Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
トラブルシューティング GlobalProtect - Knowledge Base - Palo Alto Networks

トラブルシューティング GlobalProtect

1602550
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM


Symptom


に関連する問題 GlobalProtect は、次のカテゴリに大きく分類できます。

 

GlobalProtect – ポータルまたはゲートウェイに接続できない
– GlobalProtect エージェントは接続されているがリソースにアクセスできません
– その他

の記事では、トラブルシューティングに関する一般的な問題と方法をいくつか紹介 GlobalProtect しています。 この記事では、ユーザーがの基本とその構成について理解していることを前提としています GlobalProtect 。 GlobalProtectリソース ガイド

を参照してください。クライアント コンピュータでのトラブルシューティング

に使用するツールおよびユーティリティのトラブルシューティングに使用する
ツール 

Ping/traceroute

ポータル/ゲートウェイへの到達可能性を確認するには

Nslookup

ポータル/ゲートウェイの Fqdn を解決を取得するかどうかを確認するには

Ipconfig/Ifconfig/Netstat nr/ルート印刷

GlobalProtectクライアントによってインストールされたアダプタの設定とルートを確認 GlobalProtect するには

MMC (ウィンドウズ)/キーチェーンアクセス ( OSX )

インストール済みのクライアント/ルート証明書をインストール CA して確認するには

Wireshark

GlobalProtectクライアントとポータル/ゲートウェイ間のトランザクションをキャプチャするには

ウェブブラウザ

クライアントをダウンロード GlobalProtect し、 SSL クライアントとポータル/ゲートウェイ間の接続が正常に確立されたことを確認するには

GlobalProtect [クライアント ステータス/詳細] タブ

接続の状態を確認するには
GlobalProtect クライアントログクライアントから詳細なデバッグ ログを確認するには GlobalProtect

 



Environment


  • Pan-OS
  • Globalprotect


Resolution


のトラブルシューティングに使用するツール firewall

 

1) パケットキャプチャ

データプレーンキャプチャ: パケットキャプチャの実行方法 
(
クライアントとポータル/ゲートウェイの間のトランザクション用。 データプレーン上のパケットがドロップしているかどうかを確認するのに役立ちます firewall 。 しかし、 SSL パケットが欠落している可能性があるため、オフロードを有効にしてもあまり役に立ちません)。

管理ポート キャプチャ : 管理インターフェイス上のパケット キャプチャ (tcpdump) の方法
(サーバーとの間のトランザクション firewall LDAP (認証

)) 2) デバッグ ログ: 詳細については、デバッグを有効にする必要があります。

 

 

appweb3 sslvpn.log

 

すべての関連アクティビティのメイン ログ ファイル SSL VPN 。 他のデーモンとの通信を追跡するために使用できます。

 

pan_packet_diag.log

 

SSLデータプレーン上のクライアントからの初期要求の処理を検証するには、その後、通信が管理プレーン ( ) の sslvpn デーモンに送信 MP されます。

 

authd.log

 

ログインに関連する認証の問題 GlobalProtect 。

rasmgr.log 

クライアント ログイン/ログアウト イベントやその他のバックエンドのロジック。

ユーザー IDd.logユーザー IP マッピングと HIP チェックの場合。

3) CLI コマンド: 便利な GlobalProtect CLI コマンド。

4) トラフィック ログ: ポータル/ゲートウェイのクライアントからの接続を確認し、接続されたクライアントからリソースへのセッションの詳細 GlobalProtect を確認します。 
 

一般的なトラブルシューティングの方法

まず互換性マトリックスを確認する:
I GlobalProtect どこでアプリをダウンロードしてインストールできますか?
1) シナリオに合ったドキュメントごとに、構成が正しく行われていることを確認します。

2) クライアントで、 GlobalProtect 初めて に接続する場合は、クライアントがインストールされていることを確認 GlobalProtect します。

3) クライアントで nslookup を使用して、クライアントがポータル/ゲートウェイの FQDN を解決できることを確認します。

4) Webブラウザを開き、 URL : https:// / <Portal- IP FQDN >および/https:// / <Gateway- IP FQDN >を入力します。 これにより、 SSL クライアントとポータル/ゲートウェイ間の通信が正常に動作します。 簡単に、web ブラウザーは、ポータル/ゲートウェイから証明書を確認私たちに役立ちます。 証明書に問題がある場合、ブラウザー エラーが原因で、証明書を特定できます。 以下に例を示します。
– 署名機関が信頼されていません
– 証明書の共通名が SNI クライアントから要求された名前と異な SAN っているか、または適切な名前が含まれていません DNS
– 証明書の有効期限が切れた
証明書チェーンの問題点

5) 上記のブラウザページが正しく読み込まれていない場合は、Wireshark に確認して TCP ハンドシェイクが完了したかどうかを確認します。 必要に応じて、フィルタip.addr== <Portal IP>または ip.addr== を <gatewayIP></gatewayIP> 使用します。

