Freigeben über


Problembehandlung beim Client für den globalen sicheren Zugriff: Registerkarte „Integritätsprüfung“

Dieses Dokument enthält eine Anleitung zur Fehlerbehebung für den Client für den globalen sicheren Zugriff, die Sie über die Registerkarte Integritätsprüfung im Dienstprogramm „Erweiterte Diagnose“ aufrufen können.

Einführung

Die erweiterte Diagnose „Integritätsprüfung“ führt Tests durch, um zu überprüfen, ob der Client für den globalen sicheren Zugriff ordnungsgemäß funktioniert und ob seine Komponenten ausgeführt werden.

Ausführen der Integritätsprüfung

So führen Sie eine Integritätsprüfung für den Client für globalen sicheren Zugriff durch:

  1. Klicken Sie mit der rechten Maustaste auf das Symbol des Clients für den globalen sicheren Zugriff in der Taskleiste und wählen Sie Erweiterte Diagnose aus.
  2. Das Dialogfeld „Benutzerkontensteuerung“ wird geöffnet. Wählen Sie Ja, damit die Client-Anwendung Änderungen an Ihrem Gerät vornehmen kann.
  3. Wählen Sie im Dialogfeld Client für den globalen sicheren Zugriff – Erweiterte Diagnose die Registerkarte Integritätsprüfung. Wenn Sie die Registerkarte wechseln, wird die Integritätsprüfung ausgeführt.

Lösungsprozess

Die meisten Integritätsprüfungen sind voneinander abhängig. Wenn Überprüfungen fehlschlagen:

  1. Beheben Sie die erste fehlgeschlagene Überprüfung in der Liste.
  2. Wählen Sie Aktualisieren, um den aktualisierten Überprüfungsstatus anzuzeigen.
  3. Wiederholen Sie diesen Vorgang, bis Sie alle fehlgeschlagenen Überprüfungen auflösen. Screenshot der Registerkarte „Integritätsprüfung“ für den globalen sicheren Zugriff mit hervorgehobener Schaltfläche „Aktualisieren“.

Überprüfen der Ereignisanzeige

Im Rahmen der Problembehandlung kann es nützlich sein, die Ereignisanzeige für den Client für globalen sicheren Zugriff zu überprüfen. Das Protokoll enthält wertvolle Ereignisse in Bezug auf Fehler und deren Ursache.

  1. Navigieren Sie zu Systemsteuerung>System und Sicherheit>Windows-Tools.
  2. Starten Sie die Ereignisanzeige.
  3. Navigieren Sie zu Anwendungen und Dienstprotokolle>Microsoft>Windows>Client für den globalen sicheren Zugriff.
    1. Um Clientprotokolle anzuzeigen, wählen Sie Operational aus.
    2. Um Treiberprotokolle anzuzeigen, wählen Sie Kernel aus.

Integritätsüberprüfungen

Mit den folgenden Überprüfungen können Sie den Zustand des Clients für den globalen sicheren Zugriff überprüfen.

Das Gerät ist in Microsoft Entra eingebunden

Der Windows-Client authentifiziert den Benutzer und das Gerät bei Diensten für globalen sicheren Zugriff. Die Geräteauthentifizierung, die auf einem Gerätetoken basiert, setzt voraus, dass das Gerät entweder Microsoft Entra oder Microsoft Entra hybrid angeschlossen ist. Microsoft Entra registrierte Geräte werden derzeit nicht unterstützt. Um den Status Ihres Geräts zu überprüfen, geben Sie in der Eingabeaufforderung den folgenden Befehl ein: dsregcmd.exe /status. Screenshot der Eingabeaufforderung mit dem Gerätestatus, „AzureAdJoined: Ja“, hervorgehoben.

Kann mit dem Internet verbunden werden

Diese Überprüfung gibt an, ob das Gerät mit dem Internet verbunden ist. Der Client für den globalen sicheren Zugriff erfordert eine Internetverbindung. Dieser Test basiert auf der Funktion Netzwerkverbindungs-Statusanzeige (NCSI).

