GlobalProtect Windows の場合 : ログオン前トンネルが断続的に確立されない
41986
Created On 03/03/21 18:09 PM - Last Modified 04/19/21 16:45 PM
Symptom
GlobalProtect ログオン前トンネルは、名前が示すように、エンド GlobalProtect ポイントとゲートウェイの間に作成されたトンネル GlobalProtect で、エンド ポイントにログインする前に行います。 この資料では、Windows PC でログオン前の構成を展開するときに発生する可能性がある問題について説明します。 Windows でのログオン前トンネル確立ワークフローは次のとおりです。
- Windows の起動が完了すると、 GlobalProtect サービス (PanGPS) が開始されます。 PanGPS は、レジストリ設定に基づいてログオン前が有効であることを識別し、ログオン前スレッドを開始します。
- 同様に、すべてのユーザー セッションが終了すると、つまり Windows ユーザーがログアウトすると、Windows は PanGPS に通知し、ログオン前スレッドを開始します。
- ログオン前トンネルの確立全体は PanGPS によって処理され、Windows がユーザー セッションについて PanGPS に通知する前に終了する必要があります。
- PanGPS は、ユーザー ログオン イベントを知るとすぐに、ログオン前スレッドを終了します。 当然のことながら、2 つの結果があります。
- ログオン前トンネルが、Windows がユーザー セッションについて PanGPS に通知するまでに確立された場合、ログオン前のトンネルは保持され、ログオン前のスレッドは終了します。
- Windows がユーザー セッションについて PanGPS に通知するときにログオン前トンネルがネゴシエートされている場合、ログオン前のトンネルの確立が中断されるか、または突然切断され、ログオン前のスレッドが終了します。
- ユーザー ログイン イベントが完了すると、接続方法と "ログオン前トンネルの名前変更タイムアウト" 値に応じて、ユーザー トンネルが確立され、ユーザー トンネルに適切に名前が変更されるか、ログオン前トンネルが終了してユーザー トンネルが確立される間、ログオン前トンネルが保持されます。
イベントのシーケンスが通常のパターンに従い、ユーザーログインイベントの前に十分な時間が与えられている場合(通常は1分未満)、ログオン前トンネルは一貫して確立されます。 ただし、ユーザーがまだシステムにログインしていない場合でも、ログオン前トンネルが断続的に確立できない問題を観察しています。以降のセクションでは、問題の特定に役立つさまざまな操作段階を確認します。
作業シナリオでは、次の一連のイベントが観察されます (PanGPS.log ファイルで見られるように):
PC 起動すると:
(P5452-T5876)Info ( 156): 03/03/21 14:03:15:292 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (P5452-T7296)Info (10158): 03/03/21 14:03:17:173 PrelogonThread starts (P5452-T7296)Debug(2377): 03/03/21 14:03:17:173 ----portal processing starts---- (P5452-T7296)Debug(6897): 03/03/21 14:03:17:252 ----Portal Pre-login starts---- (P5452-T7296)Debug(8260): 03/03/21 14:03:17:454 portal status is Connected (P5452-T7324)Debug(5473): 03/03/21 14:03:17:600 ----Network Discover starts---- (P5452-T7324)Info (1385): 03/03/21 14:03:26:844 CPanGatewayList::PickGatewayBaseOnWeight, PAN_NEW_GATEWAY_SELECTOR, chose prefered gateway index =7, gateway is Amsterdam (P5452-T7324)Debug(3502): 03/03/21 14:03:26:848 ----Gateway Pre-login starts---- (P5452-T7324)Debug(3909): 03/03/21 14:03:27:123 ----Gateway Login starts---- (P5452-T7324)Debug(2645): 03/03/21 14:03:27:500 ----Tunnel creation starts---- (P5452-T7324)Debug(6849): 03/03/21 14:03:31:384 --Set state to Connected
ユーザーがログインすると、次のようになります。
(P5452-T5456)Debug(1534): 03/03/21 14:25:41:344 Session 1, username roadrunner. (P5452-T5456)Debug(1543): 03/03/21 14:25:41:344 Session 1, domain name ACME. (P5452-T5456)Info (1578): 03/03/21 14:25:42:017 User acme\roadrunner logs in on session 1 (P5452-T7160)Info (10231): 03/03/21 14:26:13:294 PrelogonThread exits (P5452-T7284)Debug(2444): 03/03/21 14:26:13:294 User just logs in (P5452-T7284)Debug(2377): 03/03/21 14:26:13:851 ----portal processing starts---- ... and so on
非動作シナリオでは、次のシーケンスが観察される可能性があります(PanGPS.logファイルに見られるように)