6) SYN パケットが出て、no ACK が受信された場合は、 に移動 firewall してセッションが形成されるかどうか、およびパケットがドロップされているかどうかを確認します。 データ プレーン ・ デバッグまたはグローバル カウンターと組み合わせてのキャプチャを使用して、同じをチェックします。 セキュリティ ポリシー NAT などをチェックして、トラフィックがドロップされないようにします。

7) 上記の場合、データプレーンリソースが正常かどうかを確認することも役立ちます。 リソースの過使用率を確認するには、次のコマンドを確認してください:

>リソース モニタの実行中
>デバッグ データプレーン プール統計

8) パケットがデータプレーンで廃棄されていない場合は 、appweb3-sslvpn.log を確認してください。

9) ブラウザーから、ログイン GlobalProtect ページが正しく読み込み中であれば、クライアント証明書ベースの認証がポータルで有効になっている場合、クライアント証明書を要求する場合があります。

10) 適切なクライアント証明書がマシンの証明書ストアとブラウザの証明書ストアにロードされているかどうかを確認します。


11) エラーが表示される場合は、"有効なクライアント証明書が必要です"、クライアント証明書をブラウザーとクライアント コンピューターにインポートします。Firefox Internet Explorer ブラウザ エラー
のポータル アドレスにアクセスするエラー'有効なクライアント証明書が必要です"
"有効なクライアント証明書が必要です"


12) ポータル Web ページにログインしてみてください GlobalProtect 。 これにより、認証が正常に機能していることを確認できます。

13) ログインできない場合は、 firewall 認証ログを確認してエラーを確認してください。 認証を使用する場合は、次のドキュメントが役立ちます LDAP : LDAP 認証のトラブルシューティング方法


14) Portal Web ページにログインできる場合は、 GlobalProtect まだインストールされていない場合は、クライアントをダウンロードしてインストールします。

15) クライアントを開 GlobalProtect き、必要な設定(ユーザー名/パスワード/ポータル)を入力して、[適用]をクリックします。

16) [ステータス] タブに表示されるメッセージに注目してください。

17) GlobalProtect 使用ツールのセクションで説明したように、クライアント上のログを収集し、zip形式のフォルダーに PanGPS.log ファイルを開きます。

18) ログを通過し、エラー メッセージに基づいて、是正措置を取るか、トラブルシューティングを行います。

19) 同時に 、mp-log/appweb3-sslvpn.log firewall の詳細を確認する必要があります。


 

一般的な問題

GlobalProtectポータルまたはゲートウェイに接続できない

上記のトラブルシューティング方法を実行した後、次のエラーが表示される場合:

1) ポータルに接続できませんでした (または同様の現象)
クライアントGlobalProtectエラー: ポータル アドレスが見つかりませんでした
GlobalProtectクライアントが接続されていません
GlobalProtectクライアントがローカル ネットワーク上にあるときに接続でスタック
クライアントがローカル ネットワーク上に接続GlobalProtectできない

場合2) 必要なクライアント証明書が見つかりません
GlobalProtect- 接続に失敗しました - 必要なクライアント証明書が見つかりません

サーバー証明書のチェック
GPクライアント エラー: ゲートウェイ プロトコル エラー、 サーバー証明書の確認
- エラー GlobalProtect (3659) 4)

が SetDoc に失敗したため、アクセスできません。 メッセージ: 構成を取得中のエラー GlobalProtect
GlobalProtect クライアント エラー: "SetDoc に失敗しました。 メッセージ: 構成を取得するエラー GlobalProtect "

5) [ ] OCSP 証明書ステータスクエリの結果が利用できません
OCSPクライアント証明書が機能していない検証

6) ネットワークの検出
GlobalProtect "ネットワークの検出中" がスタックする原因となるドライバの問題をトラブルシューティングする方法.

7) Ip リリース アドレスに失敗しました: RPC サーバーが使用できません。
他の仮想アダプタをアンインストールしてみます。
GlobalProtectすべてのコンポーネントを削除した後にクライアントを再インストールしてください。
サービスを停止して開始してみてください RPC 。
      スタートをクリックして、実行ウィンドウに移動.
      実行時に「サービス.msc」と入力します。
      リモート プロシージャコール サービスを見つけます。
      サービスを右クリックして、リモート プロシージャ コール サービスを開始します。 起動すると、停止し、再び開始。
     再起動 PC し、問題が解決しないかどうかを確認します。
      – また、 OS マシン上のWindowsを再インストールしようとすることができます.
     問題が解決しない場合は、テクニカルサポートにお問い合わせください。