Tunneldienst wird ausgeführt

Der Dienst für den globalen sicheren Zugriff muss ausgeführt werden.

  1. Um zu überprüfen, ob dieser Dienst ausgeführt wird, geben Sie den folgenden Befehl in der Eingabeaufforderung ein:
    sc query GlobalSecureAccessTunnelingService
  2. Wenn der Dienst für den globalen sicheren Zugriff nicht ausgeführt wird, starten Sie ihn über die services.msc.
  3. Wenn der Dienst nicht gestartet werden kann, suchen Sie nach Fehlern in der Ereignisanzeige.

Moduldienst wird ausgeführt

Der Moduldienst für den globalen sicheren Zugriff muss ausgeführt werden.

  1. Um zu überprüfen, ob dieser Dienst ausgeführt wird, geben Sie den folgenden Befehl an der Eingabeaufforderung ein:
    sc query GlobalSecureAccessEngineService
  2. Wenn der Moduldienst für den globalen sicheren Zugriff nicht ausgeführt wird, starten Sie ihn über services.msc.
  3. Wenn der Dienst nicht gestartet werden kann, suchen Sie nach Fehlern in der Ereignisanzeige.

Abruf-Service der Richtlinie wird ausgeführt

Der Richtlinien-Abrufdienst für den globalen sicheren Zugriff muss ausgeführt werden.

  1. Um zu überprüfen, ob dieser Dienst ausgeführt wird, geben Sie den folgenden Befehl in der Eingabeaufforderung ein:
    sc query GlobalSecureAccessPolicyRetrieverService
  2. Wenn der Abruf-Service der Richtlinie für Globalen sicheren Zugriff nicht ausgeführt wird, starten Sie ihn über die services.msc.
  3. Wenn der Dienst nicht gestartet werden kann, suchen Sie nach Fehlern in der Ereignisanzeige.

Treiber wird ausgeführt

Der Treiber für den globalen sicheren Zugriff muss ausgeführt werden. Um zu überprüfen, ob dieser Dienst ausgeführt wird, geben Sie den folgenden Befehl in der Eingabeaufforderung ein:
sc query GlobalSecureAccessDriver

Falls der Treiber nicht ausgeführt wird:

  1. Öffnen Sie die Ereignisanzeige und suchen Sie im Client-Protokoll für globalen sicheren Zugriff nach Ereignis 304.
  2. Wenn der Treiber nicht ausgeführt wird, starten Sie den Computer neu.
  3. Führen Sie den Befehl sc query GlobalSecureAccessDriver erneut aus.
  4. Wenn das Problem weiterhin besteht, installieren Sie den Client für den globalen sicheren Zugriff neu.

Client-Tray-Anwendung wird ausgeführt

Der Prozess GlobalSecureAccessClient.exe führt die Client-UX in der Taskleiste aus. Wenn Sie das Symbol für den globalen sicheren Zugriff nicht in der Taskleiste finden, können Sie es über den folgenden Pfad ausführen:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Die Weiterleitungsprofilregistrierung ist vorhanden

Dieser Test überprüft, ob der folgende Registrierungsschlüssel vorhanden ist:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Wenn der Registrierungsschlüssel nicht vorhanden ist, versuchen Sie, das Abrufen der Weiterleitungsrichtlinie zu erzwingen:

  1. Löschen Sie den Registrierungsschlüssel Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp, falls vorhanden.
  2. Starten Sie den Dienst Global Secure Access Policy Retriever Service neu.
  3. Überprüfen Sie, ob die beiden Registrierungsschlüssel erstellt werden.
  4. Falls nicht, suchen Sie nach Fehlern in der Ereignisanzeige.

Weiterleitungsprofil stimmt mit dem erwarteten Schema überein

Dieser Test überprüft, ob das Weiterleitungsprofil in der Registrierung über ein gültiges Format verfügt, das der Client lesen kann.

