故障 排除 GlobalProtect
1372989
Created On 09/25/18 20:40 PM - Last Modified 03/15/24 20:37 PM
Symptom
与之相关的问题 GlobalProtect 大致可分为以下几类:
- GlobalProtect 无法连接到门户或网关
- GlobalProtect 代理连接,但无法访问资源
-杂
这篇文章列出了一些常见的问题和故障排除方法 GlobalProtect 。 本文假定您了解其配置的基本知识 GlobalProtect 及其配置。 请参阅 GlobalProtect 资源指南。
用于故障排除
工具和实用程序的工具用于客户端机上的故障排除
坪/Traceroute | 要验证到门户/网关的可访问性 |
Nslookup | 以确保门户/网关 Fqdn 得到解决 |
Ipconfig / Ifconfig / Netstat nr / 路由打印 | 验证 GlobalProtect 客户端安装的适配器设置和路线 GlobalProtect |
MMC (窗口)/钥匙串访问 ( OSX ) | 安装和验证已安装的客户端/根 CA 证书 |
Wireshark | 捕获 GlobalProtect 客户端和门户/网关之间的事务 |
网络浏览器 | 下载 GlobalProtect 客户端并确认 SSL 客户端与门户/网关之间的成功连接 |
GlobalProtect 客户端状态/详细信息选项卡 | 检查连接的状态 |
| GlobalProtect 客户端日志 | 检查客户端的详细诊断日志 GlobalProtect |
Environment
- Pan-OS
- Globalprotect
Resolution
3) 使用客户端的 nsookup 来确保客户端可以解决门户/网关的 FQDN 问题。
4)打开网络浏览器,输入 URL <Portal- IP FQDN :https:///>和/或 <Gateway- IP https:///>。 FQDN 这将确保 SSL 客户端和门户/网关之间的通信正常工作。 Web 浏览器轻松地帮助我们检查来自门户/网关的证书。 如果存在证书问题,浏览器错误可以帮助隔离这些问题。 下面是一些示例:
• 签名授权不可信
–证书中的通用名称与 SNI 客户的要求不同,或 SAN 不包含正确 DNS 名称
• 证书有效期已过期
–证书链中的任何问题
5) 如果上面的浏览器页面加载不当,请使用 Wireshark 查看 TCP 握手是否完整。 酌情使用过滤器 <Portal ip.addr] IP>或 ip. addr] <gatewayIP></gatewayIP> 。
6) 如果 SYN 数据包要出,没有 ACK 收到,请移动到 firewall 会话是否正在形成,以及数据包是否正在被丢弃。 使用 dataplane 调试或捕获结合全局计数器检查相同。 检查安全策略 NAT 等,以确保流量不会下降。
7) 在上述情况下,有时检查数据飞机资源是否健康也很有帮助。 检查以下命令以查找任何资源过度利用
:>显示运行中的资源监视器
>诊断数据平面池统计
8) 如果数据包未在数据平面上掉落,请查看 appb3-sslvpn .log 了解更多信息。
9) 从浏览器中,如果 GlobalProtect 登录页面加载正常,则如果门户上启用基于客户端证书的身份验证,它可能会要求客户端证书。
10) 检查适当的客户端证书是否加载到机器的证书商店和浏览器的证书商店。
11) 如果您收到错误"需要有效的客户证书",则将客户端证书导入浏览器和客户端机器。
"需要有效的客户端证书"错误访问火狐
互联网浏览器浏览器上的门户地址错误:"需要有效的客户端证书"
12) 尝试登录 GlobalProtect 门户网页。 这将确认身份验证工作正常。
13) 如果无法登录,请检查 firewall 身份验证日志以查看错误是什么。 如果使用身份验证,以下文档可能会有所帮助 LDAP : 如何排除 LDAP 身份验证
14) 如果您能够登录门户网页,下载并安装 GlobalProtect 客户端(如果尚未安装)。
15) 打开 GlobalProtect 客户端,输入所需的设置(用户名/密码/门户),然后单击"应用"。
