GlobalProtect unter Windows : Pre-Logon Tunnel kann nicht intermittierend

GlobalProtect unter Windows : Pre-Logon Tunnel kann nicht intermittierend

41992
Created On 03/03/21 18:09 PM - Last Modified 04/19/21 16:45 PM


Symptom


GlobalProtect Der Vormeldetunnel ist, wie der Name schon sagt, ein GlobalProtect Tunnel, der zwischen dem Endpunkt und dem Gateway "vor" erstellt wurde, GlobalProtect um sich am Endpunkt anzumelden. In diesem Artikel wird ein Problem beschrieben, das beim Bereitstellen der Voranmeldungskonfiguration auf Windows-PCs auftreten kann. Der Workflow für die Einrichtung von Voranmeldungstunneln in Windows ist wie folgt:
  • Sobald Windows den Start vorgangt, GlobalProtect wird Service (PanGPS) gestartet. PanGPS identifiziert, dass die Voranmeldung basierend auf der Registrierungseinstellung aktiviert ist, und startet einen Voranmeldungsthread.
  • Wenn alle Benutzersitzungen beendet werden, z. B. wenn sich der Windows-Benutzer abmeldet, benachrichtigt Windows PanGPS, und dies startet einen Vorablogetonthread.
  • Der gesamte Voranmeldungstunnel wird von PanGPS verwaltet und muss abgeschlossen sein, bevor Windows PanGPS über eine Benutzersitzung benachrichtigt.
  • Sobald PanGPS von einem Benutzeranmeldeereignis erfährt, wird der Pre-Logon-Thread beendet. Natürlich gibt es zwei Ergebnisse:
    • Wenn der Voranmeldungstunnel durch die Meldung von PanGPS über eine Benutzersitzung durch Windows eingerichtet wird, wird der Voranmeldungstunnel beibehalten und der Voranmeldungsthread beendet.
    • Wenn der Voranmeldungstunnel ausgehandelt wird, wenn Windows PanGPS über eine Benutzersitzung benachrichtigt, wird die Voranmeldungstunneleinrichtung entweder abgebrochen oder abrupt getrennt, und der Voranmeldungsthread wird beendet.
  • Sobald das Benutzeranmeldeereignis abgeschlossen ist, wird je nach Connect-Methode und dem Wert "Pre-Logon Tunnel Rename Timeout" entweder der Voranmeldungstunnel beibehalten, während der Benutzertunnel eingerichtet und ordnungsgemäß in den Benutzertunnel umbenannt wird, oder der Voranmeldungstunnel wird beendet und der Benutzertunnel wird eingerichtet.

Wenn die Abfolge der Ereignisse einem normalen Muster folgt und PanGPS genügend Zeit vor dem Benutzer-Anmeldeereignis erhält, das in der Regel weniger als eine Minute beträgt, wird der Voranmeldungstunnel konsistent festgelegt. Wir beobachten jedoch ein Problem, bei dem der Voranmeldungstunnel nicht zeitweise erstellt werden kann, obwohl sich der Benutzer noch nicht am System angemeldet hat.In den folgenden Abschnitten werden wir die verschiedenen Phasen der Operation überprüfen, um das Problem zu identifizieren.

In einem Arbeitsszenario wird die folgende Abfolge von Ereignissen beobachtet [wie in PanGPS.log Datei zu sehen]:
Sobald der PC Bootsupzuptor gestartet wurde:
(P5452-T5876)Info ( 156): 03/03/21 14:03:15:292 ####################### Start PanGPS service (ver: 5.2.5-66) #######################
(P5452-T7296)Info (10158): 03/03/21 14:03:17:173 PrelogonThread starts
(P5452-T7296)Debug(2377): 03/03/21 14:03:17:173 ----portal processing starts----
(P5452-T7296)Debug(6897): 03/03/21 14:03:17:252 ----Portal Pre-login starts----
(P5452-T7296)Debug(8260): 03/03/21 14:03:17:454 portal status is Connected
(P5452-T7324)Debug(5473): 03/03/21 14:03:17:600 ----Network Discover starts----
(P5452-T7324)Info (1385): 03/03/21 14:03:26:844 CPanGatewayList::PickGatewayBaseOnWeight, PAN_NEW_GATEWAY_SELECTOR, chose prefered gateway index =7, gateway is Amsterdam
(P5452-T7324)Debug(3502): 03/03/21 14:03:26:848 ----Gateway Pre-login starts----
(P5452-T7324)Debug(3909): 03/03/21 14:03:27:123 ----Gateway Login starts----
(P5452-T7324)Debug(2645): 03/03/21 14:03:27:500 ----Tunnel creation starts----
(P5452-T7324)Debug(6849): 03/03/21 14:03:31:384 --Set state to Connected

Sobald sich der Benutzer anmeldet:

(P5452-T5456)Debug(1534): 03/03/21 14:25:41:344 Session 1, username roadrunner.
(P5452-T5456)Debug(1543): 03/03/21 14:25:41:344 Session 1, domain name ACME.
(P5452-T5456)Info (1578): 03/03/21 14:25:42:017 User acme\roadrunner logs in on session 1
(P5452-T7160)Info (10231): 03/03/21 14:26:13:294 PrelogonThread exits
(P5452-T7284)Debug(2444): 03/03/21 14:26:13:294 User just logs in
(P5452-T7284)Debug(2377): 03/03/21 14:26:13:851 ----portal processing starts----
... 
and so on


