Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Dépannage GlobalProtect - Knowledge Base - Palo Alto Networks

Dépannage GlobalProtect

1602550
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM


Symptom


Les questions liées GlobalProtect peuvent se voir dans les catégories suivantes :

 

– GlobalProtect impossible de se connecter au portail ou à la passerelle
– agent connecté mais incapable GlobalProtect d’accéder
aux ressources – Divers Cet

article énumère quelques-uns des problèmes et méthodes communs pour le dépannage. GlobalProtect L’article suppose que vous êtes conscient des bases et GlobalProtect de sa configuration. Consultez le GlobalProtect guide des ressources.

Outils utilisés pour le dépannage

Outils et utilitaires pour le dépannage de la machine cliente
 

Ping/Traceroute

Pour vérifier l’accessibilité au portail/modem routeur

Nslookup

Pour s’assurer que les noms de domaine complets pour la portail/passerelle obtenir résolus

Ipconfig / Ifconfig / Netstat -nr / Route print

Pour vérifier les GlobalProtect réglages de l’adaptateur et les itinéraires installés par le GlobalProtect client

MMC (Windows)/Keychain Access ( OSX )

Pour installer et vérifier les certificats clients/root CA installés

Wireshark

Pour capturer la transaction entre le GlobalProtect client et le portail/passerelle

Navigateur Web

Télécharger le GlobalProtect client et confirmer la connexion réussie entre le client et le SSL portail/passerelle

GlobalProtect Onglet Statut client/détail

Pour vérifier l’état de la connexion
GlobalProtect journaux du clientPour vérifier les journaux de débogage détaillés du GlobalProtect client

 



Environment


  • Pan-OS
  • Globalprotect


Resolution


Outils utilisés pour le dépannage sur le firewall

 

1) Captures de paquets

Captures d’avions de données : Comment exécuter une capture de paquets
(
Pour les transactions entre le client et le portail/passerelle. Utile pour voir si le firewall laisse tomber des paquets sur l’avion de données. Mais pas très utile avec SSL le déchargement activé puisque les paquets peuvent manquer.)

Captures de port de gestion : Comment capturer des paquets (tcpdump) sur l’interface
de gestion (pour les transactions entre le firewall serveur et le serveur LDAP (authentification))

2) Journaux de débogage : Peut-être besoin d’activer le débogage pour des informations plus détaillées :

 

 

appweb3-sslvpn.log

 

Fichier de journal principal pour toutes SSL VPN les activités connexes. Peut être utilisé pour suivre la communication avec les autres démons.

 

pan_packet_diag.log

 

Pour vérifier le traitement de la SSL demande initiale du Client sur l’avion de données, après quoi la communication est envoyée au démon sslvpn sur le plan de gestion ( MP ).

 

authd.log

 

Pour les problèmes d’authentification liés GlobalProtect à la connexion.

rasmgr.log 

Pour les événements de connexion/déconnexion des clients et autre logique backend.

useridd.logPour les IP mappages et les contrôles des HIP utilisateurs.

3) CLI commandes: Commandes GlobalProtect CLI utiles.

4) Journaux de trafic : Vérifier les connexions provenant du client pour le portail/passerelle et vérifier les détails des sessions d’un GlobalProtect client connecté aux ressources. 
 

Approche générale de dépannage

Assurez-vous d’abord de la matrice de compatibilité:
Où I peut télécharger et installer GlobalProtect l’application?
1) Vérifiez que la configuration a été effectuée correctement selon les documents qui conviennent à votre scénario.

2) Sur le client, assurez-vous que le GlobalProtect client est installé, si ce n’est pas la première fois que vous vous connectez à GlobalProtect .

3) Utilisez nslookup sur le client pour s’assurer que le client peut résoudre les FQDNs pour le portail / passerelle.

4) Ouvrez un navigateur Web et entrez URL le : https:// / <Portal- IP FQDN > et/ou https:// / <Gateway- IP FQDN >. Cela permettra de s’assurer que SSL la communication entre le client et le portail / passerelle fonctionne très bien. Le navigateur web nous permet facilement de vérifier le certificat provenant du portail/porte d’entrée. S’il y a des problèmes de certificat, les erreurs de navigateur peuvent aider à les isoler. Voici quelques exemples :
– On ne fait pas confiance à l’Autorité de signature
– Le nom commun dans le certificat est différent de SNI la demande du client, ou ne contient SAN pas de nom DNS propre
– La validité du certificat a expiré
– Tous les problèmes dans la chaîne

de certificat 5) Si la page du navigateur ci-dessus ne se charge pas correctement, vérifiez auprès de Wireshark si TCP la poignée de main est complète ou non. Utilisez le filtre ip.addr== <Portal IP> ou ip.addr== le <gatewayIP></gatewayIP> cas échéant.

