GlobalProtect en Windows : Túnel previo al inicio de sesión no se puede establecer intermitentemente
41994
Created On 03/03/21 18:09 PM - Last Modified 04/19/21 16:44 PM
Symptom
GlobalProtect El túnel previo al inicio de sesión, como su nombre indica, es un GlobalProtect túnel creado entre el punto final y la puerta de enlace GlobalProtect "antes" de que el usuario inicie sesión en el punto final. En este artículo se describe un problema que se puede encontrar al implementar la configuración previa al inicio de sesión en equipos Windows. El flujo de trabajo de establecimiento de túnel previo al inicio de sesión en Windows es el siguiente:
- Una vez que Windows termina de arrancar, GlobalProtect se inicia el servicio (PanGPS). PanGPS identifica que el inicio de sesión previo está habilitado en función de la configuración del Registro e inicia un subproceso de inicio de sesión previo.
- Del mismo modo, cuando todas las sesiones de usuario se terminan, es decir, cuando el usuario de Windows cierra sesión, Windows notifica a PanGPS y esto inicia un subproceso de inicio de sesión previo.
- PanGPS controla todo el establecimiento del túnel previo al inicio de sesión y debe terminarse antes de que Windows notifique a PanGPS sobre una sesión de usuario.
- Tan pronto como PanGPS se entera de un evento de inicio de sesión de usuario, procede a terminar el subproceso previo al inicio de sesión. Naturalmente, hay dos resultados:
- Si el túnel de inicio de sesión previo se establece para cuando Windows notifica a PanGPS sobre una sesión de usuario, se retiene el túnel previo al inicio de sesión y se termina el subproceso de inicio de sesión previo.
- Si el túnel de inicio de sesión previo se está negociando cuando Windows notifica a PanGPS sobre una sesión de usuario, el establecimiento del túnel previo al inicio de sesión se anula o se desconecta abruptamente y se termina el subproceso de inicio de sesión previo.
- Una vez completado el evento de inicio de sesión del usuario, dependiendo del método connect y del valor "Pre-Logon Tunnel Rename Timeout", se retiene el túnel de inicio de sesión previo mientras se establece el túnel de usuario y se cambia el nombre elegante al túnel del usuario o se termina el túnel de inicio de sesión previo y se establece el túnel del usuario.
Cuando la secuencia de eventos sigue un patrón normal y PanGPS recibe suficiente tiempo antes del evento de inicio de sesión del usuario, que suele ser menos de un minuto, después el túnel de inicio de sesión previo establecerá consistentemente. Sin embargo, estamos observando un problema donde el túnel de inicio de sesión previo no puede establecer intermitentemente aunque el usuario aún no haya iniciado sesión en el sistema.En las siguientes secciones, revisaremos las diferentes etapas de operación para ayudarnos a identificar el problema.
En un escenario de trabajo, se observa la siguiente secuencia de eventos [como se ve en PanGPS.log archivo]:
Una vez PC arrancado:
(P5452-T5876)Info ( 156): 03/03/21 14:03:15:292 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (P5452-T7296)Info (10158): 03/03/21 14:03:17:173 PrelogonThread starts (P5452-T7296)Debug(2377): 03/03/21 14:03:17:173 ----portal processing starts---- (P5452-T7296)Debug(6897): 03/03/21 14:03:17:252 ----Portal Pre-login starts---- (P5452-T7296)Debug(8260): 03/03/21 14:03:17:454 portal status is Connected (P5452-T7324)Debug(5473): 03/03/21 14:03:17:600 ----Network Discover starts---- (P5452-T7324)Info (1385): 03/03/21 14:03:26:844 CPanGatewayList::PickGatewayBaseOnWeight, PAN_NEW_GATEWAY_SELECTOR, chose prefered gateway index =7, gateway is Amsterdam (P5452-T7324)Debug(3502): 03/03/21 14:03:26:848 ----Gateway Pre-login starts---- (P5452-T7324)Debug(3909): 03/03/21 14:03:27:123 ----Gateway Login starts---- (P5452-T7324)Debug(2645): 03/03/21 14:03:27:500 ----Tunnel creation starts---- (P5452-T7324)Debug(6849): 03/03/21 14:03:31:384 --Set state to Connected
Una vez que el usuario inicia sesión:
(P5452-T5456)Debug(1534): 03/03/21 14:25:41:344 Session 1, username roadrunner. (P5452-T5456)Debug(1543): 03/03/21 14:25:41:344 Session 1, domain name ACME. (P5452-T5456)Info (1578): 03/03/21 14:25:42:017 User acme\roadrunner logs in on session 1 (P5452-T7160)Info (10231): 03/03/21 14:26:13:294 PrelogonThread exits (P5452-T7284)Debug(2444): 03/03/21 14:26:13:294 User just logs in (P5452-T7284)Debug(2377): 03/03/21 14:26:13:851 ----portal processing starts---- ... and so on
En el escenario que no funciona, se puede observar la siguiente secuencia [como se ve en PanGPS.log archivo]