Wenn dieser Test fehlschlägt, stellen Sie sicher, dass Sie das aktuellste Weiterleitungsprofil Ihres Mandanten verwenden, indem Sie die folgenden Schritte ausführen:

  1. Löschen Sie die folgenden Registrierungsschlüssel:
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
    • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
  2. Starten Sie den Dienst Global Secure Access Policy Retriever Service neu.
  3. Starten Sie den Client für den globalen sicheren Zugriff neu.
  4. Führen Sie die Integritätsprüfung erneut aus.
  5. Wenn die vorherigen Schritte das Problem nicht lösen, aktualisieren Sie den Client für den globalen sicheren Zugriff auf die neueste Version.
  6. Wenn das Problem weiterhin besteht, wenden Sie sich an den Microsoft-Support.

Unterbrechungsmodus deaktiviert

Der Unterbrechungsmodus verhindert, dass der Client für den globalen sicheren Zugriff Netzwerkverkehr zum Clouddienst für den globalen sicheren Zugriff tunnelt. Im Unterbrechungsmodus sind alle Datenverkehrsprofile im Portal für globalen sicheren Zugriff deaktiviert und der Client für globalen sicheren Zugriff tunnelt keinen Datenverkehr.

So legen Sie fest, dass der Client Datenverkehr erfasst und diesen an den globalen sicheren Zugriff weiterleitet:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Mandantenadministrator an.
  2. Navigieren Sie zum globalen sicheren Zugriff Zugang>Verbindung>Datenverkehrsweiterleitung.
  3. Aktivieren Sie mindestens eines der Datenverkehrsprofile, die den Anforderungen Ihrer Organisation entsprechen.

Der Client für den globalen sicheren Zugriff sollte das aktualisierte Weiterleitungsprofil innerhalb einer Stunde erhalten, nachdem Sie die Änderungen im Portal vorgenommen haben.

Diagnose-URLs im Weiterleitungsprofil

Für jeden Kanal, der im Weiterleitungsprofil aktiviert ist, überprüft dieser Test, ob die Konfiguration eine URL enthält, um die Integrität des Diensts zu überprüfen.

Um den Integritätsstatus anzuzeigen, doppelklicken Sie auf das Taskleistensymbol des globalen Clients für den sicheren Zugriff. Screenshot des Client-Taskleistensymbols für den globalen sicheren Zugriff zusammen mit dem aktuellen Status von „Verbunden“.

Wenn dieser Test fehlschlägt, liegt es in der Regel an einem internen Problem mit dem globalen sicheren Zugriff. Wenden Sie sich an den Microsoft-Support.

Authentifizierungszertifikat vorhanden

Dieser Test überprüft, ob auf dem Gerät ein Zertifikat für die mTLS-Verbindung (Mutual Transport Layer Security) mit dem Cloud-Dienst für globalen sicheren Zugriff vorhanden ist.

Tipp

Dieser Test wird nicht angezeigt, wenn mTLS für Ihren Mandanten noch nicht aktiviert ist.

Wenn dieser Test fehlschlägt, registrieren Sie sich bei einem neuen Zertifikat, indem Sie die folgenden Schritte ausführen:

  1. Starten Sie die Microsoft Management-Konsole, indem Sie in der Eingabeaufforderung den folgenden Befehl eingeben: certlm.msc.
  2. Navigieren Sie im Fenster certlm zu Persönlich>Zertifikate.
  3. Löschen Sie das Zertifikat, das mit gsa.client endet, falls vorhanden. Screenshot der Liste der Zertifikate, in der das gsa.client-Zertifikat hervorgehoben ist.
  4. Löschen Sie die folgenden Registrierungsschlüssel:
    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
  5. Starten Sie den Moduldienst für den globalen sicheren Zugriff in der Dienste-MMC neu.
  6. Aktualisieren Sie die MMC für Zertifikate, um zu überprüfen, ob ein neues Zertifikat erstellt wurde.
    Die Bereitstellung eines neuen Zertifikats kann einige Minuten dauern.
  7. Überprüfen Sie das Ereignisprotokoll des Clients für globalen sicheren Zugriff auf Fehler.
  8. Führen Sie die Integritätsprüfungen erneut aus.

Authentifizierungszertifikat ist gültig

Dieser Test prüft, ob das für die mTLS-Verbindung mit dem Cloud-Dienst vom globalen sicheren Zugriff verwendete Authentifizierungszertifikat gültig ist.

