Устранение неполадок клиента глобального безопасного доступа: вкладка проверки работоспособности

Этот документ содержит рекомендации по устранению неполадок для клиента Глобального безопасного доступа с помощью вкладки проверки работоспособности в служебной программе advanced диагностика.

Введение

Проверка работоспособности расширенной диагностика выполняет тесты, чтобы убедиться, что клиент глобального безопасного доступа работает правильно и выполняется ли его компоненты.

Запуск проверки работоспособности

Чтобы выполнить проверку работоспособности клиента глобального безопасного доступа, выполните следующие действия.

1. Щелкните правой кнопкой мыши значок области клиентской системы глобального безопасного доступа и выберите "Расширенная диагностика".
2. Откроется диалоговое окно "Контроль учетных записей пользователей". Нажмите кнопку "Да" , чтобы разрешить клиентскому приложению вносить изменения на устройство.
3. В диалоговом окне "Глобальный безопасный доступ " Расширенный диагностика" выберите вкладку "Проверка работоспособности". Переключение вкладок выполняет проверку работоспособности.

Процесс разрешения

Большинство тестов проверки работоспособности зависят друг от друга. Если тесты завершаются ошибкой:

1. Устраните первый неудачный тест в списке.
2. Выберите "Обновить", чтобы просмотреть обновленное состояние теста.
3. Повторите, пока не устраните все неудачные тесты.

Проверьте Просмотр событий

В рамках процесса устранения неполадок можно проверить Просмотр событий для клиента глобального безопасного доступа. Журнал содержит ценные события, касающиеся ошибок и их причин.

1. Перейдите в раздел панель управления> System and Security>Windows Tools.
2. Запустите Просмотр событий.
3. Перейдите к журналам>приложений и служб Microsoft>Windows>Global Secure Access Client.
   1. Чтобы просмотреть журналы клиентов, выберите "Операционный".
   2. Чтобы просмотреть журналы драйверов, выберите "Ядро".

Тесты проверки работоспособности

Ниже приведены проверки работоспособности клиента глобального безопасного доступа.

Устройство присоединено к Microsoft Entra

Клиент Windows проверяет подлинность пользователя и устройства в сервисах глобального безопасного доступа. Для проверки подлинности устройства на основе маркера устройства требуется присоединение устройства к Microsoft Entra или гибридное присоединение к Microsoft Entra. Зарегистрированные устройства Microsoft Entra в настоящее время не поддерживаются. Чтобы проверить состояние устройства, введите следующую команду в командной строке: dsregcmd.exe /status

Может подключиться к Интернету

Эта проверка указывает, подключено ли устройство к Интернету. Для клиента глобального безопасного доступа требуется подключение к Интернету. Этот тест основан на функции индикатора состояния сетевого подключения (NCSI).

Запущенная служба туннелирования

Служба глобального туннелирования безопасного доступа должна выполняться.

1. Чтобы убедиться, что эта служба запущена, введите следующую команду в командной строке:
   sc query GlobalSecureAccessTunnelingService
2. Если служба глобального безопасного туннелирования доступа не запущена, запустите ее из .services.msc
3. Если служба не запускается, найдите ошибки в Просмотр событий.

Запущенная служба обработчика

Служба глобального механизма безопасного доступа должна быть запущена.

1. Чтобы убедиться, что эта служба запущена, введите следующую команду в командной строке:
   sc query GlobalSecureAccessEngineService
2. Если служба глобального механизма безопасного доступа не запущена, запустите ее с помощью модуля services.mscglobal Secure Access.
3. Если служба не запускается, найдите ошибки в Просмотр событий.

Запущенная служба извлекателя политик

Служба извлечения политики глобального безопасного доступа должна выполняться.

1. Чтобы убедиться, что эта служба запущена, введите следующую команду в командной строке:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Если служба извлечения политики глобального безопасного доступа не запущена, запустите ее из .services.msc
3. Если служба не запускается, найдите ошибки в Просмотр событий.

