Dépannage GlobalProtect
1373055
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM
Symptom
Les questions liées GlobalProtect peuvent se voir dans les catégories suivantes :
– GlobalProtect impossible de se connecter au portail ou à la passerelle
– agent connecté mais incapable GlobalProtect d’accéder
aux ressources – Divers Cet
article énumère quelques-uns des problèmes et méthodes communs pour le dépannage. GlobalProtect L’article suppose que vous êtes conscient des bases et GlobalProtect de sa configuration. Consultez le GlobalProtect guide des ressources.
Outils utilisés pour le dépannage
Outils et utilitaires pour le dépannage de la machine cliente
Ping/Traceroute | Pour vérifier l’accessibilité au portail/modem routeur |
Nslookup | Pour s’assurer que les noms de domaine complets pour la portail/passerelle obtenir résolus |
Ipconfig / Ifconfig / Netstat -nr / Route print | Pour vérifier les GlobalProtect réglages de l’adaptateur et les itinéraires installés par le GlobalProtect client |
MMC (Windows)/Keychain Access ( OSX ) | Pour installer et vérifier les certificats clients/root CA installés |
Wireshark | Pour capturer la transaction entre le GlobalProtect client et le portail/passerelle |
Navigateur Web | Télécharger le GlobalProtect client et confirmer la connexion réussie entre le client et le SSL portail/passerelle |
GlobalProtect Onglet Statut client/détail | Pour vérifier l’état de la connexion |
| GlobalProtect journaux du client | Pour vérifier les journaux de débogage détaillés du GlobalProtect client |
Environment
- Pan-OS
- Globalprotect
Resolution
3) Utilisez nslookup sur le client pour s’assurer que le client peut résoudre les FQDNs pour le portail / passerelle.
4) Ouvrez un navigateur Web et entrez URL le : https:// / <Portal- IP FQDN > et/ou https:// / <Gateway- IP FQDN >. Cela permettra de s’assurer que SSL la communication entre le client et le portail / passerelle fonctionne très bien. Le navigateur web nous permet facilement de vérifier le certificat provenant du portail/porte d’entrée. S’il y a des problèmes de certificat, les erreurs de navigateur peuvent aider à les isoler. Voici quelques exemples :
– On ne fait pas confiance à l’Autorité de signature
– Le nom commun dans le certificat est différent de SNI la demande du client, ou ne contient SAN pas de nom DNS propre
– La validité du certificat a expiré
– Tous les problèmes dans la chaîne
de certificat 5) Si la page du navigateur ci-dessus ne se charge pas correctement, vérifiez auprès de Wireshark si TCP la poignée de main est complète ou non. Utilisez le filtre ip.addr== <Portal IP> ou ip.addr== le <gatewayIP></gatewayIP> cas échéant.
6) Si le SYN paquet sort et non est ACK reçu, passer à la et voir firewall si les sessions se forment, et si les paquets sont abandonnés. Utilisation dataplane débogue ou captures combinées avec compteurs globaux pour vérifier les mêmes. Vérifiez les politiques de sécurité, NAT etc. pour vous assurer que le trafic n’est pas supprimé.
7) Dans le cas ci-dessus, il est parfois également utile de vérifier si les ressources de dataplane sont saines. Vérifiez les commandes suivantes pour trouver une surutilisation des ressources :
> afficher l’exécution
du moniteur de ressources > débouger les
statistiques du pool de dataplane8) Vérifiez appweb3-sslvpn.log pour plus d’informations, si les paquets ne sont pas déposés sur l’avion de données.
9) À partir du navigateur, si GlobalProtect la page de connexion se charge correctement, elle peut demander le certificat client si l’authentification basée sur le certificat du client est activée sur le portail.
10) Vérifiez si le certificat client approprié est chargé dans le magasin de certificats de la machine, et le magasin de certificats du navigateur.
11) Si vous obtenez l’erreur « certificat client valide est nécessaire », importer le certificat client dans le navigateur et la machine client.
