GlobalProtect クライアントのアップグレードが完了しなかった。

GlobalProtect クライアントのアップグレードが完了しなかった。

55378
Created On 03/08/19 08:16 AM - Last Modified 03/26/21 18:21 PM


Symptom


GlobalProtect クライアントのアップグレードを透過的または手動で許可するように、ポータル上で構成します。 アップグレードが手動または透過的に開始されると、プロセスは開始されますが、完了しません。

Environment


GlobalProtect クライアントのアップグレードはポータル構成で許可されます (透過的または手動)。

Cause


この問題は、 IP GlobalProtect 特に、クライアントがトンネルを介してポータルから更新をダウンロードしようとするので、ポータルとゲートウェイが異なるアドレスでホストされている場合に発生します GlobalProtect 。

以下のエラーは、アップグレードが開始されたが、ファイルのダウンロードが失敗したことを示しています。
 
(T14088) 03/08/19 17:31:50:199 Error( 291): CPanHTTPSession::SendRequest: WinHttpSendRequest failed with error 12002.
(T14088) 03/08/19 17:31:50:199 Error( 148): DownloadURLToFile: download failed
(T14088) 03/08/19 17:31:50:199 Error( 361): CPanHTTPSession::DownloadData: WinHttpQueryHeaders failed with error 12019.
(T14088) 03/08/19 17:31:50:199 Error( 167): DownloadURLToFile: cancel download
(T14088) 03/08/19 17:31:50:199 Info (2375): DownloadProc: download file failed.



確認する事項は次のとおりです。
  • クライアントがゲートウェイに接続されている場合、ポータルのホスト名を解決できるはずです。DNSゲートウェイに接続したときにサーバーが変更され、何らかの理由でポータルのホスト名を解決できない場合、ファイルのダウンロードは失敗します。
  • 名前解決が正常に動作する場合は、 policy ゲートウェイのトンネルを通じてポータルへのアクセスを許可する が必要です。下のログに示すように、 GlobalProtect クライアントが接続される前に、ポータル(192.168.0.1)は直接アクセスされますが、クライアントが接続されるとトラフィック GlobalProtect はトンネルを通過し、セキュリティが存在しないため policy トラフィックは拒否されます。

トラフィック ログ:
GlobalProtect ログ
  1. ブラウザ経由でポータルにアクセスすると、L3-Trust から L3-Trust に直接接続される場合、この場合接続が許可されます。
  2. GlobalProtectクライアントが接続されると、トラフィックがトンネル用の L3- ゾーンからのトラフィックであり GP GlobalProtect 、トラフィックを許可するルールがないため、ブラウザ経由でポータルへのアクセスがブロックされます。

テスト トポロジ:
これは firewall 、L3-Trust インターフェイスで設定されたゲートウェイと、L3-Trust 上のループバック インターフェイス上に設定されたポータルを使用して単一を使用してテスト IP されましたが、ゲートウェイとは異なるアドレスです。
キー ポイントはゲートウェイであり、ポータルは異なる IP アドレスであり、クライアントに提供されるアクセス ルート GlobalProtect は、接続時にポータルへのトラフィックがトンネルを通ってルーティングされるという意味 GlobalProtect です。

セキュリティのテスト policy :
GlobalProtect セキュリティ policy
両方とも L3-Trust ゾーンにあるため、クライアントのポータルとゲートウェイの接続が許可されます。
クライアントが接続すると、L3- GP ゾーンになります。 policyは GP 、L3-ゾーンを L3-Untrust に許可しますが、ポータル ループバック アドレスが設定されているゾーンである L3-Trust は許可しません。
 

Resolution


  1. ゲートウェイに接続している場合、クライアントが引き続きポータルホスト名を解決できることを確認します。
  2. policyゲートウェイのセキュリティが GlobalProtect 、クライアント /Zone からポータルへの接続を許可していることを確認 IP します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boIFCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language