16) 注意状态选项卡上显示的消息。
17) 收集客户端上的日志 GlobalProtect ,如所用工具部分所述,并在拉链文件夹中打开 PanGPS .log文件。
18) 翻阅日志,根据错误消息,采取纠正措施或排除故障。
19) 同时,您可能需要检查 mp-log/应用程序3-slvpn.log firewall 以获取更多信息。
5) 如果上面的浏览器页面加载不当,请使用 Wireshark 查看 TCP 握手是否完整。 酌情使用过滤器 <Portal ip.addr] IP>或 ip. addr] <gatewayIP></gatewayIP> 。
6) 如果 SYN 数据包要出,没有 ACK 收到,请移动到 firewall 会话是否正在形成,以及数据包是否正在被丢弃。 使用 dataplane 调试或捕获结合全局计数器检查相同。 检查安全策略 NAT 等,以确保流量不会下降。
7) 在上述情况下,有时检查数据飞机资源是否健康也很有帮助。 检查以下命令以查找任何资源过度利用
:>显示运行中的资源监视器
>诊断数据平面池统计
8) 如果数据包未在数据平面上掉落,请查看 appb3-sslvpn .log 了解更多信息。
9) 从浏览器中,如果 GlobalProtect 登录页面加载正常,则如果门户上启用基于客户端证书的身份验证,它可能会要求客户端证书。
10) 检查适当的客户端证书是否加载到机器的证书商店和浏览器的证书商店。
11) 如果您收到错误"需要有效的客户证书",则将客户端证书导入浏览器和客户端机器。
"需要有效的客户端证书"错误访问火狐
互联网浏览器浏览器上的门户地址错误:"需要有效的客户端证书"
12) 尝试登录 GlobalProtect 门户网页。 这将确认身份验证工作正常。
13) 如果无法登录,请检查 firewall 身份验证日志以查看错误是什么。 如果使用身份验证,以下文档可能会有所帮助 LDAP : 如何排除 LDAP 身份验证
14) 如果您能够登录门户网页,下载并安装 GlobalProtect 客户端(如果尚未安装)。
15) 打开 GlobalProtect 客户端,输入所需的设置(用户名/密码/门户),然后单击"应用"。
16) 注意状态选项卡上显示的消息。
17) 收集客户端上的日志 GlobalProtect ,如所用工具部分所述,并在拉链文件夹中打开 PanGPS .log文件。
18) 翻阅日志,根据错误消息,采取纠正措施或排除故障。
19) 同时,您可能需要检查 mp-log/应用程序3-slvpn.log firewall 以获取更多信息。
常见问题
GlobalProtect无法连接到门户或网关
后,如果遵循上述故障排除方法,如果您收到以下错误
:1) 无法连接到门户(或类似症状)
- GlobalProtect客户端错误:未找到门户地址
- GlobalProtect客户端未连接
- GlobalProtect当工作站位于本地网络时卡在连接
处 -客户GlobalProtect端无法在新安装的机器上连接
2) 未找到所需的客户端证书
- 无法连接-未GlobalProtect找到所需的客户端证书
3) "服务器证书验证失败"或"协议错误"。 检查服务器证书
-GP 客户端错误:网关协议错误,检查服务器证书
- GlobalProtect 因错误而无法访问(3659)4)
未能设置Doc。 消息:错误获取 GlobalProtect 配置
-GlobalProtect 客户端错误:"无法设置Doc。 消息:错误获取 GlobalProtect 配置
"5) OCSP [ 证书状态查询的结果不可用
- OCSP验证客户端证书不起作用
6) 发现网络
- 如何故障排除驱动程序问题 GlobalProtect ,导致"发现网络"卡住。
7) Ip 释放地址失败: RPC 服务器不可用
后,如果遵循上述故障排除方法,如果您收到以下错误
:1) 无法连接到门户(或类似症状)
- GlobalProtect客户端错误:未找到门户地址
- GlobalProtect客户端未连接
- GlobalProtect当工作站位于本地网络时卡在连接
处 -客户GlobalProtect端无法在新安装的机器上连接
2) 未找到所需的客户端证书