Erreur « Certificat client valide est requis » erreur accédant à l’adresse du portail sur Firefox
Internet Explorer BrowserError: « Certificat client valide requis »
12) Essayez de vous connecter à GlobalProtect la page Web portail. Cela confirmera que l’authentification fonctionne très bien.
13) Si vous n’êtes pas en mesure de vous connecter, firewall vérifiez les journaux authd pour voir quelle est l’erreur. Le document suivant peut être utile si vous utilisez LDAP l’authentification : Comment dépanner LDAP l’authentification
14) Si vous êtes en mesure de vous connecter à la page Web du portail, téléchargez et installez GlobalProtect le client, s’il n’est pas déjà installé.
15) Ouvrez le GlobalProtect client et entrez les paramètres requis (nom d’utilisateur/ mot de passe / portail) et cliquez sur Appliquer.
16) Remarquez le message affiché sur l’onglet Statut.
17) Collecter les journaux sur GlobalProtect le client, comme mentionné dans la section outils utilisés, et ouvrir le fichier PanGPS.log dans le dossier zippé.
18) Passez par les journaux, et en fonction des messages d’erreur, prendre des mesures correctives ou dépanner.
19) Simultanément, vous pourriez être tenu de vérifier le mp-log/appweb3-sslvpn.log sur le firewall pour plus d’informations.
de certificat 5) Si la page du navigateur ci-dessus ne se charge pas correctement, vérifiez auprès de Wireshark si TCP la poignée de main est complète ou non. Utilisez le filtre ip.addr== <Portal IP> ou ip.addr== le <gatewayIP></gatewayIP> cas échéant.
6) Si le SYN paquet sort et non est ACK reçu, passer à la et voir firewall si les sessions se forment, et si les paquets sont abandonnés. Utilisation dataplane débogue ou captures combinées avec compteurs globaux pour vérifier les mêmes. Vérifiez les politiques de sécurité, NAT etc. pour vous assurer que le trafic n’est pas supprimé.
7) Dans le cas ci-dessus, il est parfois également utile de vérifier si les ressources de dataplane sont saines. Vérifiez les commandes suivantes pour trouver une surutilisation des ressources :
> afficher l’exécution
du moniteur de ressources > débouger les
statistiques du pool de dataplane8) Vérifiez appweb3-sslvpn.log pour plus d’informations, si les paquets ne sont pas déposés sur l’avion de données.
9) À partir du navigateur, si GlobalProtect la page de connexion se charge correctement, elle peut demander le certificat client si l’authentification basée sur le certificat du client est activée sur le portail.
10) Vérifiez si le certificat client approprié est chargé dans le magasin de certificats de la machine, et le magasin de certificats du navigateur.
11) Si vous obtenez l’erreur « certificat client valide est nécessaire », importer le certificat client dans le navigateur et la machine client.
Erreur « Certificat client valide est requis » erreur accédant à l’adresse du portail sur Firefox
Internet Explorer BrowserError: « Certificat client valide requis »
12) Essayez de vous connecter à GlobalProtect la page Web portail. Cela confirmera que l’authentification fonctionne très bien.
13) Si vous n’êtes pas en mesure de vous connecter, firewall vérifiez les journaux authd pour voir quelle est l’erreur. Le document suivant peut être utile si vous utilisez LDAP l’authentification : Comment dépanner LDAP l’authentification
14) Si vous êtes en mesure de vous connecter à la page Web du portail, téléchargez et installez GlobalProtect le client, s’il n’est pas déjà installé.
15) Ouvrez le GlobalProtect client et entrez les paramètres requis (nom d’utilisateur/ mot de passe / portail) et cliquez sur Appliquer.
16) Remarquez le message affiché sur l’onglet Statut.
17) Collecter les journaux sur GlobalProtect le client, comme mentionné dans la section outils utilisés, et ouvrir le fichier PanGPS.log dans le dossier zippé.
18) Passez par les journaux, et en fonction des messages d’erreur, prendre des mesures correctives ou dépanner.