6) Si le SYN paquet sort et non est ACK reçu, passer à la et voir firewall si les sessions se forment, et si les paquets sont abandonnés. Utilisation dataplane débogue ou captures combinées avec compteurs globaux pour vérifier les mêmes. Vérifiez les politiques de sécurité, NAT etc. pour vous assurer que le trafic n’est pas supprimé.

7) Dans le cas ci-dessus, il est parfois également utile de vérifier si les ressources de dataplane sont saines. Vérifiez les commandes suivantes pour trouver une surutilisation des ressources :

> afficher l’exécution
du moniteur de ressources > débouger les

statistiques du pool de dataplane8) Vérifiez appweb3-sslvpn.log pour plus d’informations, si les paquets ne sont pas déposés sur l’avion de données.

9) À partir du navigateur, si GlobalProtect la page de connexion se charge correctement, elle peut demander le certificat client si l’authentification basée sur le certificat du client est activée sur le portail.

10) Vérifiez si le certificat client approprié est chargé dans le magasin de certificats de la machine, et le magasin de certificats du navigateur.


11) Si vous obtenez l’erreur « certificat client valide est nécessaire », importer le certificat client dans le navigateur et la machine client.
Erreur « Certificat client valide est requis » erreur accédant à l’adresse du portail sur Firefox
Internet Explorer BrowserError: « Certificat client valide requis »


12) Essayez de vous connecter à GlobalProtect la page Web portail. Cela confirmera que l’authentification fonctionne très bien.

13) Si vous n’êtes pas en mesure de vous connecter, firewall vérifiez les journaux authd pour voir quelle est l’erreur. Le document suivant peut être utile si vous utilisez LDAP l’authentification : Comment dépanner LDAP l’authentification


14) Si vous êtes en mesure de vous connecter à la page Web du portail, téléchargez et installez GlobalProtect le client, s’il n’est pas déjà installé.

15) Ouvrez le GlobalProtect client et entrez les paramètres requis (nom d’utilisateur/ mot de passe / portail) et cliquez sur Appliquer.

16) Remarquez le message affiché sur l’onglet Statut.

17) Collecter les journaux sur GlobalProtect le client, comme mentionné dans la section outils utilisés, et ouvrir le fichier PanGPS.log dans le dossier zippé.

18) Passez par les journaux, et en fonction des messages d’erreur, prendre des mesures correctives ou dépanner.

19) Simultanément, vous pourriez être tenu de vérifier le mp-log/appweb3-sslvpn.log sur le firewall pour plus d’informations.


 

Questions communes

GlobalProtectimpossible de se connecter au portail ou à la passerelle

Après avoir suivil’approche de dépannage ci-dessus, si

vous recevez les erreurs suivantes :1) Impossible de se connecter à Portal (ou
symptômes similaires) – Erreur du client GlobalProtect: n’a pas
trouvé l’adresse du portail Client ne se GlobalProtectconnectant
pas Client coincé à la connexion lorsque GlobalProtectWorkstation est sur le réseau local
Client incapable de se connecter sur la GlobalProtectmachine nouvellement installée

2)
Certificat client requis n’est pas trouvé– n’a pas réussi à se connecter - certificat client requis n’est GlobalProtectpas

trouvé 3) « Vérification du certificat serveur échoué » ou « Erreur de protocole. Vérifiez le certificat du
serveur – Erreur du client : erreur de protocole GPde passerelle, certificat de serveur de contrôle
Impossible d’accès GlobalProtect en raison d’une erreur (3659)

4) Qui n’a pas été réglé. Message: erreurs se GlobalProtect config
- ErreurGlobalProtect client: « N’a pas réussi à SetDoc. Message : erreurs se GlobalProtect config »

5) [ OCSP ] Le résultat de la requête d’état du certificat n’est pas
disponible Validation du certificat client OCSPne fonctionne

pas6)
Découvrir leréseau – Comment résoudre les problèmes de pilote dans cette cause GlobalProtect « Discovering Network » à être coincé.

7) IpReleaseAddress a échoué: Le serveur RPC n’est pas disponible
Essayez de désinstaller d’autres adaptateurs virtuels
Essayez de réinstaller le GlobalProtect client après avoir supprimé tous les composants
Essayez d’arrêter et de démarrer RPC les Services :
      – Cliquez sur démarrer et aller à la fenêtre Exécuter.
      En fuite, tapez services.msc
     – – Localiser le service d’appel de procédure à distance.
     – – Démarrer le service d’appel de procédure à distance, en cliquant à droite sur le service. S’il est démarré, arrêtez et redémarrez.
     Redémarrez PC le problème et voyez si le problème persiste.
      Vous pouvez également essayer de réinstaller Windows OS sur la machine.
Essayez de mettre à jour les correctifs Microsoft sur la machine cliente.
– Essayez d’installer une GlobalProtect version client différente.
– Vérifiez les notes de sortie de Palo Alto pour tout problème signalé.
Contactez le support technique si le problème persiste.