Tipp

Dieser Test wird nicht angezeigt, wenn mTLS für Ihren Mandanten noch nicht aktiviert ist.

Wenn dieser Test fehlschlägt, registrieren Sie sich bei einem neuen Zertifikat, indem Sie die folgenden Schritte ausführen:

  1. Starten Sie die Microsoft Management-Konsole, indem Sie in der Eingabeaufforderung den folgenden Befehl eingeben: certlm.msc.
  2. Navigieren Sie im Fenster certlm zu Persönlich>Zertifikate.
  3. Löschen Sie das Zertifikat, das mit gsa.client endet. Screenshot der Liste der Zertifikate, in der das gsa.client-Zertifikat hervorgehoben ist.
  4. Löschen Sie die folgenden Registrierungsschlüssel:
    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
  5. Starten Sie den Moduldienst für den globalen sicheren Zugriff in der Dienste-MMC neu.
  6. Aktualisieren Sie die MMC für Zertifikate, um zu überprüfen, ob ein neues Zertifikat erstellt wurde.
    Die Bereitstellung eines neuen Zertifikats kann einige Minuten dauern.
  7. Überprüfen Sie das Ereignisprotokoll des Clients für globalen sicheren Zugriff auf Fehler.
  8. Führen Sie die Integritätsprüfungen erneut aus.

DNS über HTTPS wird nicht unterstützt

Damit der Client für den globalen sicheren Zugriff den Netzwerkverkehr nach einem vollständig qualifizierten Domänennamen (FQDN) (im Gegensatz zu einem IP-Ziel) erfassen kann, muss der Client die DNS-Anfragen lesen, die das Gerät an den DNS-Server sendet. Wenn das Weiterleitungsprofil FQDN-Regeln enthält, müssen Sie DNS über HTTPS deaktivieren.

Secure DNS im Betriebssystem deaktiviert

Um DNS über HTTPS in Windows zu deaktivieren, lesen Sie Secure DNS Client über HTTPS (DoH).

Wichtig

Sie müssen DNS über HTTPS deaktivieren, um die Integritätsprüfung des Clients für den globalen sicheren Zugriff erfolgreich durchzuführen.

Secure DNS in Browsern deaktiviert (Microsoft Edge, Chrome, Firefox)

Überprüfen Sie, ob Secure DNS für jeden der folgenden Browser deaktiviert ist:

Secure DNS in Microsoft Edge deaktiviert

So deaktivieren Sie DNS über HTTPS in Microsoft Edge:

  1. Starten Sie Microsoft Edge.
  2. Öffnen Sie das Menü Einstellungen und mehr und wählen Sie Einstellungen.
  3. Wählen Sie Datenschutz, Suche und Dienste.
  4. Legen Sie im Abschnitt Sicherheit den Schalter Sicheres DNS verwenden, um anzugeben, wie die Netzwerkadresse für Websites nachgeschlagen werden soll auf „Aus“ fest.
Secure DNS in Chrome deaktiviert

So deaktivieren Sie DNS über HTTPS in Google Chrome:

  1. Öffnen Sie Chrome.
  2. Wählen Sie Google Chrome anpassen und steuern und wählen Sie dann Einstellungen.
  3. Wählen Sie Datenschutz und Sicherheit.
  4. Wählen Sie Sicherheit aus.
  5. Setzen Sie im Abschnitt Erweitert den Schalter Secure DNS verwenden auf „Aus“.
Secure DNS in Firefox deaktiviert

So deaktivieren Sie DNS über HTTPS in Mozilla Firefox:

  1. Öffnen Sie Firefox.
  2. Wählen Sie die Schaltfläche Anwendungsmenü öffnen und wählen Sie dann Einstellungen.
  3. Wählen Sie Datenschutz und Sicherheit.
  4. Im Abschnitt DNS über HTTPS wählen Sie Aus.

DNS-Reaktionsfähigkeit

Dieser Test überprüft, ob der für Windows konfigurierte DNS-Server eine DNS-Antwort zurückgibt.

