針對全球安全存取用戶端進行疑難排解:進階診斷
本檔提供全域安全存取用戶端的疑難解答指引。 它會探索進階診斷公用程式的每個索引標籤。
簡介
全域安全存取用戶端會在背景執行,並將相關的網路流量路由傳送至全域安全存取。 它不需要用戶互動。 進階診斷工具可讓系統管理員看到客戶端的行為,並協助進行疑難解答。
啟動進階診斷工具
若要啟動進階診斷工具:
- 以滑鼠右鍵按兩下 系統匣中的全域安全存取客戶端 圖示。
- 選取 [進階診斷]。 如果已啟用,用戶帳戶控制 (UAC) 會提示提高許可權。
概觀索引標籤
[進階診斷概觀] 索引卷標會顯示全域安全存取用戶端的一般設定詳細數據:
- 用戶名稱:向客戶端驗證的使用者Microsoft Entra 用戶主體名稱。
- 裝置標識碼:Microsoft Entra 中裝置的標識碼。 裝置必須加入租使用者。
- 租使用者標識碼:用戶端指向的租用戶標識碼,這是裝置加入的相同租使用者。
- 轉送配置檔識別碼:用戶端目前使用的轉送配置文件識別碼。
- 上次檢查轉送配置檔:用戶端上次檢查更新轉送配置文件的時間。
- 用戶端版本:目前安裝在裝置上的全域安全存取用戶端版本。
![顯示 [概觀] 索引標籤上 [全域安全存取用戶端 - 進階診斷] 對話框的螢幕快照。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-diagnostics-overview-tab.png)
健康情況檢查索引標籤
[健康情況檢查] 索引標籤會執行一般測試,以確認用戶端正常運作,以及其元件正在執行。 如需健全狀況檢查索引標籤的更深入涵蓋範圍,請參閱針對全域安全存取客戶端進行疑難解答:健康情況檢查索引標籤。
轉送配置檔索引標籤
[ 轉送配置檔 ] 索引標籤會顯示針對轉送設定檔設定的目前使用中規則清單。 索引標籤包含下列資訊:
- 轉送配置檔識別碼:用戶端目前使用的轉送配置文件識別碼。
- 上次檢查轉送配置檔:用戶端上次檢查更新轉送配置文件的時間。
- 重新整理詳細數據:選取以重載來自用戶端快取的轉送數據(以防上次重新整理更新)。
- 原則測試人員:選取以顯示連線至特定目的地的作用中規則。
- 新增篩選:選取即可設定篩選,只根據一組特定的篩選屬性來查看規則的子集。
- 數據行:選取以選擇要顯示在數據表中的數據行。
![顯示 [轉送配置檔] 索引標籤上 [全域安全存取用戶端 - 進階診斷] 對話框的螢幕快照。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-diagnostics-forwarding-profile-tab.png)
[規則] 區段會顯示依每個工作負載分組的規則清單(M365 規則、 私人存取規則、 因特網存取規則)。 此清單只會包含租用戶中啟動之工作負載的規則。
提示
如果規則包含數個目的地,例如完整功能變數名稱 (FQDN) 或IP範圍,規則將會跨越數個數據列,每個目的地各有一個數據列。
針對每個規則,可用的數據列包括:
- 優先順序:規則的優先順序。 優先順序較高的規則(較小的數值)優先於優先順序較低的規則。
- 目的地 (IP/FQDN):FQDN 或IP流量的目的地。
- 通訊協定:流量的網路通訊協定:TCP 或 UDP。
- 埠:流量的目的地埠。
- 動作:客戶端從裝置傳出流量符合目的地、通訊協定和埠時所採取動作。 支持的動作是通道(路由至全域安全存取)或略過(直接前往目的地)。
- 強化:流量應透過通道傳送(路由傳送至全域安全存取)但與雲端服務的連線失敗時的動作。 支持的強化動作是封鎖(卸除連線)或略過(讓連線直接移至網路)。
- 規則標識碼:轉送配置檔中規則的唯一標識碼。
- 應用程式標識碼:與規則相關聯的私人應用程式標識碼。 此數據行僅與私人應用程式相關。
主機名擷取索引標籤
[主機名擷取] 索引標籤允許根據轉送配置檔中的 FQDN 規則,收集用戶端取得的主機名實時清單。 每個主機名稱都會顯示在新的資料列中。
- 開始收集:選取即可開始取得主機名的即時收集。
- 匯出 CSV:選取即可將取得的主機名清單匯出至 CSV 檔案。
- 清除數據表:選取即可清除資料表中顯示的已取得主機名。
- 新增篩選:選取即可設定篩選,只查看根據一組特定篩選屬性取得的主機名子集。
- 數據行:選取以選擇要顯示在數據表中的數據行。
針對每個主機名,可用的數據行包括:
- 時間戳:每個 FQDN 主機名擷取的日期和時間。
- FQDN:已取得主機名的 FQDN。
- 產生的IP位址:客戶端針對內部用途所產生的IP位址。 此 IP 會顯示在流量索引標籤中,以取得與對應 FQDN 建立的連接。
- 取得:顯示 [是 ] 或 [否 ],指出 FQDN 是否符合轉送配置檔中的規則。
- 原始IP位址:FQDN查詢 DNS 回應中的第一個 IPv4 位址。 如果使用者裝置 DNS 伺服器未傳回查詢的 IPv4 位址,原始 IP 位址資料行會顯示空白值。
[流量] 索引標籤
流量索引標籤允許根據轉送配置檔中的規則,收集裝置開啟的即時連線清單。 每個連線都會顯示在新的數據列中。
- 開始收集:選取以開始即時收集連線。
- 匯出 CSV:選取以匯出 CSV 檔案的連線清單。
- 清除資料表:選取以清除資料表中顯示的連接。
- 新增篩選:選取即可設定篩選,只根據一組特定的篩選屬性來查看連線的子集。
- 數據行:選取以選擇要顯示在數據表中的數據行。
針對每個連線,可用的數據行包括:
- 時間戳開始:操作系統開啟連線的時間。
- 時間戳結束:操作系統關閉連線的時間。
- 連線狀態:指出連接是否仍在作用中或已經關閉。
