トラブルシューティング GlobalProtect
1602550
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM
Symptom
に関連する問題 GlobalProtect は、次のカテゴリに大きく分類できます。
GlobalProtect – ポータルまたはゲートウェイに接続できない
– GlobalProtect エージェントは接続されているがリソースにアクセスできません
– その他
の記事では、トラブルシューティングに関する一般的な問題と方法をいくつか紹介 GlobalProtect しています。 この記事では、ユーザーがの基本とその構成について理解していることを前提としています GlobalProtect 。 GlobalProtectリソース ガイド
を参照してください。クライアント コンピュータでのトラブルシューティング
に使用するツールおよびユーティリティのトラブルシューティングに使用する
ツール
Ping/traceroute | ポータル/ゲートウェイへの到達可能性を確認するには |
Nslookup | ポータル/ゲートウェイの Fqdn を解決を取得するかどうかを確認するには |
Ipconfig/Ifconfig/Netstat nr/ルート印刷 | GlobalProtectクライアントによってインストールされたアダプタの設定とルートを確認 GlobalProtect するには |
MMC (ウィンドウズ)/キーチェーンアクセス ( OSX ) | インストール済みのクライアント/ルート証明書をインストール CA して確認するには |
Wireshark | GlobalProtectクライアントとポータル/ゲートウェイ間のトランザクションをキャプチャするには |
ウェブブラウザ | クライアントをダウンロード GlobalProtect し、 SSL クライアントとポータル/ゲートウェイ間の接続が正常に確立されたことを確認するには |
GlobalProtect [クライアント ステータス/詳細] タブ | 接続の状態を確認するには |
GlobalProtect クライアントログ | クライアントから詳細なデバッグ ログを確認するには GlobalProtect |
Environment
- Pan-OS
- Globalprotect
Resolution
3) クライアントで nslookup を使用して、クライアントがポータル/ゲートウェイの FQDN を解決できることを確認します。
4) Webブラウザを開き、 URL : https:// / <Portal- IP FQDN >および/https:// / <Gateway- IP FQDN >を入力します。 これにより、 SSL クライアントとポータル/ゲートウェイ間の通信が正常に動作します。 簡単に、web ブラウザーは、ポータル/ゲートウェイから証明書を確認私たちに役立ちます。 証明書に問題がある場合、ブラウザー エラーが原因で、証明書を特定できます。 以下に例を示します。
– 署名機関が信頼されていません
– 証明書の共通名が SNI クライアントから要求された名前と異な SAN っているか、または適切な名前が含まれていません DNS
– 証明書の有効期限が切れた
証明書チェーンの問題点
5) 上記のブラウザページが正しく読み込まれていない場合は、Wireshark に確認して TCP ハンドシェイクが完了したかどうかを確認します。 必要に応じて、フィルタip.addr== <Portal IP>または ip.addr== を <gatewayIP></gatewayIP> 使用します。
6) SYN パケットが出て、no ACK が受信された場合は、 に移動 firewall してセッションが形成されるかどうか、およびパケットがドロップされているかどうかを確認します。 データ プレーン ・ デバッグまたはグローバル カウンターと組み合わせてのキャプチャを使用して、同じをチェックします。 セキュリティ ポリシー NAT などをチェックして、トラフィックがドロップされないようにします。
7) 上記の場合、データプレーンリソースが正常かどうかを確認することも役立ちます。 リソースの過使用率を確認するには、次のコマンドを確認してください:
>リソース モニタの実行中
>デバッグ データプレーン プール統計
8) パケットがデータプレーンで廃棄されていない場合は 、appweb3-sslvpn.log を確認してください。
9) ブラウザーから、ログイン GlobalProtect ページが正しく読み込み中であれば、クライアント証明書ベースの認証がポータルで有効になっている場合、クライアント証明書を要求する場合があります。