19) Simultanément, vous pourriez être tenu de vérifier le mp-log/appweb3-sslvpn.log sur le firewall pour plus d’informations.
Questions communes
GlobalProtectimpossible de se connecter au portail ou à la passerelle
Après avoir suivil’approche de dépannage ci-dessus, si
vous recevez les erreurs suivantes :1) Impossible de se connecter à Portal (ou
symptômes similaires) – Erreur du client GlobalProtect: n’a pas
trouvé l’adresse du portail– Client ne se GlobalProtectconnectant
pas– Client coincé à la connexion lorsque GlobalProtectWorkstation est sur le réseau local
– Client incapable de se connecter sur la GlobalProtectmachine nouvellement installée
2)
Certificat client requis n’est pas trouvé– n’a pas réussi à se connecter - certificat client requis n’est GlobalProtectpas
trouvé 3) « Vérification du certificat serveur échoué » ou « Erreur de protocole. Vérifiez le certificat du
serveur – Erreur du client : erreur de protocole GPde passerelle, certificat de serveur de contrôle
– Impossible d’accès GlobalProtect en raison d’une erreur (3659)
4) Qui n’a pas été réglé. Message: erreurs se GlobalProtect config
- ErreurGlobalProtect client: « N’a pas réussi à SetDoc. Message : erreurs se GlobalProtect config »
5) [ OCSP ] Le résultat de la requête d’état du certificat n’est pas
disponible– Validation du certificat client OCSPne fonctionne
pas6)
Découvrir leréseau – Comment résoudre les problèmes de pilote dans cette cause GlobalProtect « Discovering Network » à être coincé.
7) IpReleaseAddress a échoué: Le serveur RPC n’est pas disponible
Après avoir suivil’approche de dépannage ci-dessus, si
vous recevez les erreurs suivantes :1) Impossible de se connecter à Portal (ou
symptômes similaires) – Erreur du client GlobalProtect: n’a pas
trouvé l’adresse du portail– Client ne se GlobalProtectconnectant
pas– Client coincé à la connexion lorsque GlobalProtectWorkstation est sur le réseau local
– Client incapable de se connecter sur la GlobalProtectmachine nouvellement installée
2)
Certificat client requis n’est pas trouvé– n’a pas réussi à se connecter - certificat client requis n’est GlobalProtectpas
trouvé 3) « Vérification du certificat serveur échoué » ou « Erreur de protocole. Vérifiez le certificat du
serveur – Erreur du client : erreur de protocole GPde passerelle, certificat de serveur de contrôle
– Impossible d’accès GlobalProtect en raison d’une erreur (3659)
4) Qui n’a pas été réglé. Message: erreurs se GlobalProtect config
- ErreurGlobalProtect client: « N’a pas réussi à SetDoc. Message : erreurs se GlobalProtect config »
5) [ OCSP ] Le résultat de la requête d’état du certificat n’est pas
disponible– Validation du certificat client OCSPne fonctionne
pas6)
Découvrir leréseau – Comment résoudre les problèmes de pilote dans cette cause GlobalProtect « Discovering Network » à être coincé.
7) IpReleaseAddress a échoué: Le serveur RPC n’est pas disponible
– Essayez de désinstaller d’autres adaptateurs virtuels
– Essayez de réinstaller le GlobalProtect client après avoir supprimé tous les composants
– Essayez d’arrêter et de démarrer RPC les Services :
– – Cliquez sur démarrer et aller à la fenêtre Exécuter.
– – En fuite, tapez services.msc
– – Localiser le service d’appel de procédure à distance.
– – Démarrer le service d’appel de procédure à distance, en cliquant à droite sur le service. S’il est démarré, arrêtez et redémarrez.
– – Redémarrez PC le problème et voyez si le problème persiste.
– – Vous pouvez également essayer de réinstaller Windows OS sur la machine.
– – Contactez le support technique si le problème persiste.