8) 要素が見つかりません
https://social.technet.microsoft.com/Forums/windows/en - US /b7271ae2-1422-4da0-92b1-56c6905d3f6/netsh-動作しない -設定された ip アドレスワイヤレスネットワーク接続?フォーラム=w7itpronetworking
クライアント マシン上のマイクロソフトの修正プログラムを更新してみてください。
別の GlobalProtect クライアントバージョンをインストールしてみてください。
報告された問題についてはパロアルトのリリースノートをチェック.
問題が解決しない場合は、テクニカル サポートにお問い合わせください。

9) PANGP 仮想アダプタインターフェイスが見つかりませんでした
サービスを無効に WMI します。 実行 - services.msc WMI - - サービスを停止します。
次の下のファイルを削除します: C:\Windows\System32\wbem\リポジトリ
GlobalProtect関連ファイルを削除し、アンインストール GlobalProtect 済みで、仮想アダプタが消えてしまったことを確認します。
マシンを再起動し、再インストールして、状態を確認します。
クライアントを再インストール OS すると、状況が許せば役立つ場合があります。
問題が解決しない場合は、テクニカル サポートにお問い合わせください。

10) デフォルトのルートエントリを取得できませんでした
アンインストール クライアントの再インストール GlobalProtect
新しいバージョンの GlobalProtect クライアントが利用可能で、状況が許す場合は、新しいバージョンをインストールしてみてください。
Windows を再起動してみてください DHCP : 実行 - サービス.msc - DHCP クライアント - サービスを停止し、サービスを開始します。
マイクロソフトの修正プログラムまたは修正プログラムを更新する : https://support.microsoft.com/en-us/kb/2459530
問題が解決しない場合は、テクニカル サポートにお問い合わせください。

11) ルート\cimv2 に接続できません
リポジトリを再構築する必要 WMI があります。 その他のサービスは影響されませんを確認してください。
問題がある場合は、テクニカルサポートにお問い合わせください。

12) プライベート アドレスの割り当て IP に失敗しました
IPアドレス プールに十分な IP が含されているかどうかを確認する
プールが IP クライアント の と重複していないかどうかを確認 IP PC します。
グローバル Protec > ゲートウェイで使用されているユーザー グループがクライアント設定>クライアント設定>のグループ マッピングに正しく含まれているか確認 firewall し firewall 、サーバからグループを取得できるかどうかを確認 AD します。
ゲートウェイの下のクライアント構成のネットワーク設定で説明されているように、ユーザーが正しいグループに属しているかどうかを確認してください GP 。

GlobalProtect

GlobalProtect IP DNS GlobalProtectクライアントパネルの詳細タブまたはipconfig/all、ifconfig、nslookup、netstat -nr、ルート印刷などのコマンドラインツールを使用できます。

2) ポート4501が Palo Alto Networks firewall またはクライアント側 firewall (on) PC またはその間のどこかでブロックされていないか確認 GlobalProtect firewall してください。 クライアント物理インターフェイスの Pcaps または pcaps とデバッグは firewall 、パケットがどこにも廃棄されないようにするのに役立ちます。

3) Firewall クライアント仮想アダプターに割り当てられたプールからのトラフィックを許可する適切な セキュリティ ポリシー が設定されているかどうかを確認 IP GlobalProtect します。 policyトンネル インターフェイスのゾーンから保護されたリソースのゾーンに設定する必要があります。 トラフィックのログのようなツール、パケット キャプチャ、トラブルシューティングを行うグローバル カウンターとデータ プレーン ・ デバッグを使用できます。 アダプタ上のクライアントでパケット キャプチャ GlobalProtect を行うと、クライアントから送信されるパケットと、 で受信されたパケットとを比較 firewall できます。

4) IP GlobalProtect 応答トラフィックのためにネットワーク上で使用されるプールに適切なルートがあるかどうかを確認します。 動的ルーティングを使用する場合は、ルーティング プロトコルにパロ ・ アルトのネットワークからこれらのルートを再配布する必要があります。 パロアルトネットワーク上の firewall 暗号化されていないトラフィックのキャプチャは、 firewall パケットがリソースに送信されているか、また何らかの応答を得ているかどうかを調べるのに役立ちます。

5) クライアント Firewall から IP-ユーザー マッピング を取得しているかどうかを確認 GlobalProtect します。 ユーザー > ip-user-mapping ip <ip></ip> を表示して、 firewall ユーザーが属するグループを見つけることができることを確認します。 グループ マッピングが正しく設定されていない場合は、User-問題のトラブルシューティングを行 ID います。

トラブルシューティングユーザー-ID:グループとユーザー間マッピング IP

ユーザー-ID リソースリスト

6) firewall クライアントからHIPデータを取得しているかどうか GlobalProtect 、および HIP オブジェクトが適切に設定され、セキュリティ規則で許可されているかどうかを確認します。 データのトラブルシューティング方法 HIP


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkBCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language