Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся рекомендации по устранению неполадок для клиента глобального безопасного доступа для Windows. Он изучает каждую вкладку служебной программы расширенной диагностики.
Введение
Клиент Глобального безопасного доступа выполняется в фоновом режиме, маршрутизация соответствующего сетевого трафика в глобальный безопасный доступ без необходимости взаимодействия с пользователем. Используйте средство расширенной диагностики, чтобы получить представление о поведении клиента и эффективно устранять неполадки.
Запустите расширенное средство диагностики
Существует два способа запуска средства расширенной диагностики:
- Щелкните правой кнопкой мыши по значку клиента Глобального безопасного доступа в области уведомлений.
- Выберите "Расширенная диагностика". Если этот параметр включен, управление учетными записями пользователей (UAC) предложит повысить привилегии.
или
- Щелкните значок клиента Глобального безопасного доступа в области уведомлений.
- Перейдите в представление "Устранение неполадок ".
- В разделе "Дополнительное средство диагностики" выберите "Запустить".
Вкладка «Обзор»
На вкладке "Обзор расширенной диагностики" отображаются общие сведения о конфигурации клиента Глобального безопасного доступа:
- Имя пользователя: имя UPN (имя основного пользователя) Microsoft Entra для пользователя, прошедшего аутентификацию на клиенте.
- Идентификатор устройства: идентификатор устройства в Microsoft Entra. Устройство должно быть присоединено к клиенту.
- Идентификатор клиента: идентификатор клиента, на который указывает клиент, который является тем же клиентом, к которому присоединено устройство.
- Идентификатор профиля пересылки: идентификатор профиля пересылки, используемый клиентом.
- Последняя проверка профиля пересылки: время, когда клиент в последний раз проверял обновленный профиль пересылки.
- Версия клиента: версия клиента Глобального безопасного доступа, которая в настоящее время установлена на устройстве.
Вкладка проверки состояния
Вкладка проверки работоспособности выполняет общие тесты, чтобы убедиться, что клиент и его компоненты работают правильно. Дополнительные сведения см. в разделе "Устранение неполадок клиента глобального безопасного доступа: вкладка проверки работоспособности".
Вкладка "Пересылка профиля"
На вкладке "Профиль пересылки" отображается список активных правил, заданных для профиля пересылки. Вкладка содержит следующие сведения:
- Идентификатор профиля пересылки: идентификатор профиля пересылки, используемый клиентом.
- Последняя проверка профиля пересылки: время, когда клиент последний раз проверял обновленный профиль пересылки.
- Сведения об обновлении. Выберите, чтобы перезагрузить данные пересылки из кэша клиента, если оно было обновлено с момента последнего обновления.
- Средство тестирования политик: выберите, чтобы показать активное правило для подключения к определенному пункту назначения.
- Добавление фильтра. Выберите, чтобы задать фильтры, чтобы увидеть только подмножество правил в соответствии с определенным набором свойств фильтра.
- Столбцы: выберите, какие столбцы будут отображаться в таблице.
В разделе правил перечислены правила, сгруппированные по рабочим нагрузкам (правила M365, правила частного доступа, правила доступак Интернету). Этот список содержит только правила для рабочих нагрузок, активированных в клиенте.
Совет
Если правило включает несколько назначений, например полное доменное имя (FQDN) или диапазон IP-адресов, правило охватывает несколько строк с одной строкой на место назначения.
Для каждого правила доступные столбцы включают:
- Приоритет: приоритет правила. Правила с более высоким приоритетом (меньшее числовое значение) имеют приоритет над правилами с более низким приоритетом.
- Назначение (IP/FQDN): назначение трафика по полному доменному имени или по IP-адресу.
- Протокол: сетевой протокол для трафика: TCP или UDP.
- Порт: конечный порт трафика.
- Действие: действие, которое клиент принимает, когда исходящий трафик соответствует назначению, протоколу и порту. Поддерживаемые действия — туннель (маршрут к глобальному безопасному доступу) или обход (перейдите непосредственно в место назначения).
- Укрепление: действие, когда трафик должен быть туннелирован (перенаправлен в глобальный безопасный доступ), но подключение к облачной службе завершается сбоем. Поддерживаемые действия защиты — это блокировка (разрыв подключения) или обход (разрешение подключения напрямую к сети).
- Идентификатор правила: уникальный идентификатор правила в профиле переадресации.
- Идентификатор приложения: идентификатор частного приложения, связанного с правилом. Этот столбец относится только к частным приложениям.
Вкладка "Приобретение имени узла"
Вкладка "Приобретение имени узла" позволяет собирать динамический список приобретенных клиентом имен узлов на основе правил FQDN в профиле пересылки. Каждое имя узла отображается в новой строке.
- Начало сбора: выберите, чтобы начать онлайн сбор получаемых имен узлов.