Драйвер, работающий

Драйвер глобального безопасного доступа должен выполняться. Чтобы убедиться, что эта служба запущена, введите следующую команду в командной строке:
sc query GlobalSecureAccessDriver

Если драйвер не запущен:

1. Откройте Просмотр событий и выполните поиск в журнале клиента Global Secure Access для события 304.
2. Если драйвер не запущен, перезагрузите компьютер.
3. Выполните команду sc query GlobalSecureAccessDriver еще раз.
4. Если проблема остается неразрешенной, переустановите клиент Глобального безопасного доступа.

Запущенное клиентское приложение для области данных

Процесс GlobalSecureAccessClient.exe запускает клиентский интерфейс в области системной области. Если значок глобального безопасного доступа не отображается в области системы, его можно запустить по следующему пути:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Существует реестр профилей пересылки

Этот тест проверяет наличие следующего раздела реестра:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Если раздел реестра не существует, попробуйте принудительно выполнить извлечение политики пересылки:

1. Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp Удалите раздел реестра, если он существует.
2. Перезапустите службу. Global Secure Access Policy Retriever Service
3. Проверьте, созданы ли два раздела реестра.
4. Если нет, найдите ошибки в Просмотр событий.

Ожидаемая схема сопоставления профиля пересылки

Этот тест проверяет, что профиль пересылки в реестре имеет допустимый формат, который клиент может читать.

Если этот тест завершается ошибкой, убедитесь, что вы используете самый обновленный профиль пересылки клиента, выполнив следующие действия.

1. Удалите следующие разделы реестра:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Перезапустите службу. Global Secure Access Policy Retriever Service
3. Перезапустите клиент глобального безопасного доступа.
4. Снова запустите проверку работоспособности.
5. Если предыдущие шаги не устраняют проблему, обновите клиент Глобального безопасного доступа до последней версии.
6. Если проблема по-прежнему существует, обратитесь к служба поддержки Майкрософт.

Режим разбиения отключено

Режим разбиения не позволяет клиенту Глобального безопасного доступа туннелировать сетевой трафик к облачной службе Global Secure Access. В режиме разбиения все профили трафика на портале глобального безопасного доступа сняты, и клиент глобального безопасного доступа не должен туннелировать трафик.

Чтобы настроить клиент для получения трафика и туннеля, который передается в службу глобального безопасного доступа:

1. Войдите в Центр администрирования Microsoft Entra от имени администратора клиента.
2. Перейдите к переадресации трафика global Secure Access>Connect.>
3. Включите по крайней мере один из профилей трафика, которые соответствуют потребностям вашей организации.

Клиент Глобального безопасного доступа должен получать обновленный профиль пересылки в течение одного часа после внесения изменений на портале.

URL-адреса диагностики в профиле пересылки

Для каждого канала, активированного в профиле пересылки, этот тест проверяет, содержит ли конфигурация URL-адрес для проверки работоспособности службы.

Чтобы просмотреть состояние работоспособности, дважды щелкните значок области клиентской системы глобального безопасного доступа.

Если этот тест завершается ошибкой, обычно это связано с внутренней проблемой с глобальным безопасным доступом. Обратитесь в службу поддержки Майкрософт.

Сертификат проверки подлинности существует

Этот тест проверяет наличие сертификата на устройстве для подключения взаимной безопасности уровня транспорта (mTLS) к облачной службе Глобального безопасного доступа.

Совет

Этот тест не отображается, если mTLS еще не включен для вашего клиента.

Если этот тест завершается ошибкой, зарегистрируйтесь в новом сертификате, выполнив следующие действия:

1. Запустите консоль управления Майкрософт, введя следующую команду в командной строке: certlm.msc
2. В окне certlm перейдите к личным>сертификатам.
3. Удалите сертификат, который заканчивается gsa.client, если он существует.
4. Удалите следующий раздел реестра:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Перезапустите службу глобального обработчика безопасного доступа в службах MMC.
6. Обновите MMC сертификатов, чтобы убедиться, что создан новый сертификат.
   Подготовка нового сертификата может занять несколько минут.
7. Проверьте журнал событий клиента Global Secure Access для ошибок.
8. Снова запустите тесты проверки работоспособности.

Сертификат проверки подлинности действителен

Этот тест проверяет, является ли сертификат проверки подлинности, используемый для подключения mTLS к облачной службе Global Secure Access.

Совет

Этот тест не отображается, если mTLS еще не включен для вашего клиента.

