Captive Portal mit Global Protect erkannt, schlägt aber mit Fehler "ERR_NETWORK_ACCESS_DENIED" fehl

• Der Global Protect-Client erkennt das Captive-Portal, kann aber keine Verbindung mit dem Fehler "ERR_NETWORK_ACCESS_DENIED" herstellen
• Das Browser-Popup für die Captive-Portal-Authentifizierung wird für den Benutzer nicht angezeigt.
• Die Option Für Netzwerkzugriff erzwingen GlobalProtect ist aktiviert.
• Die Verbindungsmethode ist Voranmeldung , und das Timeout für die Umbenennung des Tunnels vor der Anmeldung ist konfiguriert.
• Dies gilt für Szenarien, in denen der Benutzer ein öffentliches drahtloses Netzwerk (z. B. Airport) verwendet und sich beim lokalen Captive-Portal authentifizieren muss, um auf das Internet zugreifen zu können.

• Global Protect Client mit Prisma Access auf Windows-Client.
• Global Protect Client mit Palo Alto Strata NGFW auf Windows-Client.
• Für Netzwerkzugriff erzwingen GlobalProtect ist aktiviert.

• Dieses Problem wird durch den positiven Wert für das Timeout für die Umbenennung des Tunnels vor der Anmeldung ungleich Null verursacht.
• Wenn der Timeoutwert für die Umbenennung des Pre-Logon-Tunnels angepasst wird, wirkt sich dies auch auf den Timeoutwert für die Captive-Portalausnahme aus.
• Wenn der Wert für das Captive-Portal-Ausnahmetimeout (sec) auf 0 festgelegt ist, hat der Client nicht genügend Zeit, um den Authentifizierungsprozess während der Tunnelumbenennung abzuschließen.
• Die Funktionalität des Captive-Portals und der Authentifizierungsaufforderung hängt vom Zeitwert des Captive-Portal-Ausnahmetimeouts ab.

1. Das Captive-Portal-Ausnahmetimeout (sec) muss in diesem Szenario ein Wert ungleich Null sein.
2. Der empfohlene Wert sollte dem Timeout für die Umbenennung des Tunnels vor der Anmeldung entsprechen.

• Die Debugmodusprotokolle GlobalProtect geben nichts Spezifisches in Bezug auf das Captive-Portal an, das vom Enforcer blockiert wird.
• Die folgenden Protokolle weisen auf ein Netzwerkproblem hin, bei dem der GlobalProtect Client den Captive-Portalservernamen nicht auflösen kann.

Debug(5328): 09/29/21 06:05:41:548 CPD, CaptivePortalDetectionThread: captive portal is not detected for CP server. iStatus = 0
Info ( 482): 09/29/21 06:05:41:548 pan_get_ip_by_host() getaddrinfo failed with error code (11001)!
Error( 87): 09/29/21 06:05:41:548 pan_captive_portal_detection() failed to resolve captive portal server:service (www.msftconnecttest.com:80)
Debug(5328): 09/29/21 06:05:41:548 CPD, CaptivePortalDetectionThread: captive portal is not detected for CP server. iStatus = 0
Debug(5513): 09/29/21 06:05:41:548 CaptivePortalDetectionThread: Didn't detect captive portal currently, and bCaptivePortalDetectedOnce=(0).