Problembehandlung, wenn der Global Protect-Client keine Verbindung herstellt und bei Verwendung von Proxy zur SAML Authentifizierung für die erste Verbindung auffordert
4665
Created On 02/09/21 06:04 AM - Last Modified 04/11/25 19:17 PM
Environment
Der Global Protect-Client wird zum ersten Mal auf dem Windows-Client installiert. Der Client verwendet die Proxydatei in seinem Standardbrowser.
GP Client 5.2.x oder höher. Prisma Access oder On prem Global protect gateway and portal.
In der Global Protect-Portalkonfiguration app ist der Regler für den Standardbrowser verwenden auf Ja festgelegt.
PanGPS-Protokolle zeigen folgenden Fehler an.
saml-auth-error is Failed to connect to authentication server. Retry after some time or contact your IT help desk to resolve the issue.
Das Problem hierbei ist, dass der Client die IDP Adresse (SAML Identitätsanbieter) nicht auflösen kann und die Standard-Browserregistrierung noch nicht aktiviert hat, was bedeutet, dass er die im Browser konfigurierte Proxy-Datei nicht für die Verbindung verwendet.
Hinweis: - Die obige Verbindung wird erwartet, wenn der Client einen einzelnen Proxy-Server IP/FQDN anstelle einer PAC Datei verwendet. Der obige Fehler wird nur bei der Verwendung der PAC Datei beobachtet.
Die Standard-Browseraktivierung kann durch den Registrierungseintrag in HKEY_LOCAL_MACHINE\\SOFTWAREPalo Alto Networks\\GlobalProtectSettings überprüft werden.
Additional Information
Hinweis: - In der Portalkonfiguration app sollte der Standardbrowser weiterhin aktiviert sein. Ist dies nicht der Fall, entfernt der Client die Registrierung, wenn er eine Verbindung mit dem Portal herstellt und die Konfiguration herunterlädt.
Eine weitere Problemumgehung, wenn der einzelne Proxyserver nicht verwendet werden kann und Registrierungswerte nicht geändert werden können, besteht darin, den Eintrag oder die DNS Weiterleitung für IDP URL lokale Systeme hinzuzufügen.