Если этот тест завершается ошибкой, зарегистрируйтесь в новом сертификате, выполнив следующие действия:

1. Запустите консоль управления Майкрософт, введя следующую команду в командной строке: certlm.msc
2. В окне certlm перейдите к личным>сертификатам.
3. Удалите сертификат, который заканчивается gsa.client.
4. Удалите следующий раздел реестра:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Перезапустите службу глобального обработчика безопасного доступа в службах MMC.
6. Обновите MMC сертификатов, чтобы убедиться, что создан новый сертификат.
   Подготовка нового сертификата может занять несколько минут.
7. Проверьте журнал событий клиента Global Secure Access для ошибок.
8. Снова запустите тесты проверки работоспособности.

DNS по протоколу HTTPS не поддерживается

Чтобы клиент глобального безопасного доступа получал сетевой трафик с помощью полного назначения доменного имени (FQDN) (в отличие от НАЗНАЧЕНИЯ IP-адреса), клиент должен считывать DNS-запросы, отправленные устройством на DNS-сервер. Это означает, что если профиль пересылки содержит правила FQDN, необходимо отключить DNS по протоколу HTTPS.

Защита DNS отключена в ОС

Чтобы отключить DNS по протоколу HTTPS в Windows, обратитесь к защищенному DNS-клиенту по протоколу HTTPS (DoH).

Внимание

Чтобы успешно запустить проверку работоспособности клиента глобального безопасного доступа, необходимо отключить DNS по протоколу HTTPS.

Защита DNS отключена в браузерах (Microsoft Edge, Chrome, Firefox)

Убедитесь, что безопасный DNS отключен для каждого из следующих браузеров:

Защита DNS, отключенная в Microsoft Edge

Чтобы отключить DNS по протоколу HTTPS в Microsoft Edge, выполните следующее:

1. Запустите Microsoft Edge.
2. Откройте меню "Параметры" и выберите пункт "Параметры".
3. Выберите "Конфиденциальность", "Поиск" и "Службы".
4. В разделе "Безопасность" задайте для параметра Use secure DNS, чтобы указать, как отключать сетевой адрес для веб-сайтов.

Безопасный DNS отключен в Chrome

Чтобы отключить DNS по протоколу HTTPS в Google Chrome, выполните приведенные выше действия.

1. Откройте Chrome.
2. Выберите " Настройка" и управление Google Chrome и выберите "Параметры".
3. Выберите "Конфиденциальность и безопасность".
4. Выберите Безопасность.
5. В разделе "Дополнительно" установите переключатель "Использовать безопасный DNS" для отключения.

Защита DNS, отключенная в Firefox

Чтобы отключить DNS по протоколу HTTPS в Mozilla Firefox, выполните приведенные выше действия.

1. Откройте Firefox.
2. Нажмите кнопку " Открыть приложение" и выберите "Параметры".
3. Выберите "Конфиденциальность и безопасность".
4. В разделе DNS по протоколу HTTPS нажмите кнопку "Выкл.

Реагирование DNS

Этот тест проверяет, возвращает ли DNS-сервер, настроенный для Windows, ответ DNS.

Если этот тест завершается ошибкой:

1. Приостановка клиента глобального безопасного доступа.
2. Проверьте, доступен ли DNS-сервер, настроенный для Windows. Например, попробуйте разрешить "microsoft.com" с помощью nslookup средства.
3. Убедитесь, что брандмауэры не блокируют трафик на DNS-сервер.
4. Настройте альтернативный DNS-сервер и повторите тестирование.
5. Возобновите клиент глобального безопасного доступа.

Волшебный IP-адрес, полученный

Эта проверка проверяет, что клиент может получить трафик из полного доменного имени (FQDN).

Если тест завершается ошибкой:

1. Перезапустите клиент и снова проверьте его.
2. Перезапустите Windows. Этот шаг может потребоваться в редких случаях для удаления переменного кэша.

Кэшированный маркер

Этот тест проверяет, успешно ли выполнена проверка подлинности клиента в Microsoft Entra.

