daten
GlobalProtect Agent verbunden, aber nicht auf Ressourcen zugreifen
1) Überprüfen Sie, ob der virtuelle GlobalProtect Clientadapter eine IP Adresse, DNS Suffix und Zugriffsrouten für die Remoteressourcen erhält. Sie können die GlobalProtect Registerkarte Clientpanel Detail oder die Befehlszeilentools wie ipconfig/all, ifconfig, nslookup, netstat -nr, route print etc. für dasselbe verwenden.
2) Überprüfen Sie, ob Port 4501 nicht auf den Palo Alto-Netzwerken firewall oder der Client-Seite (auf ) oder irgendwo dazwischen blockiert firewall PC ist, da dies von IPSec für die Datenkommunikation zwischen dem Client und dem verwendet GlobalProtect firewall wird. Pcaps auf der physischen Clientschnittstelle oder pcaps und Debugs auf der firewall können dazu beitragen, sicherzustellen, dass Pakete nirgendwo abgelegt werden.
3) Überprüfen Sie, ob der Firewall mit den richtigen Sicherheitsrichtlinien konfiguriert ist, um den Datenverkehr aus dem IP Pool zuzulassen, der dem virtuellen Clientadapter zugewiesen GlobalProtect ist. Der policy sollte von der Zone der Tunnelschnittstelle zur Zone der geschützten Ressource konfiguriert werden. Tools wie Verkehr Protokolle, Paket erfasst, Dataplane Debug mit globalen Leistungsindikatoren können verwendet werden, um diese zu beheben. Paketerfassungen auf dem Client auf dem GlobalProtect Adapter können helfen, die vom Client gesendeten Pakete mit dem zu vergleichen, was auf der und umgekehrt empfangen firewall wird.
4) Prüfen Sie, ob es eine richtige Route für den Pool gibt, IP der im Netzwerk für den Antwortverkehr genutzt GlobalProtect wird. Wenn Sie das dynamische routing verwenden, müssen Sie diese Routen in der routing-Protokoll von Palo Alto Networks verteilen. Erfassungen in den Palo Alto-Netzwerken für unverschlüsselten Datenverkehr können helfen herauszufinden, ob die Pakete in Richtung der Ressourcen gesendet werden firewall und ob sie eine Antwort firewall erhalten.
5) Überprüfen Sie, ob der Firewall die IP-Benutzerzuordnung vom GlobalProtect Client erhält. Überprüfen Sie mit > zeigen Sie <ip></ip> Benutzer ip-user-mapping ip an, um sicherzustellen, dass die firewall Gruppe, zu der der Benutzer gehört, gefunden werden kann. Wenn die Gruppenzuordnung nicht ordnungsgemäß aufgefüllt ist, beheben Sie das Problem ID benutzerfrei.
Fehlerbehebung Benutzer-ID:Gruppe und Benutzer-to- IP Mapping
User-ID Ressourcenliste
6) Überprüfen Sie, ob die firewall HIPDaten vom Client GlobalProtect abrufen, und ob das Objekt ordnungsgemäß konfiguriert und in der HIP Sicherheitsregel zulässig ist. So beheben Sie HIP Daten