- Экспорт CSV: выберите, чтобы экспортировать список приобретенных имен узлов в CSV-файл.
- Очистить таблицу: выберите, чтобы очистить приобретенные имена узлов, отображаемые в таблице.
- Добавить фильтр: Выберите, чтобы фильтровать приобретенные имена узлов по определенным свойствам.
- Столбцы: выберите столбцы для отображения в таблице.
Для каждого имени узла доступные столбцы включают:
- Отметка времени: дата и время получения FQDN hostname.
- FQDN: Полное доменное имя полученного хоста.
- Созданный IP-адрес: IP-адрес, созданный клиентом для внутренних целей. Этот IP-адрес отображается на вкладке трафика для подключений, установленных к соответствующему полному доменному имени.
- Приобретено: показывает "Да " или "Нет ", чтобы указать, соответствует ли полное доменное имя правилу в профиле пересылки.
- Исходный IP-адрес: первый IPv4-адрес в ответе DNS на запрос для полностью квалифицированного доменного имени. Если DNS-сервер dns устройства конечного пользователя не возвращает IPv4-адрес для запроса, исходный столбец IP-адресов пуст.
Вкладка "Трафик"
Вкладка трафика позволяет собирать динамический список подключений, открытых устройством на основе правил в профиле пересылки. Каждое подключение отображается в новой строке.
- Начните сбор: выберите для начала живую коллекцию подключений.
- Экспорт CSV: выберите, чтобы экспортировать список подключений к CSV-файлу.
- Очистить таблицу: выберите, чтобы очистить подключения, отображаемые в таблице.
- Добавление фильтра. Выберите, чтобы задать фильтры и просмотреть подмножество подключений на основе определенных свойств фильтра.
- Столбцы: выберите столбцы для отображения в таблице.
Для каждого подключения доступные столбцы включают:
- Начало метки времени: время, когда операционная система открыла подключение.
- Окончание временной метки: время, когда операционная система закрыла подключение.
- Состояние подключения: указывает, активен ли подключение или уже закрыто.
- Протокол: сетевой протокол для подключения; TCP или UDP.
- Полное доменное имя назначения: полное доменное имя назначения для подключения.
- Исходный порт: исходный порт для подключения.
- Ip-адрес назначения: конечный IP-адрес для подключения.
- Порт назначения: конечный порт для подключения.
- Идентификатор вектора корреляции: уникальный идентификатор, связанный с каждым подключением, которое можно сопоставить с журналами трафика глобального безопасного доступа на портале. служба поддержки Майкрософт также может использовать этот идентификатор для изучения внутренних журналов, связанных с определенным подключением.
- Имя процесса: имя процесса, открывшего соединение.
- Идентификатор процесса: идентификатор процесса для процесса, открывшего подключение.
- Байты отправлены: количество байтов, отправляемых с устройства в место назначения.
- Полученные байты: количество байтов, полученных устройством из назначения.
- Канал: канал, к которому было туннелировано подключение; может быть Microsoft 365, частный доступ или Доступ к Интернету.
- Идентификатор потока: внутренний номер идентификатора подключения.
- идентификатор правила: идентификатор правила профиля пересылки, который используется для определения действий для этого соединения.
-
Действие: действия, которые были приняты для этого подключения; возможные действия:
- Туннель: клиент туннелировал подключение к службе глобального безопасного доступа в облаке.
- Обход: Подключение осуществляется непосредственно к месту назначения по сети устройства без вмешательства клиента.
- Блокировать: клиент заблокировал подключение (возможно только в режиме жесткой защиты).
- Укрепление: указывает, применяется ли это к соединению; может быть Да или Нет. Защита применяется, если служба глобального безопасного доступа недоступна с устройства.
Вкладка "Расширенная коллекция журналов"
Вкладка расширенной коллекции журналов позволяет собирать подробные журналы клиента, операционных систем и сетевого трафика в определенный период. Журналы архивируются в ZIP-файле, который можно отправить администратору или службе поддержки Майкрософт для расследования.
- Начать запись: выберите, чтобы начать запись подробных логов. Воссоздать проблему во время записи. Если проблема не возникает, собирайте логи, пока она не появится. Сбор журналов включает в себя несколько часов активности Global Secure Access.
- Остановите запись: после воспроизведения проблемы нажмите эту кнопку, чтобы остановить запись и сохранить собранные журналы в ZIP-файл. Поделитесь ZIP-файлом со службой поддержки для помощи в устранении неполадок.
При остановке расширенной коллекции журналов откроется папка, содержащая файлы журнала. По умолчанию папка — C:\Program Files\Global Secure Access Client\Logs. Папка содержит ZIP-файл и два файла журнала трассировки событий (ETL). При необходимости вы можете удалить ZIP-файлы после устранения проблем. Рекомендуется оставить файлы ETL, так как они циклические журналы, и их удаление может создать проблемы с будущей коллекцией журналов.