10) 適切なクライアント証明書がマシンの証明書ストアとブラウザの証明書ストアにロードされているかどうかを確認します。
11) エラーが表示される場合は、"有効なクライアント証明書が必要です"、クライアント証明書をブラウザーとクライアント コンピューターにインポートします。Firefox Internet Explorer ブラウザ エラー
のポータル アドレスにアクセスするエラー'有効なクライアント証明書が必要です"
"有効なクライアント証明書が必要です"
12) ポータル Web ページにログインしてみてください GlobalProtect 。 これにより、認証が正常に機能していることを確認できます。
13) ログインできない場合は、 firewall 認証ログを確認してエラーを確認してください。 認証を使用する場合は、次のドキュメントが役立ちます LDAP : LDAP 認証のトラブルシューティング方法
14) Portal Web ページにログインできる場合は、 GlobalProtect まだインストールされていない場合は、クライアントをダウンロードしてインストールします。
15) クライアントを開 GlobalProtect き、必要な設定(ユーザー名/パスワード/ポータル)を入力して、[適用]をクリックします。
16) [ステータス] タブに表示されるメッセージに注目してください。
17) GlobalProtect 使用ツールのセクションで説明したように、クライアント上のログを収集し、zip形式のフォルダーに PanGPS.log ファイルを開きます。
18) ログを通過し、エラー メッセージに基づいて、是正措置を取るか、トラブルシューティングを行います。
19) 同時に 、mp-log/appweb3-sslvpn.log firewall の詳細を確認する必要があります。
5) 上記のブラウザページが正しく読み込まれていない場合は、Wireshark に確認して TCP ハンドシェイクが完了したかどうかを確認します。 必要に応じて、フィルタip.addr== <Portal IP>または ip.addr== を <gatewayIP></gatewayIP> 使用します。
6) SYN パケットが出て、no ACK が受信された場合は、 に移動 firewall してセッションが形成されるかどうか、およびパケットがドロップされているかどうかを確認します。 データ プレーン ・ デバッグまたはグローバル カウンターと組み合わせてのキャプチャを使用して、同じをチェックします。 セキュリティ ポリシー NAT などをチェックして、トラフィックがドロップされないようにします。
7) 上記の場合、データプレーンリソースが正常かどうかを確認することも役立ちます。 リソースの過使用率を確認するには、次のコマンドを確認してください:
>リソース モニタの実行中
>デバッグ データプレーン プール統計
8) パケットがデータプレーンで廃棄されていない場合は 、appweb3-sslvpn.log を確認してください。
9) ブラウザーから、ログイン GlobalProtect ページが正しく読み込み中であれば、クライアント証明書ベースの認証がポータルで有効になっている場合、クライアント証明書を要求する場合があります。
10) 適切なクライアント証明書がマシンの証明書ストアとブラウザの証明書ストアにロードされているかどうかを確認します。
11) エラーが表示される場合は、"有効なクライアント証明書が必要です"、クライアント証明書をブラウザーとクライアント コンピューターにインポートします。Firefox Internet Explorer ブラウザ エラー
のポータル アドレスにアクセスするエラー'有効なクライアント証明書が必要です"
"有効なクライアント証明書が必要です"
12) ポータル Web ページにログインしてみてください GlobalProtect 。 これにより、認証が正常に機能していることを確認できます。
13) ログインできない場合は、 firewall 認証ログを確認してエラーを確認してください。 認証を使用する場合は、次のドキュメントが役立ちます LDAP : LDAP 認証のトラブルシューティング方法
14) Portal Web ページにログインできる場合は、 GlobalProtect まだインストールされていない場合は、クライアントをダウンロードしてインストールします。
15) クライアントを開 GlobalProtect き、必要な設定(ユーザー名/パスワード/ポータル)を入力して、[適用]をクリックします。