- 无法连接-未GlobalProtect找到所需的客户端证书
3) "服务器证书验证失败"或"协议错误"。 检查服务器证书
-GP 客户端错误:网关协议错误,检查服务器证书
- GlobalProtect 因错误而无法访问(3659)4)
未能设置Doc。 消息:错误获取 GlobalProtect 配置
-GlobalProtect 客户端错误:"无法设置Doc。 消息:错误获取 GlobalProtect 配置
"5) OCSP [ 证书状态查询的结果不可用
- OCSP验证客户端证书不起作用
6) 发现网络
- 如何故障排除驱动程序问题 GlobalProtect ,导致"发现网络"卡住。
7) Ip 释放地址失败: RPC 服务器不可用
•尝试卸载任何其他虚拟适配器
–GlobalProtect删除所有组件后尝试重新安装客户端
–尝试停止并启动 RPC 服务:
[ ] 单击"开始"并转到"运行"窗口。
[] 运行时,键入服务.msc
[ ] 找到远程过程呼叫服务。
[ ]通过右键单击服务,启动远程过程呼叫服务。 如果启动时,停止并重新启动。
––重新启动 PC ,看看问题是否仍然存在。
––您也可以尝试在 OS 计算机上重新安装窗口。
––如果问题仍然存在,请联系技术支持。
8) 未找到元素
- https://social.technet.microsoft.com/Forums/windows/en - US /b7271ae2 - 1422 - 4da0 - 92b1 - 56c69905d3f6 / 网不工作到设置 ip 地址的无线网络连接?
8) 未找到元素
- https://social.technet.microsoft.com/Forums/windows/en - US /b7271ae2 - 1422 - 4da0 - 92b1 - 56c69905d3f6 / 网不工作到设置 ip 地址的无线网络连接?
• 尝试更新客户端计算机上的 Microsoft 修补程序。
–尝试安装不同的 GlobalProtect 客户端版本。
• 查看帕洛阿尔托发行说明,以查到任何报告的问题。
–如果问题仍然存在,请联系技术支持。
9) 未能找到 PANGP 虚拟适配器界面
9) 未能找到 PANGP 虚拟适配器界面
–禁用 WMI 服务。 运行-服务.msc- WMI 停止服务。
–删除 GlobalProtect 相关文件,卸载 GlobalProtect ,确保虚拟适配器消失。
•重新启动计算机,重新安装并检查状态。
–OS如果情况允许,重新安装客户端可能会有所帮助。
•如果问题仍然存在,请联系技术支持。
10) 无法获取默认路由条目
10) 无法获取默认路由条目
–卸载重新安装 GlobalProtect 客户端
–如果客户端的较新版本 GlobalProtect 可用,如果情况允许,请尝试安装较新的版本。
–尝试重新启动窗口 DHCP :运行-服务。msc- DHCP 客户端-停止服务,开始服务。
•如果问题仍然存在,请联系技术支持。
11) 无法连接到 root\cimv2
11) 无法连接到 root\cimv2
–需要重建 WMI 存储库。 请检查以确保任何其他服务不受影响。
–https://techcommunity.microsoft.com/t5/Ask-The-Performance-Team/ WMI- 重建 WMI- 仓库/ba-p/373846
–如有任何问题,请联系技术支持部门。
12) 分配的私人 IP 地址失败
12) 分配的私人 IP 地址失败
–检查 IP 地址池是否有足够的IP
–检查池是否 IP 与客户端重叠 IP PC 。
–检查"全球 Protec"中使用的用户组>网关>客户端配置>网络设置是否正确地包含在"组映射"中 firewall ,并 firewall 能够从服务器中提取组 AD 。
–检查用户是否属于网关下客户端配置网络设置中提到的正确组 GP 。
GlobalProtect 代理已连接但无法访问资源
1) 检查 GlobalProtect 客户端虚拟适配器是否获得远程资源的 IP 地址、 DNS 后缀 和 访问路由 。 您可以使用 GlobalProtect 客户端面板详细信息选项卡或命令行工具,如 ipconfig/all、如果孔菲格、nslookup、Netstat-nr、路线打印 等。
