Warum verbindet GlobalProtect sich abgemeldete Benutzer zum Zeitpunkt des Verbindungsabbruchs RDP von einer RDP Station ausVPN?

Warum verbindet GlobalProtect sich abgemeldete Benutzer zum Zeitpunkt des Verbindungsabbruchs RDP von einer RDP Station ausVPN?

18148
Created On 01/25/23 13:26 PM - Last Modified 01/31/23 00:16 AM


Environment


  • GlobalProtect Client, der auf einem Windows-Remotedesktopcomputer ausgeführt wird.
  • Benutzer, die eine Verbindung mit der RDP Umgebung herstellen, um von dort aus Verbindungen herzustellen GlobalProtect .

 

Answer


  • Es gibt keine Kulanzfrist für Benutzer, wenn sie sich standardmäßig wieder mit der verlorenen RDP Sitzung verbinden - sie werden zum Zeitpunkt des RDP Verbindungsverlusts vom Gateway abgemeldet.
  • Windows hat keinen Einfluss auf dieses Verhalten, die Konfiguration muss auf Portalebene angepasst werden, um den Benutzern mehr Zeit zu geben, sich erneut zu verbinden, ohne die GP Verbindung zu verlieren.
  • Das Konfigurationselement, das dieses Verhalten steuert, heißt "User Switch Tunnel Rename Timeout". Weitere Informationen finden Sie im beigefügten Administratorhandbuch im Abschnitt "Zusätzliche Informationen".
  • Die beiden folgenden Szenarien beschreiben die Ereignisse, die auftreten, nachdem der Benutzer die Verbindung zur Sitzung getrennt hat, während die RDP GlobalProtect VPN Sitzung verbunden blieb. Das erste Szenario beschreibt die Situation, in der der Benutzer eine Verbindung herstellen kann, ohne die GP VPN Verbindung zu verlieren, während das zweite Szenario das genaue Gegenteil beschreibt.
 
  1. Das Timeout (sec) für die Umbenennung des Benutzerwechseltunnels ist für 90 Sekunden konfiguriert, in denen der Benutzer eine Verbindung herstellen kann.

     
    GP erkennt, dass der Benutzer von der RDP Station abgemeldet wurde (Sitzung = Benutzeranmeldung in Windows-Begriffen)
    (P3096-T3100) Debug( 348): 12/09/22 08:24:02:000 Sitzungsänderung empfangen, Ereignistyp 4, Sitzung 2
    (P3096-T3100) Info (1571): 12/09/22 08:24:02:374 Sperrsitzung 2
    (P3096-T4272) Info ( 531): 12/09/22 08:24:02:562 msgtype = abschalten
     
     
    GP Richtet den Kulanzzeitraum ein, mit RDP dem der Benutzer eine Verbindung herstellen kann, ohne dass erneut eine Verbindung hergestellt werden GP muss
    (P3096-T4272) Debug(3785): 12/09/22 08:24:02:562 Jetzt ist 1670570642, letzte Benutzeranmeldung ist 1670570642
    (P3096-T4272) Debug(3789): 12/09/22 08:24:02:562 tDelta ist 0, Kulanzfrist ist 90
    (P3096-T4272) Debug(10827): 09.12.22 08:24:02:562 Kulanzperioden-Monitorthread starten
     
     
    GP Erstellt und startet einen Thread, der für die Beibehaltung der RDP Verbindung verantwortlich ist
    (P3096-T4272) Debug( 25): 12/09/22 08:24:02:562 Thread 0x83c mit Thread ID 8432 erstellen
    (P3096-T8432) Info (10841): 12/09/22 08:24:02:562 CPanMSService::RdpGracePeriodMonitorThread starten
    (P3096-T8432) Debug(10844): 12/09/22 08:24:02:562 RdpGracePeriodMonitorThread startet
     
     
    Benutzer verbindet sich zurück zu RDP
    (P3096-T3100) Debug( 348): 12/09/22 08:25:17:335 Sitzungsänderung empfangen, Ereignistyp 3, Sitzung 2
     
     
    GP prüft, ob der Nutzer innerhalb der Nachfrist tatsächlich eine Verbindung hergestellt hat
    (P3096-T4272) Debug(3785): 12/09/22 08:25:18:515 Jetzt ist 1670570718, letzte Benutzeranmeldezeit ist 1670570642
    (P3096-T4272) Debug(3789): 12/09/22 08:25:18:515 tDelta ist 76, Kulanzfrist ist 90 // Es dauerte 76 Sekunden, bis sich der Benutzer wieder bei RDPanmeldete, was innerhalb der Kulanzfrist liegt
    (P3096-T4272) Debug(2961): 12/09/22 08:25:18:515 Kulanzperioden-Countdown-Nachricht an PanGPA senden
    (P3096-T4272) Debug(1969): 12/09/22 08:25:18:515 Senden Sie eine Antwort an den Client für die Anforderung switch-on-rename-grace-period.
 
 
2. Das User Switch Tunnel Rename Timeout (sec) ist für 60 Sekunden konfiguriert und der Benutzer kann sich nicht rechtzeitig wieder verbinden, sodass er vom Gateway abgemeldet wird
 
GP durchläuft die gleiche Routine wie oben mit diesen Unterschieden
(P3096-T4272) Debug(3789): 12/08/22 22:00:03:127 tDelta ist 0, Kulanzfrist ist 60
(P3096-T9060) Debug(10872): 12/08/22 22:01:03:139 Nachfrist läuft ab
(P3096-T9060) Debug(10874): 12/08/22 22:01:03:139 Trennen Sie den Tunnel, da die Kulanzfrist abläuft.
(P3096-T9060) Debug(7237): 12/08/22 22:01:03:139 --Set state to Disconnecting...
(P3096-T9060) Debug( 853): 12/08/22 22:01:03:139 VPN trennen
(P3096-T9060) Debug(1574): 12/08/22 22:01:03:249 Virtuelle Schnittstelle trennen
(P3096-T9060) Debug( 692): 12/08/22 22:01:03:687 DisconnectVPN genannt
(P3096-T9060) Debug(3452): 12/08/22 22:01:03:687 Treiber als false verbunden setzen
(P3096-T9060) Info (2303): 12/08/22 22:01:03:687 Abmelden: ----Benutzerdetail-Info-----
(P3096-T9060) Debug(2385): 12/08/22 22:01:03:718 Ausgeloggtes Gateway gateway.domain.com
 
 
Wenn Sie zum Zeitpunkt des Tests die Paketerfassung auf der RDP Station ausführen und keine Verbindung innerhalb der Kulanzfrist herstellen, zeigt Wireshark ein Meldungsfeld über den getrennten GP Adapter an. Dies entspricht dem Protokoll "Virtuelle Schnittstelle trennen".


 

Additional Information


https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-web-interface-help/globalprotect/network-globalprotect-portals/globalprotect-portals-agent-configuration-tab/globalprotect-portals-agent-app-tab
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGW6CAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language