16) [ステータス] タブに表示されるメッセージに注目してください。
17) GlobalProtect 使用ツールのセクションで説明したように、クライアント上のログを収集し、zip形式のフォルダーに PanGPS.log ファイルを開きます。
18) ログを通過し、エラー メッセージに基づいて、是正措置を取るか、トラブルシューティングを行います。
19) 同時に 、mp-log/appweb3-sslvpn.log firewall の詳細を確認する必要があります。
一般的な問題
GlobalProtectポータルまたはゲートウェイに接続できない
上記のトラブルシューティング方法を実行した後、次のエラーが表示される場合:
1) ポータルに接続できませんでした (または同様の現象)
–クライアントGlobalProtectエラー: ポータル アドレスが見つかりませんでした
–GlobalProtectクライアントが接続されていません
– GlobalProtectクライアントがローカル ネットワーク上にあるときに接続でスタック
–クライアントがローカル ネットワーク上に接続GlobalProtectできない
場合2) 必要なクライアント証明書が見つかりません
GlobalProtect- 接続に失敗しました - 必要なクライアント証明書が見つかりません
。 サーバー証明書のチェック
– GPクライアント エラー: ゲートウェイ プロトコル エラー、 サーバー証明書の確認
- エラー GlobalProtect (3659) 4)
が SetDoc に失敗したため、アクセスできません。 メッセージ: 構成を取得中のエラー GlobalProtect
–GlobalProtect クライアント エラー: "SetDoc に失敗しました。 メッセージ: 構成を取得するエラー GlobalProtect "
5) [ ] OCSP 証明書ステータスクエリの結果が利用できません
– OCSPクライアント証明書が機能していない検証
6) ネットワークの検出
– GlobalProtect "ネットワークの検出中" がスタックする原因となるドライバの問題をトラブルシューティングする方法.
7) Ip リリース アドレスに失敗しました: RPC サーバーが使用できません。
上記のトラブルシューティング方法を実行した後、次のエラーが表示される場合:
1) ポータルに接続できませんでした (または同様の現象)
–クライアントGlobalProtectエラー: ポータル アドレスが見つかりませんでした
–GlobalProtectクライアントが接続されていません
– GlobalProtectクライアントがローカル ネットワーク上にあるときに接続でスタック
–クライアントがローカル ネットワーク上に接続GlobalProtectできない
場合2) 必要なクライアント証明書が見つかりません
GlobalProtect- 接続に失敗しました - 必要なクライアント証明書が見つかりません
。 サーバー証明書のチェック
– GPクライアント エラー: ゲートウェイ プロトコル エラー、 サーバー証明書の確認
- エラー GlobalProtect (3659) 4)
が SetDoc に失敗したため、アクセスできません。 メッセージ: 構成を取得中のエラー GlobalProtect
–GlobalProtect クライアント エラー: "SetDoc に失敗しました。 メッセージ: 構成を取得するエラー GlobalProtect "
5) [ ] OCSP 証明書ステータスクエリの結果が利用できません
– OCSPクライアント証明書が機能していない検証
6) ネットワークの検出
– GlobalProtect "ネットワークの検出中" がスタックする原因となるドライバの問題をトラブルシューティングする方法.
7) Ip リリース アドレスに失敗しました: RPC サーバーが使用できません。
–他の仮想アダプタをアンインストールしてみます。
–GlobalProtectすべてのコンポーネントを削除した後にクライアントを再インストールしてください。
–サービスを停止して開始してみてください RPC 。
– – スタートをクリックして、実行ウィンドウに移動.
– 実行時に「サービス.msc」と入力します。
– –リモート プロシージャコール サービスを見つけます。
– –サービスを右クリックして、リモート プロシージャ コール サービスを開始します。 起動すると、停止し、再び開始。
– を再起動 PC し、問題が解決しないかどうかを確認します。
– – また、 OS マシン上のWindowsを再インストールしようとすることができます.