Aquí, tan pronto como se inicia seguido de la puesta en marcha del PC proceso PanGPS, Windows notifica que se ha creado la sesión de usuario y la sesión se ha bloqueado. Con esto, el establecimiento del túnel antes del inicio de sesión no puede suceder porque PanGPS aprende acerca de una sesión de usuario activa. Sin embargo, lo que sí sabemos es que el usuario no ha iniciado sesión oficialmente, es decir, el usuario aún no ha intentado iniciar sesión escribiendo las credenciales:
(T4456)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (T5192)Info (9835): 02/24/21 18:27:38:537 PrelogonThread starts (T3244)Debug(1416): 02/24/21 18:27:47:287 First logon user. (T3244)Debug(1467): 02/24/21 18:27:47:303 Session 1, username roadrunner. (T3244)Debug(1476): 02/24/21 18:27:47:303 Session 1, domain name ACME. (T3244)Debug( 302): 02/24/21 18:27:55:678 Received session change, event type 7, session 1 (T3244)Info (1556): 02/24/21 18:27:55:678 lock off session 1 (T5192)Debug(4492): 02/24/21 18:28:05:459 Prelogon flag is 1 (T5192)Debug(4470): 02/24/21 18:28:05:459 Start ProcessServerPortal tiggered by prelogon flag (T5192)Info (4107): 02/24/21 18:28:05:459 UpdatePrelogonStateForSSO() - Pre-logon tunnel state = Connecting (T5192)Debug(2233): 02/24/21 18:28:05:740 ----portal processing starts---- (T5192)Debug(6682): 02/24/21 18:28:07:006 ----Portal Pre-login starts---- (T5192)Debug(1244): 02/24/21 18:28:10:240 set certname to none-selected (T5192)Debug(6827): 02/24/21 18:28:10:240 prelogin to portal result is (null) (T5192)Debug(7123): 02/24/21 18:28:10:240 Failed to pre-login to the portal globalprotect.acme.corp with return value 12044(A certificate is required to complete client authentication).
En este escenario, el establecimiento del túnel previo al inicio de sesión falló porque PanGPS no hizo un intento de consultar el almacén de certificados de la máquina causando el error previo al inicio de sesión del portal. Sin embargo, el desencadenador es Windows notificando a PanGPS sobre una sesión de usuario antes de que termine la negociación del túnel previo al inicio de sesión.
Windows puede notificar a PanGPS sobre la sesión de usuario en diferentes etapas de la negociación del túnel antes del inicio de sesión, por lo que los mensajes de error en los registros pueden variar. Lo más importante aquí es que Windows notifique a PanGPS sobre una sesión de usuario antes de que el establecimiento del túnel de inicio de sesión previo haya terminado y mucho antes de que el usuario haya ingresado realmente las credenciales para iniciar sesión en el PC archivo .
Environment
Puntos de conexión de Windows 10 mediante GlobalProtect clientes con método de conexión establecido en Inicio de sesión previo.
Cause
Este problema se debe a una característica en Windows, que se puede llamar "Inicio de sesión automático" o "Inicio de sesión rápido". Para acelerar el proceso de inicio de sesión y volver a abrir las aplicaciones que estaban abiertas antes de un reinicio, Windows se puede configurar para utilizar la información de inicio de sesión anterior para terminar de configurar la sesión de usuario justo después de que el proceso de reinicio haya terminado. Esto está habilitado de forma predeterminada y se puede deshabilitar mediante la opción ubicada en:
Configuración de Windows > Cuentas > Opciones de inicio de sesión
"Use mi información de inicio de sesión para terminar automáticamente de configurar mi dispositivo después de una actualización o reinicio"
Si inicio de sesión automático de Windows crea la sesión de usuario antes de la puesta en marcha de PanGPS, veremos la siguiente entrada en el archivo PanGPS.log:
(T2564)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (T2564)Info (1517): 02/24/21 18:27:37:334 Enumerate session: user acme\roadrunner logs in on session 1
Sin embargo, recientemente hemos observado escenarios donde el inicio de sesión automático de Windows crea una sesión de usuario después de que se inicie PanGPS, lo que conduce a un comportamiento errático del túnel previo al inicio de sesión. Como se resaltó anteriormente, cuando se produce el inicio de sesión automático de Windows, PanGPS.log lo hace evident , sin embargo, el registro de errores del túnel previo al inicio de sesión no es tal evident o coherente. En otras palabras:
- Si el inicio de sesión automático de Windows notifica a PanGPS acerca de la sesión de usuario antes de que termine la negociación del túnel previo al inicio de sesión, el túnel de inicio de sesión previo fallará o se desconectará abruptamente.
- Si el inicio de sesión automático de Windows notifica a PanGPS sobre la sesión de usuario después de que la negociación del túnel previo al inicio de sesión haya terminado, el túnel de inicio de sesión previo permanecerá conectado naturalmente.
Resolution
El inicio de sesión automático de Windows o el inicio de sesión rápido deben deshabilitarse para GlobalProtect que la funcionalidad de inicio de sesión previo sea eficaz y coherente.