9) N’a pas réussi à trouver PANGP l’interface d’adaptateur virtuel
Désactiver les WMI services. Exécuter - services.msc - WMI - arrêter les services.
Supprimer les fichiers sous: C:\Windows\System32\wbem\Repository
Supprimer GlobalProtect les fichiers connexes, désinstallés, GlobalProtect assurez-vous que l’adaptateur virtuel a disparu.
Redémarrez la machine, réinstallez et vérifiez l’état.
La réinstallation du client OS peut aider si la situation le permet.
Contactez le support technique si le problème persiste.

10) N’a pas réussi à obtenir l’entrée par défaut de l’itinéraire
Désinstaller réinstaller le GlobalProtect client
Si une nouvelle version du GlobalProtect client est disponible et si la situation le permet, essayez d’installer la nouvelle version.
Essayez de redémarrer DHCP windows : Exécuter - services.. msc - DHCP Client - Arrêtez le service, Démarrez le service.
Mettre à jour les correctifs Microsoft ou correctif à chaud : https://support.microsoft.com/en-us/kb/2459530
Contactez le support technique si le problème persiste.

11) Ne peut pas se connecter à root\cimv2
Besoin de reconstruire WMI le référentiel. S’il vous plaît vérifiez que tous les autres services ne sont pas affectés.
En cas de problème, contactez le support technique.

12) Assigner l’adresse IP privée a échoué
Vérifiez si le pool IP d’adresses a suffisamment d’ADRESSES IP
Vérifiez si le IP pool ne chevauche pas le IP PC client.
Vérifiez si le groupe d’utilisateurs utilisé dans global Protec > gateway > Client Configuration > Network Setting est correctement inclus dans les cartographies de groupe sur le firewall et est en mesure firewall d’aller chercher le groupe à partir du AD serveur.
Vérifiez si l’utilisateur appartient au groupe correct tel que mentionné dans les paramètres réseau de configuration client sous GP passerelle.

GlobalProtect agent connecté mais incapable d’accéder aux ressources

1) Vérifiez si GlobalProtect l’adaptateur virtuel client reçoit une IP adresse, DNS suffixe et itinéraires d’accès pour les ressources distantes. Vous pouvez utiliser l’onglet Détail du panneau client ou les outils de ligne de commande GlobalProtect comme ipconfig/all, ifconfig, nslookup, netstat-nr, impression d’itinéraire, etc. pour la même chose.

2) Vérifiez pour voir que le port 4501 n’est pas bloqué sur les réseaux Palo Alto firewall ou du côté client ( sur ) ou quelque part entre les firewall PC deux, car cela est utilisé par IPsec pour la communication de données entre GlobalProtect le client et le firewall . Pcaps sur l’interface physique client ou pcaps et débogages sur le peut aider à s’assurer firewall que les paquets ne sont pas abandonnés n’importe où.

3) Vérifiez si le Firewall est configuré avec les politiques de sécurité appropriées pour permettre le trafic à partir du pool alloué à IP GlobalProtect l’adaptateur virtuel client. Le policy doit être configuré à partir de la zone de l’interface du tunnel à la zone de la ressource protégée. Outils tels que le trafic journaux, packet capture, dataplane débogue avec compteurs globaux peut servir à résoudre cela. Les captures de paquets sur le Client sur GlobalProtect l’Adaptateur peuvent aider à comparer les paquets envoyés par le client avec ce qui est reçu sur firewall l’et vice versa.

4) Vérifiez s’il y a l’itinéraire approprié IP pour le pool utilisé par sur le réseau pour le trafic de GlobalProtect réponse. Si vous utilisez le routage dynamique, alors vous devez redistribuer ces itinéraires au protocole de routage de Palo Alto Networks. Captures sur les réseaux de Palo Alto firewall pour le trafic non crypté peut aider à savoir si envoie les paquets vers les firewall ressources et si elle reçoit une réponse.

5) Vérifiez si le Firewall reçoit la cartographie IP-utilisateur du GlobalProtect client. Vérifiez à l>'utiliser pour afficher <ip></ip> ip ip-user-mapping utilisateur utilisateur pour s’assurer firewall que le est en mesure de trouver le groupe de l’utilisateur fait partie de. Si la cartographie de groupe n’est pas correctement remplie, puis dépanner le problème ID utilisateur.

Utilisateur de dépannage -ID: Groupeet utilisateur-à- IP Mapping

User-ID liste de ressources

6) Vérifiez si le est firewall d’obtenir les HIPdonnées du GlobalProtect client, et si HIP l’objet est configuré correctement et autorisé dans la règle de sécurité. Comment dépanner les HIP données


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language