– 問題が解決しない場合は、テクニカルサポートにお問い合わせください。
8) 要素が見つかりません
– https://social.technet.microsoft.com/Forums/windows/en - US /b7271ae2-1422-4da0-92b1-56c6905d3f6/netsh-動作しない -設定された ip アドレスワイヤレスネットワーク接続?フォーラム=w7itpronetworking
8) 要素が見つかりません
– https://social.technet.microsoft.com/Forums/windows/en - US /b7271ae2-1422-4da0-92b1-56c6905d3f6/netsh-動作しない -設定された ip アドレスワイヤレスネットワーク接続?フォーラム=w7itpronetworking
– クライアント マシン上のマイクロソフトの修正プログラムを更新してみてください。
– 別の GlobalProtect クライアントバージョンをインストールしてみてください。
– 報告された問題についてはパロアルトのリリースノートをチェック.
–問題が解決しない場合は、テクニカル サポートにお問い合わせください。
9) PANGP 仮想アダプタインターフェイスが見つかりませんでした
9) PANGP 仮想アダプタインターフェイスが見つかりませんでした
–サービスを無効に WMI します。 実行 - services.msc WMI - - サービスを停止します。
–GlobalProtect関連ファイルを削除し、アンインストール GlobalProtect 済みで、仮想アダプタが消えてしまったことを確認します。
–マシンを再起動し、再インストールして、状態を確認します。
–クライアントを再インストール OS すると、状況が許せば役立つ場合があります。
–問題が解決しない場合は、テクニカル サポートにお問い合わせください。
10) デフォルトのルートエントリを取得できませんでした
10) デフォルトのルートエントリを取得できませんでした
–アンインストール クライアントの再インストール GlobalProtect
–新しいバージョンの GlobalProtect クライアントが利用可能で、状況が許す場合は、新しいバージョンをインストールしてみてください。
–Windows を再起動してみてください DHCP : 実行 - サービス.msc - DHCP クライアント - サービスを停止し、サービスを開始します。
–マイクロソフトの修正プログラムまたは修正プログラムを更新する : https://support.microsoft.com/en-us/kb/2459530
–問題が解決しない場合は、テクニカル サポートにお問い合わせください。
11) ルート\cimv2 に接続できません
11) ルート\cimv2 に接続できません
–リポジトリを再構築する必要 WMI があります。 その他のサービスは影響されませんを確認してください。
– https://techcommunity.microsoft.com/t5/Ask-The-Performance-Team/ WMI- リビルド- WMI- リポジトリ/ba-p/373846
–問題がある場合は、テクニカルサポートにお問い合わせください。
12) プライベート アドレスの割り当て IP に失敗しました
12) プライベート アドレスの割り当て IP に失敗しました
–IPアドレス プールに十分な IP が含されているかどうかを確認する
–プールが IP クライアント の と重複していないかどうかを確認 IP PC します。
–グローバル Protec > ゲートウェイで使用されているユーザー グループがクライアント設定>クライアント設定>のグループ マッピングに正しく含まれているか確認 firewall し firewall 、サーバからグループを取得できるかどうかを確認 AD します。
–ゲートウェイの下のクライアント構成のネットワーク設定で説明されているように、ユーザーが正しいグループに属しているかどうかを確認してください GP 。
GlobalProtect
GlobalProtect IP DNS GlobalProtectクライアントパネルの詳細タブまたはipconfig/all、ifconfig、nslookup、netstat -nr、ルート印刷などのコマンドラインツールを使用できます。
2) ポート4501が Palo Alto Networks firewall またはクライアント側 firewall (on) PC またはその間のどこかでブロックされていないか確認 GlobalProtect firewall してください。 クライアント物理インターフェイスの Pcaps または pcaps とデバッグは firewall 、パケットがどこにも廃棄されないようにするのに役立ちます。