Im nicht funktionierenden Szenario kann die folgende Sequenz beobachtet werden [wie in PanGPS.log Datei]
Hier, sobald der Start nach dem PC PanGPS-Prozess start-up folgt, benachrichtigt Windows, dass die Benutzersitzung erstellt wurde und die Sitzung gesperrt wurde. Damit kann die Einrichtung des Voranmeldungstunnels nicht erfolgen, da PanGPS mehr über eine aktive Benutzersitzung erfährt. Was wir jedoch wissen, ist, dass der Benutzer nicht offiziell eingeloggt ist, d.h. der Benutzer hat noch keinen Versuch unternommen, sich anzumelden, indem er die Anmeldeinformationen eingibt:

(T4456)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) #######################
(T5192)Info (9835): 02/24/21 18:27:38:537 PrelogonThread starts

(T3244)Debug(1416): 02/24/21 18:27:47:287 First logon user.
(T3244)Debug(1467): 02/24/21 18:27:47:303 Session 1, username roadrunner.
(T3244)Debug(1476): 02/24/21 18:27:47:303 Session 1, domain name ACME.
(T3244)Debug( 302): 02/24/21 18:27:55:678 Received session change, event type 7, session 1
(T3244)Info (1556): 02/24/21 18:27:55:678 lock off session 1

(T5192)Debug(4492): 02/24/21 18:28:05:459 Prelogon flag is 1
(T5192)Debug(4470): 02/24/21 18:28:05:459 Start ProcessServerPortal tiggered by prelogon flag
(T5192)Info (4107): 02/24/21 18:28:05:459 UpdatePrelogonStateForSSO() - Pre-logon tunnel state = Connecting
(T5192)Debug(2233): 02/24/21 18:28:05:740 ----portal processing starts----
(T5192)Debug(6682): 02/24/21 18:28:07:006 ----Portal Pre-login starts----
(T5192)Debug(1244): 02/24/21 18:28:10:240 set certname to none-selected
(T5192)Debug(6827): 02/24/21 18:28:10:240 prelogin to portal result is 
(null)
(T5192)Debug(7123): 02/24/21 18:28:10:240 Failed to pre-login to the portal globalprotect.acme.corp with return value 12044(A certificate is required to complete client authentication).

In diesem Szenario ist die Einrichtung des Voranmeldetunnels fehlgeschlagen, da PanGPS nicht versucht hat, den Computerzertifikatspeicher abzufragen, was zu einem Fehler beim Portal vor der Anmeldung führte. Der Auslöser ist jedoch, dass Windows PanGPS über eine Benutzersitzung benachrichtigt, bevor die Aushandlung des Voranmeldungstunnels beendet ist.
Windows kann PanGPS in verschiedenen Phasen der Tunnelaushandlung vor der Anmeldung über die Benutzersitzung benachrichtigen, sodass die Fehlermeldungen in den Protokollen variieren können. Das Wichtigste hier ist, dass Windows PanGPS über eine Benutzersitzung benachrichtigt, bevor die Voranmeldungstunneleinrichtung vorbei ist und viel bevor der Benutzer tatsächlich die Anmeldeinformationen eingegeben hat, um sich bei der PC anzumelden.

Environment


Windows 10-Endpunkte mit Clients mit Verbindungsmethode auf GlobalProtect Voranmeldung festgelegt.

Cause


Dieses Problem wird durch eine Funktion in Windows verursacht, die entweder als "Automatische Anmeldung" oder "Schnelle Anmeldung" bezeichnet werden kann. Um den Anmeldevorgang zu beschleunigen und die Anwendungen erneut zu öffnen, die vor einem Neustart geöffnet waren, kann Windows so konfiguriert werden, dass die vorherigen Anmeldeinformationen verwendet werden, um die Einrichtung der Benutzersitzung direkt nach Abschluss des Neustartvorgangs abzuschließen. Dies ist standardmäßig aktiviert und kann mit der Option deaktiviert werden, die sich unter:
Windows-Einstellungen > Konten > Anmeldeoptionen
"Verwenden Sie meine Anmeldeinformationen, um die Einrichtung meines Geräts nach einem Update oder Neustart automatisch abzuschließen"

Windows-Einstellungen > Konten > Anmeldeoptionen

Wenn Windows Automatic Sign-In die Benutzersitzung vor dem Starten von PanGPS erstellt, wird der folgende Eintrag in der Datei PanGPS.log angezeigt:
(T2564)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### 
(T2564)Info (1517): 02/24/21 18:27:37:334 Enumerate session: user acme\roadrunner logs in on session 1

In letzter Zeit haben wir jedoch Szenarien beobachtet, in denen die automatische Anmeldung von Windows eine Benutzersitzung erstellt, nachdem PanGPS gestartet wurde, was zu einem unregelmäßigen Verhalten im Voranmeldungstunnel führt. Wie oben hervorgehoben, Wenn die automatische Anmeldung von Windows geschieht, macht PanGPS.log es , das Fehlerprotokoll für evident den Voranmeldungstunnel ist jedoch nicht so evident oder konsistent. Mit anderen Worten,:
  • Wenn die automatische Anmeldung von Windows PanGPS über die Benutzersitzung benachrichtigt, bevor die Aushandlung des Voranmeldetunnels abgeschlossen ist, schlägt der Voranmeldungstunnel entweder fehl oder wird abrupt getrennt.
  • Wenn die automatische Anmeldung von Windows PanGPS über die Benutzersitzung benachrichtigt, nachdem die Voranmeldungstunnelaushandlung abgeschlossen ist, bleibt der Voranmeldungstunnel natürlich verbunden.
.... daher das intermittierende Verhalten.

Resolution


Die automatische Anmeldung oder Fast-Anmeldung von Windows sollte deaktiviert werden, damit die GlobalProtect Pre-Logon-Funktionalität effektiv und konsistent ist.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UgXCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language