Falls dieser Test fehlschlägt:

  1. Halten Sie den Client für den globalen sicheren Zugriff an.
  2. Prüfen Sie, ob der für Windows konfigurierte DNS-Server erreichbar ist. Versuchen Sie zum Beispiel, „microsoft.com“ mit dem Tool nslookup aufzulösen.
  3. Vergewissern Sie sich, dass keine Firewalls den Verkehr zum DNS-Server blockieren.
  4. Konfigurieren Sie einen alternativen DNS-Server und testen Sie erneut.
  5. Setzen Sie den Client für den globalen sicheren Zugriff fort.

Magic IP erhalten

Diese Prüfung stellt sicher, dass der Client in der Lage ist, Datenverkehr von einem vollständig qualifizierten Domänennamen (FQDN) zu empfangen.

Falls dieser Test fehlschlägt:

  1. Starten Sie den Client neu und testen Sie erneut.
  2. Starte Windows neu. Dieser Schritt kann in seltenen Fällen notwendig sein, um den volatilen Cache zu löschen.

Zwischengespeicherter Token

Dieser Test überprüft, ob der Client erfolgreich bei Microsoft Entra authentifiziert wurde.

Wenn der zwischengespeicherte Tokentest fehlschlägt:

  1. Überprüfen Sie, ob die Dienste und der Treiber laufen.
  2. Stellen Sie sicher, dass das Taskleistensymbol sichtbar ist.
  3. Wenn die Anmeldebestätigung erscheint, wählen Sie Anmelden.
  4. Wenn die Anmeldebenachrichtigung nicht erscheint, überprüfen Sie, ob sie in der Mitteilungszentrale vorhanden ist und wählen Sie Anmelden.
  5. Melden Sie sich als Benutzer an, der Mitglied beim selben Microsoft Entra-Mandanten ist, dem das Gerät beigetreten ist.
  6. Überprüfen Sie die Netzwerkverbindung.
  7. Bewegen Sie den Mauszeiger über das Symbol in der Taskleiste und vergewissern Sie sich, dass der Client von Ihrer Organisation nicht deaktiviert wurde.
  8. Starten Sie den Client neu, und warten Sie einige Sekunden.
  9. Suchen Sie in der Ereignisanzeige nach Fehlern.

IPv4 bevorzugt

Der globale sichere Zugriff unterstützt noch keine Datenerfassung für Ziele mit IPv6-Adressen. Es wird empfohlen, den Client so zu konfigurieren, dass IPv4 gegenüber IPv6 bevorzugt wird, wenn Folgendes zutrifft:

  1. Das Weiterleitungsprofil ist so festgelegt, dass der Datenverkehr über IPv4 (im Gegensatz zu FQDN) erfasst wird.
  2. Der FQDN, der zu dieser IP aufgelöst wird, ist auch in einer IPv6-Adresse aufgelöst.

Um den Client so zu konfigurieren, dass IPv4 über IPv6 bevorzugt wird, legen Sie den folgenden Registrierungsschlüssel fest:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Wichtig

Änderungen an diesem Registrierungswert erfordern einen Neustart des Computers. Weitere Informationen finden Sie unter Anleitung zur Konfiguration von IPv6 in Windows für fortgeschrittene Benutzende.

Edgehostname durch DNS aufgelöst

Dieser Test prüft alle aktiven Datenverkehrstypen: Microsoft 365, Privater Zugriff, und Internetzugriff. Wenn dieser Test fehlschlägt, kann das DNS die Hostnamen des Cloud-Dienstes für globalen sicheren Zugriff nicht auflösen, wodurch der Dienst nicht erreichbar ist. Dieser fehlgeschlagene Test könnte auf ein Problem mit der Internetverbindung oder einen DNS-Server zurückzuführen sein, der öffentliche Internet-Hostnamen nicht auflöst.