ここで、 PC ブートアップ後にPanGPSプロセスの起動が続くとすぐに、Windowsはユーザーセッションが作成され、セッションがロックされていることを通知します。 これにより、PanGPS はアクティブなユーザー セッションを学習するため、ログオン前トンネルの確立は行われません。 しかし、私たちが知っていることは、ユーザーが正式にログインしていないということです。つまり、ユーザーはまだ資格情報を入力してログインを試みていません。
(T4456)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (T5192)Info (9835): 02/24/21 18:27:38:537 PrelogonThread starts (T3244)Debug(1416): 02/24/21 18:27:47:287 First logon user. (T3244)Debug(1467): 02/24/21 18:27:47:303 Session 1, username roadrunner. (T3244)Debug(1476): 02/24/21 18:27:47:303 Session 1, domain name ACME. (T3244)Debug( 302): 02/24/21 18:27:55:678 Received session change, event type 7, session 1 (T3244)Info (1556): 02/24/21 18:27:55:678 lock off session 1 (T5192)Debug(4492): 02/24/21 18:28:05:459 Prelogon flag is 1 (T5192)Debug(4470): 02/24/21 18:28:05:459 Start ProcessServerPortal tiggered by prelogon flag (T5192)Info (4107): 02/24/21 18:28:05:459 UpdatePrelogonStateForSSO() - Pre-logon tunnel state = Connecting (T5192)Debug(2233): 02/24/21 18:28:05:740 ----portal processing starts---- (T5192)Debug(6682): 02/24/21 18:28:07:006 ----Portal Pre-login starts---- (T5192)Debug(1244): 02/24/21 18:28:10:240 set certname to none-selected (T5192)Debug(6827): 02/24/21 18:28:10:240 prelogin to portal result is (null) (T5192)Debug(7123): 02/24/21 18:28:10:240 Failed to pre-login to the portal globalprotect.acme.corp with return value 12044(A certificate is required to complete client authentication).
このシナリオでは、PanGPS がポータルのログイン前のエラーの原因となるマシン証明書ストアを照会しようとしなかったため、ログオン前のトンネルの確立に失敗しました。 ただし、 トリガーは、ログオン前のトンネル ネゴシエーションが終了する前に、ユーザー セッションについて PanGPS に通知する Windows です。
Windows は、ログオン前トンネル ネゴシエーションのさまざまな段階でユーザー セッションについて PanGPS に通知することがあるため、ログのエラー メッセージは異なる場合があります。 ここで最も重要なことは、ログオン前のトンネルの確立が終了する前に、ユーザーセッションについて PanGPS に通知する Windows です PC 。
Environment
GlobalProtect接続方法が [ログオン前] に設定されたクライアントを使用する Windows 10 エンドポイント。
Cause
この問題は、Windows の機能が原因で発生し、"自動サインイン" または "高速ログオン" と呼ばれる可能性があります。 ログイン プロセスを高速化し、再起動前に開いていたアプリケーションを再度開くために、Windows は、再起動プロセスが終了した直後に、以前のサインイン情報を使用してユーザー セッションの設定を完了するように構成できます。 これは既定で有効になっており、Windows 設定> アカウント>サインイン オプションを使用して無効にすることができます: Windows の
設定>アカウント>サインイン オプション "サインイン
情報を使用して、更新または再起動後に自動的にデバイスのセットアップを完了します"
Windows 自動サインインが PanGPS を起動する前にユーザー セッションを作成した場合、PanGPS.log ファイルに次のエントリが表示されます。
(T2564)Info ( 144): 02/24/21 18:27:37:334 ####################### Start PanGPS service (ver: 5.2.5-66) ####################### (T2564)Info (1517): 02/24/21 18:27:37:334 Enumerate session: user acme\roadrunner logs in on session 1
しかし、最近では、Windows 自動サインインが PanGPS の起動後にユーザー セッションを作成し、ログオン前のトンネルの動作が不安定になるシナリオを観察しました。 上記で説明したように、Windows 自動サインインが発生すると、PanGPS.log が行われます evident が、ログオン前のトンネル障害ログは、そうではなく evident 、一貫性がありません。 要するにあの:
- ログオン前トンネルネゴシエーションが終了する前に、Windows 自動サインインがユーザー セッションについて PanGPS に通知すると、ログオン前のトンネルが失敗するか、突然切断されます。
- ログオン前トンネルネゴシエーションが終了した後に、Windows 自動サインインがユーザー セッションについて PanGPS に通知した場合、ログオン前のトンネルは自然に接続されたままになります。
Resolution
ログオン前の機能を有効かつ一貫性のある状態にするには、Windows 自動サインインまたは高速 GlobalProtect ログオンを無効にする必要があります。