Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Problembehandlung GlobalProtect - Knowledge Base - Palo Alto Networks

Problembehandlung GlobalProtect

1602550
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM


Symptom


Probleme im Zusammenhang GlobalProtect mit können weit in die folgenden Kategorien fallen:

 

– GlobalProtect Kann keine Verbindung zum Portal oder Gateway herstellen
– Agent GlobalProtect verbunden, aber nicht auf Ressourcen zugreifen
Sonstiges

Dieser Artikel listet einige der häufigsten Probleme und Methoden zur Fehlerbehebung GlobalProtect auf. Der Artikel geht davon aus, dass Sie sich der Grundlagen und der Konfiguration bewusst GlobalProtect sind. Siehe GlobalProtect Ressourcenhandbuch.

Tools zur Fehlerbehebung

Tools und Dienstprogramme zur Fehlerbehebung auf dem Clientcomputer
 

Ping/Traceroute

Erreichbarkeit mit dem Portal/Gateway überprüfen

Nslookup

Um sicherzustellen, dass die FQDNs für das Portal/Gateway immer gelöst werden

Ipconfig / Ifconfig / Netstat -nr / Route drucken

So überprüfen Sie die GlobalProtect vom Client installierten Adaptereinstellungen und Routen GlobalProtect

MMC (Windows)/Schlüsselbundzugriff ( OSX )

So installieren und überprüfen Sie die installierten Client-/Root-Zertifikate CA

Wireshark

So erfassen Sie die Transaktion zwischen dem GlobalProtect Client und dem Portal/Gateway

Webbrowser

So laden Sie den Client herunter GlobalProtect und bestätigen eine erfolgreiche Verbindung zwischen dem Client und dem SSL Portal/Gateway

GlobalProtect Registerkarte Clientstatus/Detail

Überprüfen Sie den Status der Verbindung
GlobalProtect Client-ProtokolleSo überprüfen Sie detaillierte Debugprotokolle vom GlobalProtect Client

 



Environment


  • Pan-OS
  • Globalprotect


Resolution


Tools zur Fehlerbehebung auf der firewall

 

1) Paketerfassungen

Dataplane Captures: So führen Sie eine Paketerfassung aus. 
(
Für Transaktionen zwischen dem Client und dem Portal/Gateway. Nützlich, um zu sehen, ob Pakete firewall auf der Datenebene abgehen. Aber nicht sehr hilfreich mit SSL Offload aktiviert, da Pakete möglicherweise fehlen.)

Management Port Captures : How To Packet Capture (tcpdump) On Management Interface
(For transactions between the and the server firewall LDAP (authentication))

2) Debug Logs: Might need need debug for more detailed information:

 

 

appweb3-sslvpn.log

 

Hauptprotokolldatei für alle SSL VPN zugehörigen Aktivitäten. Kann verwendet werden, um Kommunikation mit anderen Dämonen zu verfolgen.

 

pan_packet_diag.log

 

Überprüfen Sie die Bearbeitung der ursprünglichen SSL Anforderung vom Client auf der Datenebene, nach der die Kommunikation an den sslvpn-Daemon auf der Verwaltungsebene gesendet wird ( MP ).

 

authd.log

 

Bei Authentifizierungsproblemen im Zusammenhang mit GlobalProtect der Anmeldung.

rasmgr.log 

Für Kunden-Login/Logout-Events und andere Backend-Logik.

useridd.logFür IP Benutzerzuordnungen und HIP Prüfungen.

3) CLI Befehle: Nützliche GlobalProtect CLI Befehle.

4) Datenverkehrsprotokolle: Überprüfen von Verbindungen, die vom Client für das Portal/Gateway kommen, und zum Überprüfen von Details von Sitzungen von einem verbundenen GlobalProtect Client zu Ressourcen. 
 

Allgemeiner Ansatz zur Fehlerbehebung

Stellen Sie zuerst die Kompatibilitätsmatrix sicher:
Wo kann die App heruntergeladen und installiert I GlobalProtect werden?
1) Stellen Sie sicher, dass die Konfiguration gemäß den Dokumenten, die zu Ihrem Szenario passen, korrekt durchgeführt wurde.

2) Stellen Sie auf dem Client sicher, dass der GlobalProtect Client installiert ist, wenn dies nicht das erste Mal ist, dass Sie eine Verbindung zu GlobalProtect herstellen.