Собираются следующие файлы:
| Файл | Описание |
|---|---|
| Ошибка-приложения.evtx | Журнал приложений, отфильтрованный по идентификатору события 1001. Этот журнал полезен при сбое служб. |
| BindingNetworkDrivers.txt | Результат "Get-NetAdapterBinding -AllBindings -IncludeHidden", показывающий все модули, привязанные к сетевым адаптерам. Эти выходные данные полезны для определения того, привязаны ли драйверы, отличные от Майкрософт, к сетевому стеку. |
| ClientChecker.log | Результаты проверок работоспособности клиента Global Secure Access. Эти результаты проще анализировать при загрузке ZIP-файла в клиенте Глобального безопасного доступа. См. статью "Анализ журналов клиентов глобального безопасного доступа" на другом устройстве, отличном от того, где они были собраны. |
| DeviceInformation.log | Переменные среды, включая версию ОС и версию клиента Global Secure Access. |
| dsregcmd.txt | Вывод dsregcmd /status, отображающий состояние устройства, включая Microsoft Entra Joined, Hybrid Joined, сведения о PRT и сведения о Windows Hello для бизнеса. |
| filterDriver.txt | Фильтры платформы фильтрации Windows |
| ForwardingProfile.json | Политика JSON, доставленная клиенту системы глобального безопасного доступа. Политика включает пограничный IP-адрес службы глобального безопасного доступа, к которому подключается ваш клиент (*.globalsecureaccess.microsoft.com), и правила профиля пересылки. |
| GlobalSecureAccess-Boot-Trace.etl | Ведение журнала отладки клиента глобального безопасного доступа |
| Несколько файлов .reg | Экспорт реестра клиентов Global Secure Access |
| Хозяева | Файл узла |
| installedPrograms.txt | Установленные приложения Windows, которые могут быть полезны для понимания причин возникновения проблем. |
| ipconfig.txt | Вывод команды Ipconfig /all, включая IP-адрес и DNS-серверы, назначенные устройству. |
| Kerberos_info.txt | Выходные данные klist, klist tgt и klist cloud_debug. Эти выходные данные полезны для устранения неполадок kerberos и единого входа в Windows Hello для бизнеса. |
| LogsCollectorLog.log и LogsCollectorLog.log.x | Журналы для самого процесса сборщика журналов. Эти логи полезны, если у вас возникли проблемы со сбором логов Global Secure Access. |
| Несколько файлов .evtx | Экспорт нескольких журналов событий Windows. |
| NetworkInformation.log | Результаты выполнения команды route print, таблица политики разрешения имен (NRPT) и результаты теста задержки подключения Global Secure Access. Эти выходные данные полезны для устранения проблем NRPT. |
| RunningProcesses.log | Запущенные процессы |
| systeminfo.txt | Сведения о системе, включая аппаратные, версии ОС и исправления. |
| systemWideProxy.txt | Результат выполнения команды «netsh winhttp show proxy» |
| пользовательски настраиваемый прокси | Отображение параметров прокси-сервера в реестре |
| userSessions.txt | Список сеансов пользователя |
| DNSClient.etl | Журналы DNS-клиента. Эти журналы полезны для диагностики проблем с разрешением DNS. Откройте с помощью средства просмотра журнала событий или отфильтруйте имена, интересующие вас, с помощью PowerShell: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView |
| InternetDebug.etl | Журналы, собранные с помощью команды "netsh trace start scenario=internetClient_dbg capture=yes persistent=yes". |
| NetworkTrace.etl | Сетевой захват, сделанный с помощью pktmon |
| NetworkTrace.pcap | Запись сети, включая трафик внутри туннеля |
| NetworkTrace.txt | Отслеживание Pkmon в текстовом формате |
| wfplog.cab | Журналы фильтрационной платформы Windows |
Полезные фильтры анализатора сетевого трафика
В некоторых случаях необходимо исследовать трафик в туннеле службы глобального безопасного доступа. По умолчанию запись сети отображает только зашифрованный трафик. Вместо этого анализируйте запись сети, созданную расширенной коллекцией журналов Global Secure Access в анализаторе сетевого трафика.
Анализ журналов клиентов Global Secure Access на устройстве, отличном от того, где они были собраны
Возможно, вам потребуется использовать собственное устройство для анализа данных, собираемых пользователями. Чтобы проанализировать собранные пользователем данные, откройте клиент Global Secure Access на устройстве, откройте средство расширенной диагностики и выберите значок папки справа от строки меню. Здесь можно перейти к ZIP-файлу или файлу GlobalSecureAccess-Trace.etl. Загрузка ZIP-файла также загружает сведения, включая идентификатор клиента, идентификатор устройства, версию клиента, проверку работоспособности и правила перенаправления профилей, как если бы вы устраняли неполадки локально на устройстве, используемом для сбора данных.