为什么GlobalProtect注销连接到的用户VPN来自RDP车站的时间RDP连接丢失?

为什么GlobalProtect注销连接到的用户VPN来自RDP车站的时间RDP连接丢失?

18164
Created On 01/25/23 13:26 PM - Last Modified 01/31/23 00:22 AM


Environment


  • GlobalProtect 在 Windows 远程桌面计算机上运行的客户端。
  • 用户连接到RDP建立的环境GlobalProtect从那里的连接。

 

Answer


  • 当用户重新连接到丢失的设备时,没有向用户提供宽限期RDP默认情况下的会话 - 他们在会话时从网关注销RDP连接丢失。
  • Windows 不会影响此行为,需要在门户级别调整配置,以便为用户提供更多时间重新连接而不会丢失GP联系。
  • 控制这个行为的配置项叫做“用户切换隧道重命名超时” 请参阅附件管理员指南有关更多详细信息,请参阅“其他信息”部分。
  • 下面的两个场景描述了用户断开连接后发生的事件RDP会话而GlobalProtectVPN会话保持连接。 第一种情况描述了用户将能够重新连接而不会丢失的情况GP VPN连接,而第二种情况描述的恰恰相反。
 
  1. 当用户能够重新连接时,用户交换机隧道重命名超时(秒)配置为 90 秒。

     
    //GP检测到该用户已从RDP站(会话 = Windows 术语中的用户登录)
    (P3096-T3100)调试(348): 12/09/22 08:24:02:000 收到会话更改,事件类型 4,会话 2
    (P3096-T3100)信息 (1571):12/09/22 08:24:02:374 锁定会话 2
    (P3096-T4272)信息 (531): 12/09/22 08:24:02:562 msgtype = 关闭
     
     
    //GP设置用户连接回的宽限期RDP无需连接到GP再次
    (P3096-T4272)Debug(3785): 12/09/22 08:24:02:562 现在是1670570642,上次用户登录时间是1670570642
    (P3096-T4272)Debug(3789): 12/09/22 08:24:02:562 tDelta 为 0,宽限期为 90
    (P3096-T4272)Debug(10827): 12/09/22 08:24:02:562 启动宽限期监控线程
     
     
    //GP创建并启动一个线程,负责保留RDP联系
    (P3096-T4272)Debug( 25): 12/09/22 08:24:02:562 用线程创建线程 0x83cID 8432
    (P3096-T8432)信息 (10841): 12/09/22 08:24:02:562 启动 CPanMSService::RdpGracePeriodMonitorThread
    (P3096-T8432)调试(10844):12/09/22 08:24:02:562 RdpGracePeriodMonitorThread 启动
     
     
    // 用户连接回 RDP
    (P3096-T3100)调试(348): 12/09/22 08:25:17:335 收到会话更改,事件类型 3,会话 2
     
     
    //GP检查用户是否在宽限期内实际连接
    (P3096-T4272)Debug(3785): 12/09/22 08:25:18:515 现在是1670570718,上次用户登录时间是1670570642
    (P3096-T4272)Debug(3789): 12/09/22 08:25:18:515 tDelta 为 76,宽限期为 90 // 用户重新登录需要 76 秒RDP, 在宽限期内
    (P3096-T4272)调试(2961):12/09/22 08:25:18:515 向 PanGPA 发送宽限期倒计时消息
    (P3096-T4272)Debug(1969): 12/09/22 08:25:18:515 向客户端发送响应以请求 switch-on-rename-grace-period。
 
 
2.用户切换隧道重命名超时(秒)配置为 60 秒,用户将无法及时重新连接,因此他们将从网关注销
 
//GP经历与上述相同的例程,但存在这些差异
(P3096-T4272)Debug(3789): 12/08/22 22:00:03:127 tDelta 为 0,宽限期为 60
(P3096-T9060)调试(10872):12/08/22 22:01:03:139 宽限期到期
(P3096-T9060) 调试 (10874):12/08/22 22:01:03:139 断开隧道,因为宽限期已过。
(P3096-T9060)调试(7237): 12/08/22 22:01:03:139 --Set state to Disconnecting...
(P3096-T9060) 调试 (853): 12/08/22 22:01:03:139 vpn 断开连接
(P3096-T9060)调试(1574): 12/08/22 22:01:03:249 断开虚拟接口
(P3096-T9060)调试(692): 12/08/22 22:01:03:687 DisconnectVPN called
(P3096-T9060)调试(3452):12/08/22 22:01:03:687 将驱动程序连接设置为假
(P3096-T9060)信息 (2303):12/08/22 22:01:03:687 注销:----用户详细信息-----
(P3096-T9060)调试(2385): 12/08/22 22:01:03:718 注销网关 gateway.domain.com
 
 
如果您在RDP测试时站未在宽限期内连接,Wireshark 会显示断开连接的消息框GP适配器。 这对应于“断开虚拟接口”日志。

Additional Information


https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -网络界面帮助/globalprotect /网络-globalprotect -门户网站/globalprotect -portals-agent-configuration-tab/globalprotect -门户代理-app -标签
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGW6CAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language