Der Global Protect-Tunnel wird nach dem Schließen der RDP-Verbindung getrennt
3992
Created On 05/18/23 13:03 PM - Last Modified 06/27/25 19:37 PM
Symptom
- RDP wird auf einem Remote-PC/Desktop eingerichtet, auf dem GlobalProtect (GP) aktiviert ist
- Der GP-Tunnel auf dem Remote-PC wird nach dem Schließen der RDP-Sitzung getrennt.
Environment
- Jede GlobalProtect Windows-Version
- Jede PAN-OS Version
- RDP an die IP-Adresse eines beliebigen verfügbaren PCs (einschließlich virtueller Global Protect-Adapter, Ethernet-Schnittstelle... )
Cause
- Nach dem Initiieren der RDP-Verbindung wird das Remote-PC-Benutzerkonto automatisch gesperrt (erwartetes Verhalten).
- Die neue RDP-Windows-Sitzung ist geöffnet, und diese Verbindung wird zu einer aktiven Sitzung.
- Der Global Protect-Tunnel wird von einem Remote-PC-Benutzer in einen RDP-Benutzer umbenannt.
- Nach dem Schließen der RDP-Verbindung wird die RDP-Windows-Sitzung geschlossen.
- Zu diesem Zeitpunkt ist das Remote-PC-Benutzerkonto noch gesperrt.
- Es besteht keine Verbindung zwischen PanGPS und PanGPA, sodass die Umbenennung des Tunnels von RDP-Benutzer in Remote-PC-Benutzer nicht erfolgreich sein kann.
- Der Umbenennungsprozess des Global Protect-Tunnels schlägt fehl, sodass der Global Protect-Tunnel getrennt wird (erwartetes Verhalten).
- Nach dem Entsperren des Kontos werden PanGPS und PanGPA wieder verbunden und die Tunnelumbenennung kann erfolgreich abgeschlossen werden.
Resolution
- Global Protect muss über eine aktive Benutzersitzung verfügen, damit die Verbindung aufrechterhalten werden kann.
- Legen Sie die Einstellung "User Switch Tunnel Rename Timeout (sec)" der GP Portal App auf einen Wert fest, der lang genug ist, um Remote-PC-Benutzern die Möglichkeit zu geben,
- Entsperren des Kontos
- Erfolgreiche Authentifizierung
- Einrichtung eines Global Protect-Tunnels.