So überprüfen Sie, ob die Hostnamenauflösung ordnungsgemäß funktioniert:

  1. Halten Sie den Client an.
  2. Führen Sie den folgenden PowerShell-Befehl aus: Resolve-DnsName -Name <edge's FQDN>
  3. Wenn die Hostnamenauflösung fehlschlägt, versuchen Sie, Folgendes auszuführen: Resolve-DnsName -Name microsoft.com
  4. Stellen Sie sicher, dass die DNS-Server für diesen Computer konfiguriert sind: ipconfig /all
  5. Wenn das Problem durch die vorherigen Schritte nicht behoben wird, sollten Sie einen anderen öffentlichen DNS-Server festlegen.

Edge ist erreichbar

Dieser Test prüft alle aktiven Datenverkehrstypen: Microsoft 365, Privater Zugriff, und Internetzugriff. Wenn dieser Test fehlschlägt, verfügt das Gerät nicht über eine Netzwerkverbindung zum Clouddienst für globalen sicheren Zugriff.

Falls dieser Test fehlschlägt:

  1. Überprüfen Sie, ob das Gerät über eine Internetverbindung verfügt.
  2. Vergewissern Sie sich, dass die Verbindung zu Edge nicht durch die Firewall oder den Proxy blockiert wird.
  3. Stellen Sie sicher, dass IPv4 auf dem Gerät aktiv ist. Derzeit funktioniert der Edge nur mit einer IPv4-Adresse.
  4. Stoppen Sie den Client und versuchen Sie es erneut Test-NetConnection -ComputerName <edge's fqdn> -Port 443.
  5. Versuchen Sie den PowerShell-Befehl von einem anderen Gerät aus, das über ein öffentliches Netzwerk mit dem Internet verbunden ist.

Proxy deaktiviert

Mit diesem Test wird überprüft, ob der Proxy auf dem Gerät konfiguriert ist. Wenn das Endbenutzergerät so konfiguriert ist, dass es einen Proxy für ausgehenden Datenverkehr ins Internet verwendet, müssen Sie die Ziel-IPs/FQDNs ausschließen, die vom Client mit einer PAC-Datei (Proxy Auto-Configuration) oder mit dem WPAD-Protokoll (Web Proxy Auto-Discovery) abgerufen werden.

Ändern der PAC-Datei

Fügen Sie die IPs/FQDNs, die für den globalen sicheren Zugriff getunnelt werden sollen, als Ausschlüsse in die PAC-Datei ein, damit HTTP-Anfragen für diese Ziele nicht zum Proxy umgeleitet werden. (Diese IPs/FQDNs werden auch auf den globalen sicheren Zugriff im Weiterleitungsprofil tunneln.) Um den Integritätsstatus des Clients ordnungsgemäß anzuzeigen, fügen Sie den FQDN, der für die Integritätsüberprüfung verwendet wird, zur Ausschlussliste hinzu: .edgediagnostic.globalsecureaccess.microsoft.com

Beispiel einer PAC-Datei mit Ausschlüssen:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Hinzufügen einer Systemvariable

Konfigurieren des Clients für globalen sicheren Zugriff, um den Datenverkehr des globalen sicheren Zugriffs über einen Proxy zu leiten:

  1. Legen Sie in Windows eine Systemumgebungsvariable mit dem Namen grpc_proxy auf den Wert der Proxy-Adresse fest. Beispiel: http://10.1.0.10:8080.
  2. Starten Sie den Client für den globalen sicheren Zugriff neu.

Kein externer virtueller Hyper-V-Switch erkannt

Unterstützung für Hyper-V:

  1. Externer virtueller Switch: Der Windows-Client für den globalen sicheren Zugriff unterstützt derzeit keine Hostcomputer mit einem externen virtuellen Hyper-V-Switch. Der Client kann jedoch auf den virtuellen Computern installiert werden, um den Datenverkehr für den globalen sicheren Zugriff zu tunneln.
  2. Interner virtueller Switch: Der Windows-Client für den globalen sicheren Zugriff kann auf Host- und Gastcomputern installiert werden. Der Client tunnelt nur den Netzwerkdatenverkehr des Computers, auf dem er installiert ist. Anders ausgedrückt: Ein auf einem Hostcomputer installierter Client tunnelt nicht den Netzwerkdatenverkehr der Gastcomputer.