Если кэшированный тест токена завершается ошибкой:

1. Убедитесь, что выполняются службы и драйвер.
2. Убедитесь, что значок области системы отображается.
3. Если появится уведомление о входе, нажмите кнопку "Войти".
4. Если уведомление о входе не отображается, проверьте, находится ли он в Центре уведомлений и нажмите кнопку "Войти".
5. Войдите с помощью пользователя, являющегося членом того же клиента Microsoft Entra, к которому присоединено устройство.
6. Проверьте сетевое подключение.
7. Наведите указатель мыши на значок области системы и убедитесь, что клиент не отключен вашей организацией.
8. Перезапустите клиент и подождите несколько секунд.
9. Найдите ошибки в Просмотр событий.

Предпочтительный протокол IPv4

Глобальный безопасный доступ пока не поддерживает получение трафика для назначений с IPv6-адресами. Рекомендуется настроить клиент, чтобы предпочитать IPv4 по протоколу IPv6, если:

1. Для профиля пересылки устанавливается получение трафика по протоколу IPv4 (в отличие от полного доменного имени).
2. Полное доменное имя, разрешенное для этого IP-адреса, также разрешается на IPv6-адрес.

Чтобы настроить клиент для предпочитаемого IPv4 по протоколу IPv6, задайте следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Внимание

Для изменения этого значения реестра требуется перезагрузка компьютера. Дополнительные сведения см. в руководстве по настройке IPv6 в Windows для расширенных пользователей.

Имя узла edge, разрешенное DNS

Этот тест проверяет все активные типы трафика: Microsoft 365, частный доступ и интернет-доступ. Если этот тест завершается ошибкой, DNS не может разрешить имена узлов облачной службы Global Secure Access, поэтому служба недоступна. Этот неудачный тест может быть вызван проблемой подключения к Интернету или DNS-сервером, который не разрешает общедоступные имена узлов Интернета.

Чтобы убедиться, что разрешение имен узла работает правильно:

1. Приостановка клиента.
2. Выполните команду PowerShell: Resolve-DnsName -Name <edge's FQDN>
3. Если разрешение имени узла завершается ошибкой, попробуйте выполнить следующую команду: Resolve-DnsName -Name microsoft.com
4. Убедитесь, что DNS-серверы настроены для этого компьютера: ipconfig /all
5. Если предыдущие шаги не устраняют проблему, рассмотрите возможность установки другого общедоступного DNS-сервера.

Edge доступен

Этот тест проверяет все активные типы трафика: Microsoft 365, частный доступ и интернет-доступ. Если этот тест завершается ошибкой, устройство не имеет сетевого подключения к облачной службе Глобального безопасного доступа.

Если тест завершается ошибкой:

1. Убедитесь, что устройство имеет подключение к Интернету.
2. Убедитесь, что брандмауэр или прокси-сервер не блокируют подключение к краю.
3. Убедитесь, что протокол IPv4 на устройстве активен. В настоящее время Edge работает только с адресами IPv4.
4. Остановите клиент и повторите попытку Test-NetConnection -ComputerName <edge's fqdn> -Port 443.
5. Попробуйте выполнить команду PowerShell с другого устройства, подключенного к Интернету из общедоступной сети.

Прокси-сервер отключен

Этот тест проверяет, настроен ли прокси-сервер на устройстве. Если устройство конечного пользователя настроено на использование прокси-сервера для исходящего трафика в Интернет, необходимо исключить конечные IP-адреса/полное доменное имя, приобретенные клиентом с помощью файла автоконфигурирования прокси-сервера (PAC) или протокола автоматического обнаружения веб-прокси (WPAD).

Изменение PAC-файла

Добавьте IP-адреса и полные доменные имена для туннелирования в глобальный пограничный безопасный доступ в качестве исключений в PAC-файле, чтобы HTTP-запросы для этих назначений не перенаправлялись на прокси-сервер. (Эти IP-адреса и полные доменные имена также задаются для туннелирования в глобальный безопасный доступ в профиле пересылки.) Чтобы правильно показать состояние работоспособности клиента, добавьте полное доменное имя, используемое для проверки работоспособности, в список исключений: .edgediagnostic.globalsecureaccess.microsoft.com

Пример PAC-файла, содержащего исключения:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Добавление системной переменной

Настройка клиента глобального безопасного доступа для маршрутизации трафика глобального безопасного доступа через прокси-сервер:

1. Задайте системную переменную среды в Windows с именем grpc_proxy значения прокси-адреса. Например, http://10.1.0.10:8080.
2. Перезапустите клиент глобального безопасного доступа.

