通过

对全局安全访问客户端进行故障排除:高级诊断

  • 项目

本文档提供有关全局安全访问客户端的故障排除指南。 将探讨“高级诊断”实用工具的每个选项卡。

简介

全局安全访问客户端在后台运行,并将相关的网络流量路由到全局安全访问。 它不需要用户交互。 高级诊断工具使客户端的行为对管理员可见,并帮助进行故障排除。

启动高级诊断工具

若要启动高级诊断工具:

  1. 右键单击系统托盘中的“全局安全访问客户端”图标。
  2. 选择“高级诊断”。 如果启用,用户帐户控制 (UAC) 会提示提升权限。

“概览”选项卡

高级诊断“概述”选项卡显示有关全局安全访问客户端的常规配置详细信息:

  • 用户名:向客户端进行身份验证的用户的 Microsoft Entra 用户主体名称。
  • 设备 ID:Microsoft Entra 中设备的 ID。 设备必须加入租户。
  • 租户 ID:客户端指向的租户的 ID,与设备加入的租户相同。
  • 转发配置文件 ID:客户端当前正在使用的转发配置文件的 ID。
  • 上次检查的转发配置文件:客户端上次检查更新转发配置文件的时间。
  • 客户端版本:当前安装在设备上的全局安全访问客户端的版本。

显示“概述”选项卡上的“全局安全访问客户端 - 高级诊断”对话框的屏幕截图。

运行状况检查选项卡

运行状况检查”选项卡执行常见测试,以验证客户端是否正常工作,以及其组件是否正在运行。 有关“运行状况检查”选项卡的更深入介绍,请参阅对全局安全访问客户端进行故障排除:“运行状况检查”选项卡

“转发配置文件”选项卡

转发配置文件”选项卡显示为转发配置文件设置的当前活动规则的列表。 该选项卡包含以下信息:

  • 转发配置文件 ID:客户端当前正在使用的转发配置文件的 ID。
  • 上次检查的转发配置文件:客户端上次检查更新转发配置文件的时间。
  • 刷新详细信息:选择此项以从客户端缓存中重新加载转发数据(如果上次刷新后数据已更新)。
  • 策略测试人员:选择此项以显示连接到特定目标的活动规则。
  • 添加筛选器:选择此项以设置筛选器,以便根据一组特定的筛选器属性仅查看规则的子集。
  • :选择要显示在表中的列。

显示“转发配置文件”选项卡上的“全局安全访问客户端 - 高级诊断”对话框的屏幕截图。

规则部分显示按每个工作负载分组的规则列表(M365 规则专用访问规则Internet 访问规则)。 此列表仅包含租户中激活的工作负载的规则。

提示

如果规则包含多个目标,例如完全限定的域名 (FQDN) 或 IP 范围,则规则将跨越多行,每个目标各有一行。

对于每个规则,可用的列包括:

  • 优先级:规则的优先级。 优先级较高的规则(较小的数值)优先于优先级较低的规则。
  • 目标 (IP/FQDN):流量的目标(按 FQDN 或 IP)。
  • 协议:流量的网络协议:TCP 或 UDP。
  • 端口:流量的目标端口。
  • 操作:当设备的传出流量与目标、协议和端口匹配时,客户端采取的操作。 支持的操作包括隧道传输(路由到全局安全访问)或绕过(直接转到目标)。
  • 强化:当流量应通过隧道传输(路由到全局安全访问)但与云服务的连接失败时执行的操作。 支持的强化操作是阻止(删除连接)或绕过(让连接直接转到网络)。
  • 规则 ID:转发配置文件中规则的唯一标识符。
  • 应用程序 ID:与规则关联的专用应用程序的 ID。 此列仅适用于专用应用程序。

主机名获取选项卡

主机名获取选项卡允许基于转发配置文件中的 FQDN 规则收集客户端获取的主机名的实时列表。 每个主机名都显示在新行中。

  • 开始收集:选择以开始获取的主机名的实时集合。
  • 导出 CSV:选择以将获取的主机名列表导出到 CSV 文件。
  • 清除表:选择以清除表中显示的获取的主机名。
  • 添加筛选器:选择以设置筛选器,以便根据一组特定的筛选器属性仅查看获取的主机名的子集。
  • :选择以选择要显示在表中的列。

对于每个主机名,可用列包括:

  • 时间戳:每个 FQDN 主机名获取的日期和时间。
  • FQDN:获取的主机名的 FQDN。
  • 生成的 IP 地址:由客户端为内部目的生成的 IP 地址。 对于与相对 FQDN 建立的连接,此 IP 显示在“流”选项卡中。
  • 获取:显示“”或“”以指示 FQDN 是否与转发配置文件中的规则匹配。
  • 原始 IP 地址:查询 FQDN 时,DNS 响应中的第一个 IPv4 地址。 如果最终用户设备指向的 DNS 服务器未返回查询的 IPv4 地址,则原始 IP 地址将显示空值。

流量选项卡

“流量”选项卡允许根据转发配置文件中的规则收集设备打开的连接实时列表。 每个连接都显示在新行中。

  • 开始收集:选择以开始实时收集连接。
  • 导出 CSV:选择以将连接列表导出到 CSV 文件。
  • 清除表:选择以清除表中显示的连接。
  • 添加筛选器:选择以设置筛选器,以便根据一组特定的筛选器属性仅查看连接的子集。
  • :选择以选择要显示在表中的列。

对于每个连接,可用列包括:

  • 时间戳开始:操作系统打开连接的时间。
  • 时间戳结束:操作系统关闭连接的时间。
  • 连接状态:指示连接是仍然处于活动状态还是已关闭。
  • 协议:连接的网络协议,TCP 或 UDP。
  • 目标 FQDN:连接的目标 FQDN。
  • 源端口:连接的源端口。
  • 目标 IP:连接的目标。
  • 目标端口:连接的目标端口。
  • 相关矢量 ID:与门户中的全球安全访问流量日志关联的每个连接的唯一 ID。 Microsoft 支持部门还可以使用此 ID 调查与特定连接相关的内部日志。
  • 进程名称:打开连接的进程的名称。
  • 进程 ID:打开连接的进程 ID 号。
  • 发送的字节数:从设备发送到目标的字节数。
  • 接收的字节数:设备从目标接收的字节数。
  • 通道:通过隧道连接到的通道,可以是 Microsoft 365、专用访问或 Internet 访问。
  • 流 ID:连接的内部 ID 号。
  • 规则 ID:用于确定此连接的操作的转发配置文件规则的标识符。
  • 操作:为此连接执行的操作,可能的操作包括:
    • 隧道:客户端通过隧道连接到云中的全球安全访问服务。
    • 绕过:连接通过设备的网络直接连接到目标,客户端无需干预。
    • 阻止:客户端阻止了连接(仅在强化模式下可能)。
  • 强化:指示强化是否应用于此连接,可以是“是”或“否”。 当无法从设备访问全球安全访问服务时,强化将适用。

“高级日志收集”选项卡

“高级日志收集”选项卡允许在特定时间段内收集客户端、操作系统和网络流量的详细日志。 日志存档到 ZIP 文件,可以发送给管理员或 Microsoft 支持部门进行调查。

  • 开始录制:选择以开始录制详细日志。 录制时需要重现问题。
  • 停止录制:重现问题后,选择此按钮以停止录制并将收集的日志保存到 ZIP 文件。 与支持故障排除帮助共享 ZIP 文件。

显示“高级日志收集”选项卡上的“全球安全访问客户端 - 高级诊断”对话框的屏幕截图。