8) Élément non trouvé
- https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
8) Élément non trouvé
- https://social.technet.microsoft.com/Forums/windows/en- US /b7271ae2-1422-4da0-92b1-56c69905d3f6/netsh-does-not-work-to-set-ip-address-of-wireless-network-connection?forum=w7itpronetworking
– Essayez de mettre à jour les correctifs Microsoft sur la machine cliente.
– Essayez d’installer une GlobalProtect version client différente.
– Vérifiez les notes de sortie de Palo Alto pour tout problème signalé.
– Contactez le support technique si le problème persiste.
9) N’a pas réussi à trouver PANGP l’interface d’adaptateur virtuel
9) N’a pas réussi à trouver PANGP l’interface d’adaptateur virtuel
– Désactiver les WMI services. Exécuter - services.msc - WMI - arrêter les services.
– Supprimer GlobalProtect les fichiers connexes, désinstallés, GlobalProtect assurez-vous que l’adaptateur virtuel a disparu.
– Redémarrez la machine, réinstallez et vérifiez l’état.
– La réinstallation du client OS peut aider si la situation le permet.
– Contactez le support technique si le problème persiste.
10) N’a pas réussi à obtenir l’entrée par défaut de l’itinéraire
10) N’a pas réussi à obtenir l’entrée par défaut de l’itinéraire
– Désinstaller réinstaller le GlobalProtect client
– Si une nouvelle version du GlobalProtect client est disponible et si la situation le permet, essayez d’installer la nouvelle version.
– Essayez de redémarrer DHCP windows : Exécuter - services.. msc - DHCP Client - Arrêtez le service, Démarrez le service.
– Mettre à jour les correctifs Microsoft ou correctif à chaud : https://support.microsoft.com/en-us/kb/2459530
– Contactez le support technique si le problème persiste.
11) Ne peut pas se connecter à root\cimv2
11) Ne peut pas se connecter à root\cimv2
– Besoin de reconstruire WMI le référentiel. S’il vous plaît vérifiez que tous les autres services ne sont pas affectés.
– En cas de problème, contactez le support technique.
12) Assigner l’adresse IP privée a échoué
12) Assigner l’adresse IP privée a échoué
– Vérifiez si le pool IP d’adresses a suffisamment d’ADRESSES IP
– Vérifiez si le IP pool ne chevauche pas le IP PC client.
– Vérifiez si le groupe d’utilisateurs utilisé dans global Protec > gateway > Client Configuration > Network Setting est correctement inclus dans les cartographies de groupe sur le firewall et est en mesure firewall d’aller chercher le groupe à partir du AD serveur.
– Vérifiez si l’utilisateur appartient au groupe correct tel que mentionné dans les paramètres réseau de configuration client sous GP passerelle.
GlobalProtect agent connecté mais incapable d’accéder aux ressources
1) Vérifiez si GlobalProtect l’adaptateur virtuel client reçoit une IP adresse, DNS suffixe et itinéraires d’accès pour les ressources distantes. Vous pouvez utiliser l’onglet Détail du panneau client ou les outils de ligne de commande GlobalProtect comme ipconfig/all, ifconfig, nslookup, netstat-nr, impression d’itinéraire, etc. pour la même chose.
2) Vérifiez pour voir que le port 4501 n’est pas bloqué sur les réseaux Palo Alto firewall ou du côté client ( sur ) ou quelque part entre les firewall PC deux, car cela est utilisé par IPsec pour la communication de données entre GlobalProtect le client et le firewall . Pcaps sur l’interface physique client ou pcaps et débogages sur le peut aider à s’assurer firewall que les paquets ne sont pas abandonnés n’importe où.
3) Vérifiez si le Firewall est configuré avec les politiques de sécurité appropriées pour permettre le trafic à partir du pool alloué à IP GlobalProtect l’adaptateur virtuel client. Le policy doit être configuré à partir de la zone de l’interface du tunnel à la zone de la ressource protégée. Outils tels que le trafic journaux, packet capture, dataplane débogue avec compteurs globaux peut servir à résoudre cela. Les captures de paquets sur le Client sur GlobalProtect l’Adaptateur peuvent aider à comparer les paquets envoyés par le client avec ce qui est reçu sur firewall l’et vice versa.