3) Verwenden Sie nslookup auf dem Client, um sicherzustellen, dass der Client die FQDNs für das Portal/Gateway auflösen kann.

4) Öffnen Sie einen Webbrowser und geben Sie die URL : https:// / <Portal- IP FQDN > und/oder https:// / <Gateway- IP FQDN >ein. Dadurch wird sichergestellt, dass die SSL Kommunikation zwischen dem Client und dem Portal/Gateway einwandfrei funktioniert. Der Web-Browser hilft leicht uns die Überprüfung des Zertifikats aus dem Portal/Gateway. Wenn Zertifikatprobleme auftreten, können Browserfehler dazu beitragen, diese zu isolieren. Im Folgenden finden Sie einige Beispiele:
– Signing Authority ist nicht vertrauenswürdig
– Der allgemeine Name im Zertifikat unterscheidet sich von den SNI vom Client angeforderten Namen oder SAN enthält keinen richtigen DNS Namen
– Zertifikatsgültigkeit abgelaufen
– Alle Probleme in der Zertifikatskette

5) Wenn die Browserseite oben nicht richtig geladen wird, überprüfen Sie mit Wireshark, ob der TCP Handshake abgeschlossen ist oder nicht. Verwenden Sie ggf. filter <Portal ip.addr== IP> oder ip.addr==. <gatewayIP></gatewayIP>

6) Wenn das SYN Paket ausgeht und nein empfangen wird, wechseln Sie zu der und sehen Sie, ACK ob die Sitzungen gebildet werden und ob Pakete verworfen firewall werden. Verwenden Sie Dataplane Debug oder kombiniert mit globalen Zähler erfasst, um das gleiche zu überprüfen. Überprüfen Sie sicherheitsrichtlinien NAT usw., um sicherzustellen, dass der Datenverkehr nicht gelöscht wird.

7) Im obigen Fall ist es manchmal auch hilfreich zu überprüfen, ob Dataplane-Ressourcen fehlerfrei sind. Überprüfen Sie die folgenden Befehle, um eine Ressourcenüberauslastung zu finden: > zeigen das Ausführen von

Ressourcenmonitoren
> Debugdatenebenenpoolstatistiken

8) Aktivieren Sie appweb3-sslvpn.log weitere Informationen, wenn Pakete nicht auf der Datenebene abgelegt werden.

9) Wenn die Anmeldeseite ordnungsgemäß geladen wird, wird im Browser GlobalProtect möglicherweise das Clientzertifikat angefragt, wenn die clientzertifikatbasierte Authentifizierung im Portal aktiviert ist.

10) Überprüfen Sie, ob das richtige Clientzertifikat in den Zertifikatspeicher des Computers und den Zertifikatspeicher des Browsers geladen wird.


11) Wenn Sie den Fehler "Gültiges Clientzertifikat ist erforderlich" erhalten, importieren Sie das Clientzertifikat in den Browser und den Clientcomputer.
'Gültiges Clientzertifikat ist erforderlich' Fehler beim Zugriff auf die Portaladresse im Firefox
Internet Explorer Browser Fehler: "Gültiges Clientzertifikat erforderlich"


12) Versuchen Sie, sich bei der GlobalProtect Portal-Webseite anzumelden. Dadurch wird bestätigt, dass die Authentifizierung einwandfrei funktioniert.

13) Wenn Sie sich nicht anmelden können, überprüfen Sie die firewall authd-Protokolle, um den Fehler zu sehen. Das folgende Dokument kann hilfreich sein, wenn Sie LDAP die Authentifizierung verwenden: So beheben Sie die LDAP Authentifizierung


14) Wenn Sie sich bei der Portal-Webseite anmelden können, laden Sie den Client herunter und installieren Sie GlobalProtect ihn, sofern er noch nicht installiert ist.

15) Öffnen Sie den GlobalProtect Client, und geben Sie die erforderlichen Einstellungen (Benutzername/ Passwort / Portal) ein und klicken Sie auf Übernehmen.

16) Beachten Sie die Meldung, die auf der Registerkarte Status angezeigt wird.

17) Sammeln Sie die Protokolle auf dem GlobalProtect Client, wie im verwendeten Abschnitt der Tools erwähnt, und öffnen Sie die PanGPS.log-Datei im ziped-Ordner.

