なぜGlobalProtectに接続しているユーザーをログアウトするVPNからRDP時の駅RDPコネクションロス?

なぜGlobalProtectに接続しているユーザーをログアウトするVPNからRDP時の駅RDPコネクションロス?

18146
Created On 01/25/23 13:26 PM - Last Modified 01/31/23 00:15 AM


Environment


  • GlobalProtect Windows リモート デスクトップ マシンで実行されているクライアント。
  • に接続しているユーザーRDP確立する環境GlobalProtectそこからのつながり。

 

Answer


  • ユーザーが失われたネットワークに再接続する際、ユーザーに提供される猶予期間はありません。RDPデフォルトではセッション - セッションの実行時にゲートウェイからログアウトされます。RDP接続損失。
  • Windows はこの動作に影響を与えません。構成をポータル レベルで調整して、ユーザーが再接続するための時間を失うことなく、より多くの時間を提供する必要があります。GP繋がり。
  • この動作を制御する構成アイテムは「ユーザー スイッチ トンネルの名前変更タイムアウト." 添付をご覧ください管理ガイド詳細については、「追加情報」セクションを参照してください。
  • 以下の 2 つのシナリオでは、ユーザーがネットワークから切断した後に発生するイベントについて説明します。RDPセッション中GlobalProtectVPNセッションは接続されたままでした。 最初のシナリオは、ユーザーがネットワークを失うことなく接続できる状況を示しています。GP VPN 2 番目のシナリオでは、正反対のことを説明しています。
 
  1. ユーザー スイッチ トンネルの名前変更タイムアウト (秒) は、ユーザーが再接続できるようになるまで 90 秒に設定されます。

     
    ///GPを検出し、そのユーザーがログアウトしましたRDPステーション (セッション = Windows 用語でのユーザー ログイン)
    (P3096-T3100)Debug( 348): 12/09/22 08:24:02:000 受信セッション変更、イベント タイプ 4、セッション 2
    (P3096-T3100) 情報 (1571): 12/09/22 08:24:02:374 ロックオフ セッション 2
    (P3096-T4272) 情報 ( 531): 12/09/22 08:24:02:562 msgtype = スイッチオフ
     
     
    ///GPユーザーが再接続するための猶予期間を設定しますRDPに接続する必要なしにGPまた
    (P3096-T4272)Debug(3785): 12/09/22 08:24:02:562 現在は 1670570642、最後のユーザー ログイン時間は 1670570642
    (P3096-T4272) デバッグ (3789): 12/09/22 08:24:02:562 tDelta は 0、猶予期間は 90
    (P3096-T4272)Debug(10827): 12/09/22 08:24:02:562 猶予期間モニター スレッドを開始します
     
     
    ///GPの保持を担当するスレッドを作成して開始しますRDP繋がり
    (P3096-T4272)Debug( 25): 12/09/22 08:24:02:562 スレッドでスレッド 0x83c を作成ID8432
    (P3096-T8432) 情報 (10841): 12/09/22 08:24:02:562 開始 CPanMSService::RdpGracePeriodMonitorThread
    (P3096-T8432) デバッグ (10844): 12/09/22 08:24:02:562 RdpGracePeriodMonitorThread が開始します
     
     
    // ユーザーが再び接続します RDP
    (P3096-T3100)Debug( 348): 12/09/22 08:25:17:335 受信セッション変更、イベント タイプ 3、セッション 2
     
     
    ///GPユーザーが猶予期間内に実際に接続したかどうかを確認します
    (P3096-T4272) デバッグ (3785): 12/09/22 08:25:18:515 現在は 1670570718、最後のユーザー ログイン時間は 1670570642 です
    (P3096-T4272)Debug(3789): 12/09/22 08:25:18:515 tDelta は 76、猶予期間は 90 // ユーザーが再度ログインするのに 76 秒かかりましたRDP、猶予期間内
    (P3096-T4272)Debug(2961): 12/09/22 08:25:18:515 猶予期間のカウント ダウン メッセージを PanGPA に送信します
    (P3096-T4272)Debug(1969): 12/09/22 08:25:18:515 switch-on-rename-grace-period の要求に対する応答をクライアントに送信します。
 
 
2.ユーザー スイッチ トンネルの名前変更タイムアウト (秒) は 60 秒に設定されており、ユーザーは時間内に再接続できないため、ゲートウェイからログアウトされます。
 
///GPこれらの違いはありますが、上記と同じルーチンを実行します
(P3096-T4272) デバッグ (3789): 12/08/22 22:00:03:127 tDelta は 0、猶予期間は 60
(P3096-T9060) デバッグ (10872): 12/08/22 22:01:03:139 猶予期間が終了しました
(P3096-T9060)Debug(10874): 12/08/22 22:01:03:139 猶予期間が切れたため、トンネルを切断します。
(P3096-T9060)Debug(7237): 12/08/22 22:01:03:139 --状態を切断に設定します...
(P3096-T9060) デバッグ (853): 12/08/22 22:01:03:139 VPN 切断
(P3096-T9060) デバッグ (1574): 12/08/22 22:01:03:249 仮想インターフェイスを切断します
(P3096-T9060) デバッグ ( 692): 12/08/22 22:01:03:687 DisconnectVPN が呼び出されました
(P3096-T9060) デバッグ (3452): 12/08/22 22:01:03:687 ドライバーを false として接続を設定
(P3096-T9060) 情報 (2303): 12/08/22 22:01:03:687 ログアウト: ----ユーザー詳細情報-----
(P3096-T9060) デバッグ (2385): 12/08/22 22:01:03:718 ログアウトしたゲートウェイ gateway.domain.com
 
 
でパケット キャプチャを実行すると、RDPテスト時にステーションに接続し、猶予期間内に接続しない場合、Wireshark は切断に関するメッセージ ボックスを表示します。GPアダプタ。 これは、「仮想インターフェイスの切断」ログに対応します。

Additional Information


https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -web-interface-help/globalprotect /通信網-globalprotect -ポータル/globalprotect -portals-agent-configuration-tab/globalprotect -ポータルエージェント-app -タブ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGW6CAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language