GlobalProtect¿Por qué los usuarios que cierran sesión se VPN conectan al desde una RDP estación en el momento de la RDP pérdida de conexión?

GlobalProtect¿Por qué los usuarios que cierran sesión se VPN conectan al desde una RDP estación en el momento de la RDP pérdida de conexión?

18098
Created On 01/25/23 13:26 PM - Last Modified 01/31/23 00:16 AM


Environment


  • GlobalProtect cliente que se ejecuta en un equipo con Escritorio remoto de Windows.
  • Usuarios que se conectan al RDP entorno para establecer GlobalProtect conexiones desde allí.

 

Answer


  • No se proporciona ningún período de gracia a los usuarios cuando vuelven a conectarse a la sesión perdida RDP de forma predeterminada: se desconectan de la puerta de enlace en el momento de la pérdida de conexión RDP .
  • Windows no influye en este comportamiento, la configuración debe ajustarse en el nivel del portal para proporcionar más tiempo para que los usuarios se vuelvan a conectar sin perder la GP conexión.
  • El elemento de configuración que controla este comportamiento se denomina "Tiempo de espera de cambio de nombre de túnel de conmutación de usuario". Consulte la guía de administración adjunta para obtener más detalles en la sección "Información adicional".
  • Los dos escenarios siguientes describen los eventos que ocurren después de que el usuario se desconecta de la sesión mientras la RDP GlobalProtect VPN sesión permanece conectada. El primer escenario describe la situación en la que el usuario podrá volver a conectarse sin perder la GP VPN conexión, mientras que el segundo escenario describe exactamente lo contrario.
 
  1. El tiempo de espera de cambio de nombre del túnel de conmutación de usuario (seg) está configurado para 90 segundos cuando el usuario podrá volver a conectarse.

     
    GP detecta, que el usuario se desconectó de la RDP estación (sesión = inicio de sesión del usuario en términos de Windows)
    (P3096-T3100) Depuración( 348): 12/09/22 08:24:02:000 Cambio de sesión recibido, tipo de evento 4, sesión 2
    (P3096-T3100) Información (1571): 12/09/22 08:24:02:374 Bloquear sesión 2
    (P3096-T4272) Información ( 531): 12/09/22 08:24:02:562 msgtype = desconectar
     
     
    GP Configura el período de gracia para que el usuario vuelva RDP a conectarse sin necesidad de conectarse de GP nuevo
    (P3096-T4272) Depurar (3785): 12/09/22 08:24:02:562 Ahora es 1670570642, la última hora de inicio de sesión del usuario es 1670570642
    (P3096-T4272) Depurar(3789): 12/09/22 08:24:02:562 tDelta es 0, período de gracia es 90
    (P3096-T4272) Depurar(10827): 12/09/22 08:24:02:562 Iniciar período de gracia supervisar subproceso
     
     
    GP Crea e inicia un subproceso responsable de la retención de la RDP conexión
    (P3096-T4272) Depurar( 25): 12/09/22 08:24:02:562 Crear subproceso 0x83c con hilo ID 8432
    (P3096-T8432) Información (10841): 12/09/22 08:24:02:562 Iniciar CPanMSService::RdpGracePeriodMonitorThread
    (P3096-T8432) Depurar(10844): 12/09/22 08:24:02:562 RdpGracePeriodMonitorThread se inicia
     
     
    El usuario se conecta de nuevo a RDP
    (P3096-T3100) Depuración( 348): 12/09/22 08:25:17:335 Cambio de sesión recibido, tipo de evento 3, sesión 2
     
     
    GP Comprueba si el usuario se conectó realmente dentro del período de gracia
    (P3096-T4272) Depurar (3785): 12/09/22 08:25:18:515 Ahora es 1670570718, la última hora de inicio de sesión del usuario es 1670570642
    (P3096-T4272) Depuración(3789): 12/09/22 08:25:18:515 tDelta es 76, el período de gracia es 90 // el usuario tardó 76 segundos en volver a iniciar sesión en RDP, que está dentro del período de gracia
    (P3096-T4272) Depuración(2961): 12/09/22 08:25:18:515 Enviar mensaje de cuenta atrás del período de gracia a PanGPA
    (P3096-T4272) Depurar (1969): 12/09/22 08:25:18:515 Enviar respuesta al cliente para solicitar switch-on-rename-grace-period.
 
 
2. El tiempo de espera de cambio de nombre del túnel del conmutador de usuario (seg) está configurado durante 60 segundos y el usuario no podrá conectarse atrás en el tiempo, por lo que se cerrará la sesión de la puerta de enlace
 
GP pasa por la misma rutina que arriba con estas diferencias
(P3096-T4272) Depurar(3789): 12/08/22 22:00:03:127 tDelta es 0, período de gracia es 60
(P3096-T9060) Depurar(10872): 12/08/22 22:01:03:139 El período de gracia expira
(P3096-T9060) Depurar(10874): 12/08/22 22:01:03:139 Desconectar túnel porque expira el período de gracia.
(P3096-T9060) Depurar (7237): 12/08/22 22:01:03:139 --Establecer estado en Desconectar...
(P3096-T9060) Depurar ( 853): 12/08/22 22:01:03:139 desconectar vpn
(P3096-T9060) Depurar (1574): 12/08/22 22:01:03:249 Desconectar interfaz virtual
(P3096-T9060) Depurar( 692): 12/08/22 22:01:03:687 DisconnectVPN llamado
(P3096-T9060) Depurar(3452): 12/08/22 22:01:03:687 Establecer controlador conectado como falso
(P3096-T9060) Información (2303): 12/08/22 22:01:03:687 cerrar sesión: ----información detallada del usuario-----
(P3096-T9060) Depuración(2385): 12/08/22 22:01:03:718 Puerta de enlace desconectada gateway.domain.com
 
 
Si ejecuta la captura de paquetes en la estación en el momento de la prueba y no se conecta dentro del período de gracia, Wireshark mostrará un cuadro de mensaje sobre el RDP adaptador desconectado GP . Esto corresponde al registro "Desconectar interfaz virtual".


 

Additional Information


https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-web-interface-help/globalprotect/network-globalprotect-portals/globalprotect-portals-agent-configuration-tab/globalprotect-portals-agent-app-tab
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGW6CAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language