3) Firewall クライアント仮想アダプターに割り当てられたプールからのトラフィックを許可する適切な セキュリティ ポリシー が設定されているかどうかを確認 IP GlobalProtect します。 policyトンネル インターフェイスのゾーンから保護されたリソースのゾーンに設定する必要があります。 トラフィックのログのようなツール、パケット キャプチャ、トラブルシューティングを行うグローバル カウンターとデータ プレーン ・ デバッグを使用できます。 アダプタ上のクライアントでパケット キャプチャ GlobalProtect を行うと、クライアントから送信されるパケットと、 で受信されたパケットとを比較 firewall できます。
4) IP GlobalProtect 応答トラフィックのためにネットワーク上で使用されるプールに適切なルートがあるかどうかを確認します。 動的ルーティングを使用する場合は、ルーティング プロトコルにパロ ・ アルトのネットワークからこれらのルートを再配布する必要があります。 パロアルトネットワーク上の firewall 暗号化されていないトラフィックのキャプチャは、 firewall パケットがリソースに送信されているか、また何らかの応答を得ているかどうかを調べるのに役立ちます。
5) クライアント Firewall から IP-ユーザー マッピング を取得しているかどうかを確認 GlobalProtect します。 ユーザー > ip-user-mapping ip <ip></ip> を表示して、 firewall ユーザーが属するグループを見つけることができることを確認します。 グループ マッピングが正しく設定されていない場合は、User-問題のトラブルシューティングを行 ID います。
トラブルシューティングユーザー-ID:グループとユーザー間マッピング IP
ユーザー-ID リソースリスト
6) firewall クライアントからHIPデータを取得しているかどうか GlobalProtect 、および HIP オブジェクトが適切に設定され、セキュリティ規則で許可されているかどうかを確認します。 データのトラブルシューティング方法 HIP
GlobalProtect
GlobalProtect IP DNS GlobalProtectクライアントパネルの詳細タブまたはipconfig/all、ifconfig、nslookup、netstat -nr、ルート印刷などのコマンドラインツールを使用できます。
2) ポート4501が Palo Alto Networks firewall またはクライアント側 firewall (on) PC またはその間のどこかでブロックされていないか確認 GlobalProtect firewall してください。 クライアント物理インターフェイスの Pcaps または pcaps とデバッグは firewall 、パケットがどこにも廃棄されないようにするのに役立ちます。
3) Firewall クライアント仮想アダプターに割り当てられたプールからのトラフィックを許可する適切な セキュリティ ポリシー が設定されているかどうかを確認 IP GlobalProtect します。 policyトンネル インターフェイスのゾーンから保護されたリソースのゾーンに設定する必要があります。 トラフィックのログのようなツール、パケット キャプチャ、トラブルシューティングを行うグローバル カウンターとデータ プレーン ・ デバッグを使用できます。 アダプタ上のクライアントでパケット キャプチャ GlobalProtect を行うと、クライアントから送信されるパケットと、 で受信されたパケットとを比較 firewall できます。
4) IP GlobalProtect 応答トラフィックのためにネットワーク上で使用されるプールに適切なルートがあるかどうかを確認します。 動的ルーティングを使用する場合は、ルーティング プロトコルにパロ ・ アルトのネットワークからこれらのルートを再配布する必要があります。 パロアルトネットワーク上の firewall 暗号化されていないトラフィックのキャプチャは、 firewall パケットがリソースに送信されているか、また何らかの応答を得ているかどうかを調べるのに役立ちます。
5) クライアント Firewall から IP-ユーザー マッピング を取得しているかどうかを確認 GlobalProtect します。 ユーザー > ip-user-mapping ip <ip></ip> を表示して、 firewall ユーザーが属するグループを見つけることができることを確認します。 グループ マッピングが正しく設定されていない場合は、User-問題のトラブルシューティングを行 ID います。
トラブルシューティングユーザー-ID:グループとユーザー間マッピング IP
ユーザー-ID リソースリスト
6) firewall クライアントからHIPデータを取得しているかどうか GlobalProtect 、および HIP オブジェクトが適切に設定され、セキュリティ規則で許可されているかどうかを確認します。 データのトラブルシューティング方法 HIP