2) 检查是否端口 4501 在 Palo Alto 网络 firewall 或客户端 ( firewall 打开) PC 或介于两者之间的某处未受阻,因为 IPsec 用于 GlobalProtect 客户端和客户端之间的数据通信 firewall 。 客户端物理界面上的 Pcaps 或 pcap 和试用 firewall 可以帮助确保数据包不会在任何地方掉落。
3) 检查是否 Firewall 配置了适当的 安全策略 ,以允许从 IP 分配给 GlobalProtect 客户端虚拟适配器的池中的流量。 policy应从隧道接口区域配置到受保护资源区域。 像交通日志的工具,数据包捕获、 dataplane 调试与全局计数器可用于排除此故障。 适配器上客户端的分 GlobalProtect 组捕获可以帮助将客户发送的包与接收的数据进行比较 firewall ,反之亦然。
4) 检查 IP 网络上使用的池是否有适当的 GlobalProtect 回音流量路线。 如果您使用动态路由,然后你就需要重新分配这些路由到路由协议从帕洛阿尔托网络。 在 Palo Alto 网络上 firewall 捕获未加密的流量可以帮助确定是否 firewall 将数据包发送到资源中,以及它是否得到了任何响应。
5) 检查 Firewall 是否从客户端获取 IP-用户映射 GlobalProtect 。 使用>显示用户 <ip></ip> ip-用户映射 ip进行验证,以确保 firewall 能够找到用户所参与的组。 如果组映射未正确填充,则会对用户问题进行故障排除 ID 。
故障排除用户-:ID组和用户对 IP 映射
用户-ID 资源列表
6) 检查 firewall 是否从客户端获取HIP数据 GlobalProtect ,以及对象是否 HIP 配置正确并在安全规则中允许。 如何对数据进行故障排除 HIP
GlobalProtect 代理已连接但无法访问资源
1) 检查 GlobalProtect 客户端虚拟适配器是否获得远程资源的 IP 地址、 DNS 后缀 和 访问路由 。 您可以使用 GlobalProtect 客户端面板详细信息选项卡或命令行工具,如 ipconfig/all、如果孔菲格、nslookup、Netstat-nr、路线打印 等。
2) 检查是否端口 4501 在 Palo Alto 网络 firewall 或客户端 ( firewall 打开) PC 或介于两者之间的某处未受阻,因为 IPsec 用于 GlobalProtect 客户端和客户端之间的数据通信 firewall 。 客户端物理界面上的 Pcaps 或 pcap 和试用 firewall 可以帮助确保数据包不会在任何地方掉落。
3) 检查是否 Firewall 配置了适当的 安全策略 ,以允许从 IP 分配给 GlobalProtect 客户端虚拟适配器的池中的流量。 policy应从隧道接口区域配置到受保护资源区域。 像交通日志的工具,数据包捕获、 dataplane 调试与全局计数器可用于排除此故障。 适配器上客户端的分 GlobalProtect 组捕获可以帮助将客户发送的包与接收的数据进行比较 firewall ,反之亦然。
4) 检查 IP 网络上使用的池是否有适当的 GlobalProtect 回音流量路线。 如果您使用动态路由,然后你就需要重新分配这些路由到路由协议从帕洛阿尔托网络。 在 Palo Alto 网络上 firewall 捕获未加密的流量可以帮助确定是否 firewall 将数据包发送到资源中,以及它是否得到了任何响应。
5) 检查 Firewall 是否从客户端获取 IP-用户映射 GlobalProtect 。 使用>显示用户 <ip></ip> ip-用户映射 ip进行验证,以确保 firewall 能够找到用户所参与的组。 如果组映射未正确填充,则会对用户问题进行故障排除 ID 。
故障排除用户-:ID组和用户对 IP 映射
用户-ID 资源列表
6) 检查 firewall 是否从客户端获取HIP数据 GlobalProtect ,以及对象是否 HIP 配置正确并在安全规则中允许。 如何对数据进行故障排除 HIP