なぜGlobalProtectに接続しているユーザーをログアウトするVPNからRDP時の駅RDPコネクションロス?
39926
Created On 01/25/23 13:26 PM - Last Modified 01/31/23 00:15 AM
Environment
- GlobalProtect Windows リモート デスクトップ マシンで実行されているクライアント。
- に接続しているユーザーRDP確立する環境GlobalProtectそこからのつながり。
Answer
- ユーザーが失われたネットワークに再接続する際、ユーザーに提供される猶予期間はありません。RDPデフォルトではセッション - セッションの実行時にゲートウェイからログアウトされます。RDP接続損失。
- Windows はこの動作に影響を与えません。構成をポータル レベルで調整して、ユーザーが再接続するための時間を失うことなく、より多くの時間を提供する必要があります。GP繋がり。
- この動作を制御する構成アイテムは「ユーザー スイッチ トンネルの名前変更タイムアウト." 添付をご覧ください管理ガイド詳細については、「追加情報」セクションを参照してください。
- 以下の 2 つのシナリオでは、ユーザーがネットワークから切断した後に発生するイベントについて説明します。RDPセッション中GlobalProtectVPNセッションは接続されたままでした。 最初のシナリオは、ユーザーがネットワークを失うことなく接続できる状況を示しています。GP VPN 2 番目のシナリオでは、正反対のことを説明しています。
- ユーザー スイッチ トンネルの名前変更タイムアウト (秒) は、ユーザーが再接続できるようになるまで 90 秒に設定されます。
///GPを検出し、そのユーザーがログアウトしましたRDPステーション (セッション = Windows 用語でのユーザー ログイン)(P3096-T3100)Debug( 348): 12/09/22 08:24:02:000 受信セッション変更、イベント タイプ 4、セッション 2(P3096-T3100) 情報 (1571): 12/09/22 08:24:02:374 ロックオフ セッション 2(P3096-T4272) 情報 ( 531): 12/09/22 08:24:02:562 msgtype = スイッチオフ///GPユーザーが再接続するための猶予期間を設定しますRDPに接続する必要なしにGPまた(P3096-T4272)Debug(3785): 12/09/22 08:24:02:562 現在は 1670570642、最後のユーザー ログイン時間は 1670570642(P3096-T4272) デバッグ (3789): 12/09/22 08:24:02:562 tDelta は 0、猶予期間は 90(P3096-T4272)Debug(10827): 12/09/22 08:24:02:562 猶予期間モニター スレッドを開始します///GPの保持を担当するスレッドを作成して開始しますRDP繋がり(P3096-T4272)Debug( 25): 12/09/22 08:24:02:562 スレッドでスレッド 0x83c を作成ID8432(P3096-T8432) 情報 (10841): 12/09/22 08:24:02:562 開始 CPanMSService::RdpGracePeriodMonitorThread(P3096-T8432) デバッグ (10844): 12/09/22 08:24:02:562 RdpGracePeriodMonitorThread が開始します// ユーザーが再び接続します RDP(P3096-T3100)Debug( 348): 12/09/22 08:25:17:335 受信セッション変更、イベント タイプ 3、セッション 2///GPユーザーが猶予期間内に実際に接続したかどうかを確認します(P3096-T4272) デバッグ (3785): 12/09/22 08:25:18:515 現在は 1670570718、最後のユーザー ログイン時間は 1670570642 です(P3096-T4272)Debug(3789): 12/09/22 08:25:18:515 tDelta は 76、猶予期間は 90 // ユーザーが再度ログインするのに 76 秒かかりましたRDP、猶予期間内(P3096-T4272)Debug(2961): 12/09/22 08:25:18:515 猶予期間のカウント ダウン メッセージを PanGPA に送信します(P3096-T4272)Debug(1969): 12/09/22 08:25:18:515 switch-on-rename-grace-period の要求に対する応答をクライアントに送信します。
2.ユーザー スイッチ トンネルの名前変更タイムアウト (秒) は 60 秒に設定されており、ユーザーは時間内に再接続できないため、ゲートウェイからログアウトされます。
///GPこれらの違いはありますが、上記と同じルーチンを実行します
(P3096-T4272) デバッグ (3789): 12/08/22 22:00:03:127 tDelta は 0、猶予期間は 60
(P3096-T9060) デバッグ (10872): 12/08/22 22:01:03:139 猶予期間が終了しました
(P3096-T9060)Debug(10874): 12/08/22 22:01:03:139 猶予期間が切れたため、トンネルを切断します。
(P3096-T9060)Debug(7237): 12/08/22 22:01:03:139 --状態を切断に設定します...
(P3096-T9060) デバッグ (853): 12/08/22 22:01:03:139 VPN 切断
(P3096-T9060) デバッグ (1574): 12/08/22 22:01:03:249 仮想インターフェイスを切断します
(P3096-T9060) デバッグ ( 692): 12/08/22 22:01:03:687 DisconnectVPN が呼び出されました
(P3096-T9060) デバッグ (3452): 12/08/22 22:01:03:687 ドライバーを false として接続を設定
(P3096-T9060) 情報 (2303): 12/08/22 22:01:03:687 ログアウト: ----ユーザー詳細情報-----
(P3096-T9060) デバッグ (2385): 12/08/22 22:01:03:718 ログアウトしたゲートウェイ gateway.domain.com
でパケット キャプチャを実行すると、RDPテスト時にステーションに接続し、猶予期間内に接続しない場合、Wireshark は切断に関するメッセージ ボックスを表示します。GPアダプタ。 これは、「仮想インターフェイスの切断」ログに対応します。
Additional Information
https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -web-interface-help/globalprotect /通信網-globalprotect -ポータル/globalprotect -portals-agent-configuration-tab/globalprotect -ポータルエージェント-app -タブ