4) Vérifiez s’il y a l’itinéraire approprié IP pour le pool utilisé par sur le réseau pour le trafic de GlobalProtect réponse. Si vous utilisez le routage dynamique, alors vous devez redistribuer ces itinéraires au protocole de routage de Palo Alto Networks. Captures sur les réseaux de Palo Alto firewall pour le trafic non crypté peut aider à savoir si envoie les paquets vers les firewall ressources et si elle reçoit une réponse.
5) Vérifiez si le Firewall reçoit la cartographie IP-utilisateur du GlobalProtect client. Vérifiez à l>'utiliser pour afficher <ip></ip> ip ip-user-mapping utilisateur utilisateur pour s’assurer firewall que le est en mesure de trouver le groupe de l’utilisateur fait partie de. Si la cartographie de groupe n’est pas correctement remplie, puis dépanner le problème ID utilisateur.
Utilisateur de dépannage -ID: Groupeet utilisateur-à- IP Mapping
User-ID liste de ressources
6) Vérifiez si le est firewall d’obtenir les HIPdonnées du GlobalProtect client, et si HIP l’objet est configuré correctement et autorisé dans la règle de sécurité. Comment dépanner les HIP données
GlobalProtect agent connecté mais incapable d’accéder aux ressources
1) Vérifiez si GlobalProtect l’adaptateur virtuel client reçoit une IP adresse, DNS suffixe et itinéraires d’accès pour les ressources distantes. Vous pouvez utiliser l’onglet Détail du panneau client ou les outils de ligne de commande GlobalProtect comme ipconfig/all, ifconfig, nslookup, netstat-nr, impression d’itinéraire, etc. pour la même chose.
2) Vérifiez pour voir que le port 4501 n’est pas bloqué sur les réseaux Palo Alto firewall ou du côté client ( sur ) ou quelque part entre les firewall PC deux, car cela est utilisé par IPsec pour la communication de données entre GlobalProtect le client et le firewall . Pcaps sur l’interface physique client ou pcaps et débogages sur le peut aider à s’assurer firewall que les paquets ne sont pas abandonnés n’importe où.
3) Vérifiez si le Firewall est configuré avec les politiques de sécurité appropriées pour permettre le trafic à partir du pool alloué à IP GlobalProtect l’adaptateur virtuel client. Le policy doit être configuré à partir de la zone de l’interface du tunnel à la zone de la ressource protégée. Outils tels que le trafic journaux, packet capture, dataplane débogue avec compteurs globaux peut servir à résoudre cela. Les captures de paquets sur le Client sur GlobalProtect l’Adaptateur peuvent aider à comparer les paquets envoyés par le client avec ce qui est reçu sur firewall l’et vice versa.
4) Vérifiez s’il y a l’itinéraire approprié IP pour le pool utilisé par sur le réseau pour le trafic de GlobalProtect réponse. Si vous utilisez le routage dynamique, alors vous devez redistribuer ces itinéraires au protocole de routage de Palo Alto Networks. Captures sur les réseaux de Palo Alto firewall pour le trafic non crypté peut aider à savoir si envoie les paquets vers les firewall ressources et si elle reçoit une réponse.
5) Vérifiez si le Firewall reçoit la cartographie IP-utilisateur du GlobalProtect client. Vérifiez à l>'utiliser pour afficher <ip></ip> ip ip-user-mapping utilisateur utilisateur pour s’assurer firewall que le est en mesure de trouver le groupe de l’utilisateur fait partie de. Si la cartographie de groupe n’est pas correctement remplie, puis dépanner le problème ID utilisateur.
Utilisateur de dépannage -ID: Groupeet utilisateur-à- IP Mapping
User-ID liste de ressources
6) Vérifiez si le est firewall d’obtenir les HIPdonnées du GlobalProtect client, et si HIP l’objet est configuré correctement et autorisé dans la règle de sécurité. Comment dépanner les HIP données