Внешний виртуальный коммутатор Hyper-V не обнаружен

Поддержка Hyper-V:

1. Внешний виртуальный коммутатор: клиент Windows глобального безопасного доступа в настоящее время не поддерживает хост-компьютеры с внешним виртуальным коммутатором Hyper-V. Однако клиент можно установить на виртуальных машинах для туннелирования трафика в глобальный безопасный доступ.
2. Внутренний виртуальный коммутатор: клиент Windows глобального безопасного доступа можно установить на узлах и гостевых компьютерах. Клиент туннелирует только сетевой трафик компьютера, на котором он установлен. Другими словами, клиент, установленный на хост-компьютере, не туннел сетевой трафик гостевых компьютеров.

Клиент Windows глобального безопасного доступа поддерживает Azure Виртуальные машины.

Клиент Windows глобального безопасного доступа поддерживает виртуальный рабочий стол Azure (AVD).

Примечание.

AvD multi-session не поддерживается.

Нисходящая маршрутизация событий успешно выполняется

Этот тест проверяет каждый активный профиль трафика в профиле пересылки (Microsoft 365, частный доступ и интернет-доступ), чтобы убедиться, что подключения к службе работоспособности соответствующего канала успешно туннели.

Если этот тест завершается ошибкой:

1. Проверьте Просмотр событий ошибок.
2. Перезапустите клиент и повторите попытку.

Глобальный безопасный доступ обрабатывает работоспособные (последние 24 ч)

Если этот тест завершается сбоем, это означает, что за последние 24 часа произошел сбой по крайней мере одного процесса клиента.

Если все остальные тесты проходят, клиент должен работать в настоящее время. Тем не менее, это может быть полезно для изучения файла дампа процесса, чтобы повысить будущую стабильность и лучше понять, почему процесс произошел сбой.

Чтобы исследовать файл дампа процесса при сбое процесса:

1. Настройка дампов пользовательского режима:
   • Добавьте следующий раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • REG_SZ DumpFolder Добавьте значение реестра и задайте его данные в существующую папку DumpFolder, в которой нужно сохранить файл дампа.
2. Воспроизвести проблему, чтобы создать новый файл дампа в выбранной папке DumpFolder.
3. Откройте билет для служба поддержки Майкрософт и вложите файл дампа и шаги для воспроизведения проблемы.
4. Просмотрите журналы Просмотр событий и фильтр для событий сбоя (фильтрация текущих журналов: идентификатор события = 1000).
5. Сохраните отфильтрованный журнал в виде файла и вложите файл журнала в запрос в службу поддержки.

QUIC не поддерживается для Доступа к Интернету

Так как QUIC еще не поддерживается для Доступа к Интернету, трафик к портам 80 UDP и 443 UDP нельзя туннелировать.

Совет

В настоящее время QUIC поддерживается в рабочих нагрузках Private Access и Microsoft 365.

Администраторы могут отключить протокол QUIC, запускающий клиенты, чтобы вернуться к ПРОТОКОЛу HTTPS по протоколу TCP, который полностью поддерживается в Доступе к Интернету.

QUIC отключен в Microsoft Edge

Чтобы отключить QUIC в Microsoft Edge, выполните следующее:

1. Откройте Microsoft Edge.
2. Вставьте edge://flags/#enable-quic в адресную строку.
3. Установите раскрывающееся меню "Экспериментальный протокол QUIC" значение "Отключено".

QUIC отключен в Chrome

Чтобы отключить QUIC в Google Chrome, выполните приведенные действия.

1. Откройте Google Chrome.
2. Вставьте chrome://flags/#enable-quic в адресную строку.
3. Установите раскрывающееся меню "Экспериментальный протокол QUIC" значение "Отключено".

QUIC отключен в Mozilla Firefox

Чтобы отключить QUIC в Mozilla Firefox, выполните приведенные действия.

1. Откройте Firefox.
2. Вставьте about:config в адресную строку.
3. В поле имени предпочтения поиска вставьтеnetwork.http.http3.enable.
4. Переключите параметр network.http.http3.enable на false.