18) Gehen Sie durch die Protokolle, und basierend auf Fehlermeldungen, ergreifen Sie Korrekturmaßnahmen oder Fehlerbehebung.

19) Gleichzeitig müssen Sie möglicherweise die mp-log/appweb3-sslvpn.log auf der firewall für weitere Informationen überprüfen.


 

Häufige Probleme

GlobalProtectKann

keine Verbindung zum Portal oder Gateway herstellen Nach dem obenbeschriebenen Fehlerbehebungsansatz, wenn Sie die folgenden Fehler erhalten:

1) Konnte keine Verbindung mit Portal (oder ähnlichen Symptomen) erhalten
GlobalProtectClientfehler: Portaladresse nicht gefunden
Client GlobalProtectnicht verbinden
Client beim Verbinden, wenn sich GlobalProtectdie Arbeitsstation im lokalen Netzwerk befindet
Client kann auf GlobalProtectneu installiertem Computer

keine Verbindung herstellen2) Erforderliches Clientzertifikat wurde nicht gefunden
keine Verbindung hergestellt GlobalProtect– erforderliches Clientzertifikat wurde nicht gefunden

3) "Serverzertifikatsüberprüfung fehlgeschlagen" oder "Protokollfehler". Serverzertifikat überprüfen
GPClientfehler: Gatewayprotokollfehler, Serverzertifikat überprüfen
Aufgrund eines Fehlers konnte nicht auf fehlerbehaftet GlobalProtect (3659)

4) SetDoc fehlgeschlagen sein. Meldung: Fehler, die config werden GlobalProtect
GlobalProtect Clientfehler: "Fehler bei SetDoc. Meldung: Fehler immer GlobalProtect config"

5) [ OCSP ] Das Ergebnis der Zertifikatstatusabfrage ist nicht verfügbar
Validierung OCSPdes Clientzertifikats funktioniert nicht

6) Erkennen
des NetzwerksWie man Treiberprobleme behebt, die dazu GlobalProtect führen, dass "Netzwerk entdecken" feststeckt.

7) IpReleaseAddress fehlgeschlagen: Der RPC Server ist nicht verfügbar
Versuchen Sie, andere virtuelle Adapter zu deinstallieren
Versuchen Sie, den GlobalProtect Client neu zu installieren, nachdem Sie alle Komponenten entfernt haben.
Versuchen Sie, die Dienste zu beenden und zu RPC starten:
      Klicken Sie auf start und gehen Sie zum Fenster Ausführen.
      Geben Sie auf Laufen services.msc ein
      Suchen Sie die Remote-Prozedur Anrufdienst.
      Starten Sie remote prozedur Anrufdienst, indem Sie mit der rechten Maustaste auf den Dienst. Wenn er gestartet wird, beenden sie und starten Sie es erneut.
      Starten Sie die PC neu, und sehen Sie, ob das Problem weiterhin besteht.
      – Sie können auch versuchen, Windows auf dem Computer neu zu OS installieren.
Versuchen Sie, die Microsoft-Patches auf dem Clientcomputer zu aktualisieren.
Versuchen Sie, eine andere GlobalProtect Client-Version zu installieren.
Überprüfen Sie Palo Alto Release Notes für alle gemeldeten Probleme.
Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.

9) Virtuelle PANGP Adapterschnittstelle konnte nicht gefunden werden
Deaktivieren sie WMI Dienste. Run - services.msc - WMI - stoppen Sie die Dienste.
Löschen Sie die Dateien unter: C
Löschen GlobalProtect Sie verwandte Dateien, deinstalliert GlobalProtect , stellen Sie sicher, dass der virtuelle Adapter verschwunden ist.
Starten Sie den Computer neu, installieren Sie ihn neu, und überprüfen Sie den Status.
Eine Neuinstallation des Clients OS kann helfen, wenn die Situation dies zulässt.
Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.

10) Fehler beim Abrufen eines Standardrouteneintrags
Deinstallieren Sie den Client neu installieren GlobalProtect
Wenn eine neuere Version des GlobalProtect Clients verfügbar ist und die Situation dies zulässt, installieren Sie die neuere Version.
Versuchen Sie, Windows : Run - services. neu zu DHCP starten. msc - DHCP Client - Beenden Sie den Dienst, Starten Sie den Dienst.
Aktualisieren der Microsoft-Patches oder Hotfix : https://support.microsoft.com/en-us/kb/2459530
Wenden Sie sich an den technischen Support, wenn das Problem weiterhin besteht.