Der Windows-Client für den globalen sicheren Zugriff unterstützt Azure Virtual Machines.

Der Windows-Client für den globalen sicheren Zugriff unterstützt Azure Virtual Desktop (AVD).

Hinweis

AVD-Mehrfachsitzungen werden nicht unterstützt.

Tunneln erfolgreich

Dieser Test überprüft jedes aktive Datenverkehrsprofil im Weiterleitungsprofil (Microsoft 365, Privater Zugriff und Internetzugriff), um sicherzustellen, dass Verbindungen zum Integritätsdienst des entsprechenden Kanals erfolgreich getunnelt werden.

Falls dieser Test fehlschlägt:

  1. Überprüfen Sie die Ereignisanzeige auf Fehler.
  2. Starten Sie den Client neu und versuchen Sie es erneut.

Globale Prozesse für den sicheren Zugriff fehlerfrei (letzte 24 h)

Wenn dieser Test fehlschlägt, bedeutet dies, dass mindestens ein Prozess des Clients in den letzten 24 Stunden abgestürzt ist.

Wenn alle anderen Tests bestehen, sollte der Client derzeit funktionieren. Es kann jedoch hilfreich sein, die Prozessabbilddatei zu untersuchen, um die zukünftige Stabilität zu erhöhen und besser zu verstehen, warum der Prozess abgestürzt ist.

So untersuchen Sie die Prozessabbilddatei, wenn ein Prozess abstürzt:

  1. Konfigurieren von Benutzermodusabbildern:
    • Fügen Sie den folgenden Registrierungsschlüssel hinzu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
    • Fügen Sie einen REG_SZ DumpFolder-Registrierungswert hinzu und legen Sie dessen Daten auf den vorhandenen DumpFolder fest, in dem Sie die Dumpdatei speichern möchten.
  2. Reproduzieren Sie das Problem, um eine neue Dumpdatei im ausgewählten DumpFolder zu erstellen.
  3. Eröffnen Sie ein Ticket für den Microsoft-Support und fügen Sie die Speicherabbilddatei und die Schritte zur Reproduktion des Problems bei.
  4. Überprüfen Sie die Protokolle der Ereignisanzeige und filtern Sie nach Absturzereignissen (Aktuelle Protokolle filtern: Ereignis-ID = 1000). Screenshot der Ereignisanzeige mit einer gefilterten Protokollliste.
  5. Speichern Sie das gefilterte Protokoll als Datei, und fügen Sie die Protokolldatei an das Supportticket an.

QUIC wird für den Internetzugriff nicht unterstützt

Da QUIC noch nicht für den Internetzugriff unterstützt wird, kann der Datenverkehr zu den Ports 80 UDP und 443 UDP nicht getunnelt werden.

Tipp

QUIC wird derzeit im privaten Zugriff und Microsoft 365-Workloads unterstützt.

Administrierende können das QUIC-Protokoll deaktivieren, sodass Clients auf HTTPS über TCP zurückgreifen, was im Internetzugriff vollständig unterstützt wird.

QUIC in Microsoft Edge deaktiviert

So deaktivieren Sie QUIC in Microsoft Edge:

  1. Öffnen Sie Microsoft Edge.
  2. Fügen Sie edge://flags/#enable-quic in die Adressleiste ein.
  3. Setzen Sie das Dropdown-Menü Experimentelles QUIC-Protokoll auf Deaktiviert.

QUIC in Chrome deaktiviert

So deaktivieren Sie QUIC in Google Chrome:

  1. Öffnen Sie Google Chrome.
  2. Fügen Sie chrome://flags/#enable-quic in die Adressleiste ein.
  3. Setzen Sie das Dropdown-Menü Experimentelles QUIC-Protokoll auf Deaktiviert.

QUIC deaktiviert in Mozilla Firefox

So deaktivieren Sie QUIC in Mozilla Firefox:

  1. Öffnen Sie Firefox.
  2. Fügen Sie about:config in die Adressleiste ein.
  3. In das Feld Name der Suchvoreinstellung fügen Sie network.http.http3.enable ein.
  4. Setzen Sie die Option network.http.http3.enable auf false.