11) Es kann keine Verbindung mit root-cimv2 hergestellt werden.
Das Repository muss neu erstellt WMI werden. Bitte überprüfen Sie um sicherzustellen, dass alle anderen Dienste nicht betroffen sind.
Wenden Sie sich bei Problemen an den Technischen Support.

12) Zuweisen privater IP Adresse fehlgeschlagen
Überprüfen Sie, ob der IP Adresspool über genügend IPs verfügt
Überprüfen Sie, ob sich der IP Pool nicht mit dem des Clients überschneidet. IP PC
Überprüfen Sie, ob die in Global Protec verwendete Benutzergruppe > Gateway > Clientkonfiguration > Netzwerkeinstellung ordnungsgemäß in den Gruppenzuordnungen auf der enthalten firewall ist und die Gruppe vom Server abrufen firewall AD kann.
Überprüfen Sie, ob der Benutzer zur richtigen Gruppe gehört, wie in den Netzwerkeinstellungen der Clientkonfiguration unter GP Gateway.

GlobalProtect Agent verbunden, aber nicht auf Ressourcen zugreifen

1) Überprüfen Sie, ob der virtuelle GlobalProtect Clientadapter eine IP Adresse, DNS Suffix und Zugriffsrouten für die Remoteressourcen erhält. Sie können die GlobalProtect Registerkarte Clientpanel Detail oder die Befehlszeilentools wie ipconfig/all, ifconfig, nslookup, netstat -nr, route print etc. für dasselbe verwenden.

2) Überprüfen Sie, ob Port 4501 nicht auf den Palo Alto-Netzwerken firewall oder der Client-Seite (auf ) oder irgendwo dazwischen blockiert firewall PC ist, da dies von IPSec für die Datenkommunikation zwischen dem Client und dem verwendet GlobalProtect firewall wird. Pcaps auf der physischen Clientschnittstelle oder pcaps und Debugs auf der firewall können dazu beitragen, sicherzustellen, dass Pakete nirgendwo abgelegt werden.

3) Überprüfen Sie, ob der Firewall mit den richtigen Sicherheitsrichtlinien konfiguriert ist, um den Datenverkehr aus dem IP Pool zuzulassen, der dem virtuellen Clientadapter zugewiesen GlobalProtect ist. Der policy sollte von der Zone der Tunnelschnittstelle zur Zone der geschützten Ressource konfiguriert werden. Tools wie Verkehr Protokolle, Paket erfasst, Dataplane Debug mit globalen Leistungsindikatoren können verwendet werden, um diese zu beheben. Paketerfassungen auf dem Client auf dem GlobalProtect Adapter können helfen, die vom Client gesendeten Pakete mit dem zu vergleichen, was auf der und umgekehrt empfangen firewall wird.

4) Prüfen Sie, ob es eine richtige Route für den Pool gibt, IP der im Netzwerk für den Antwortverkehr genutzt GlobalProtect wird. Wenn Sie das dynamische routing verwenden, müssen Sie diese Routen in der routing-Protokoll von Palo Alto Networks verteilen. Erfassungen in den Palo Alto-Netzwerken für unverschlüsselten Datenverkehr können helfen herauszufinden, ob die Pakete in Richtung der Ressourcen gesendet werden firewall und ob sie eine Antwort firewall erhalten.

5) Überprüfen Sie, ob der Firewall die IP-Benutzerzuordnung vom GlobalProtect Client erhält. Überprüfen Sie mit > zeigen Sie <ip></ip> Benutzer ip-user-mapping ip an, um sicherzustellen, dass die firewall Gruppe, zu der der Benutzer gehört, gefunden werden kann. Wenn die Gruppenzuordnung nicht ordnungsgemäß aufgefüllt ist, beheben Sie das Problem ID benutzerfrei.

Fehlerbehebung Benutzer-ID:Gruppe und Benutzer-to- IP Mapping

User-ID Ressourcenliste

6) Überprüfen Sie, ob die firewall HIPDaten vom Client GlobalProtect abrufen, und ob das Objekt ordnungsgemäß konfiguriert und in der HIP Sicherheitsregel zulässig ist. So beheben Sie HIP Daten


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkBCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language