- 通訊協定:連線的網路通訊協定;TCP 或 UDP。
- 目的地 FQDN:連線的目的地 FQDN。
- 來源埠:連線的來源埠。
- 目的地 IP:連線的目的地 IP。
- 目的地埠:連線的目的地埠。
- 相互關聯向量標識碼:屬性為每個連線的唯一標識符,可與入口網站中的全域安全存取流量記錄相互關聯。 Microsoft 支援服務 也可以使用此標識符來調查與特定連線相關的內部記錄。
- 進程名稱:開啟連線的進程名稱。
- 進程標識碼:開啟連線之進程的標識碼。
- 傳送的位元組:從裝置傳送到目的地的位元組數目。
- 接收的位元組:裝置從目的地接收的位元元組數目。
- 通道:已通道聯機的通道;可以Microsoft 365、私人存取或因特網存取。
- 流程標識碼:連線的內部標識碼。
- 規則標識碼:用來判斷此連線動作的轉送配置檔規則標識碼。
-
動作:針對此聯機所採取的動作;可能的動作如下:
- 通道:用戶端會將連線通道傳送至雲端中的全域安全存取服務。
- 略過:聯機會透過裝置的網路直接傳送至目的地,而用戶端不會介入。
- 封鎖:用戶端已封鎖連線(只能在強化模式中)。
- 強化:指出是否已將此連線套用強化;可以是 [是] 或 [否]。 當無法從裝置連線到全域安全存取服務時,就會套用強化功能。
進階記錄收集索引標籤
進階記錄收集索引標籤允許在特定期間收集用戶端、操作系統和網路流量的詳細信息記錄。 記錄會封存到 ZIP 檔案,可傳送給系統管理員或 Microsoft 支援服務 進行調查。
- 開始錄製:選取以開始錄製詳細信息記錄。 您必須在錄製時重現問題。 如果您無法隨時重現問題,請指示用戶視需要收集記錄,直到問題重新出現為止。 記錄收集會包含數小時的全域安全存取活動。
- 停止錄製:重現問題之後,選取此按鈕以停止錄製,並將收集的記錄儲存至 ZIP 檔案。 與支持進行疑難解答協助的 ZIP 檔案共用。
![顯示 [進階記錄收集] 索引標籤上 [全域安全存取用戶端 - 進階診斷] 對話框的螢幕快照。](media/troubleshoot-global-secure-access-client-advanced-diagnostics/global-secure-access-client-advanced-advanced-log-collection-tab.png)
當您停止進階記錄收集時,包含記錄檔的資料夾隨即開啟。 根據預設,此資料夾為 C:\Program Files\Global Secure Access Client\Logs。 資料夾包含 zip 檔案,以及兩個事件追蹤記錄檔 (ETL) 檔案。 如有需要,您可以在問題解決之後移除 zip 檔案,不過最好保留 ETL 檔案。 這些是循環記錄,移除它們可能會建立未來記錄收集的問題。
收集下列檔案:
| 檔 | 描述 | ||
|---|---|---|---|
| Application-Crash.evtx | 依事件標識碼 1001 篩選的應用程式記錄檔。 當服務當機時,此記錄很有用。 | ||
| BindingNetworkDrivers.txt | “Get-NetAdapterBinding -AllBindings -IncludeHidden” 的結果,其中顯示系結至網路適配器的所有模組。 此輸出很適合用來識別非Microsoft驅動程式是否系結至網路堆疊 | ||
| ClientChecker.log | 全域安全存取用戶端健康情況檢查的結果。 如果您在全域安全存取用戶端中載入 zip 檔案,這些結果會更容易分析(請參閱 [在與收集位置不同的裝置上分析全域安全存取用戶端記錄](troubleshoot-global-secure-access-client-advanced-diagnostics.md#在與收集位置不同的裝置上分析全域安全存取用戶端記錄)) | ||
| DeviceInformation.log | 環境變數,包括OS版本和全域安全存取用戶端版本。 | ||
| dsregcmd.txt | 顯示裝置狀態的 dsregcmd /status 輸出,包括 Microsoft Entra 已加入、混合式已加入、PRT 詳細資訊,以及 Windows Hello for Business 詳細資訊。 | ||
| filterDriver.txt | Windows 篩選平台过滤器 | ||
| ForwardingProfile.json | 傳遞至全域安全存取用戶端的 json 原則,其中包含您全域安全存取用戶端連線到的全域安全存取服務邊緣 IP 位址(*.globalsecureaccess.microsoft.com),以及轉送設定檔規則。 | ||
| GlobalSecureAccess-Boot-Trace.etl | 全域安全存取用戶端偵錯記錄 | ||
| GlobalSecureAccess-Boot-Trace.etl | 全域安全存取用戶端調試日誌記錄 | ||
| 多個.reg檔案 | 全域安全存取用戶端登錄匯出 | ||
| 主機 | 主機檔案 | ||
| installedPrograms.txt | Windows 已安裝的應用程式,有助於瞭解可能造成問題的原因 | ||
| ipconfig.txt | Ipconfig /完整輸出,顯示已指派給裝置的 IP 位址和 DNS 伺服器 | ||
| Kerberos_info.txt | klist、klist tgt 和 klist cloud_debug 的輸出。 此輸出對於解決 Kerberos 問題和使用 Windows Hello 企業 SSO 具有幫助。 | ||
| LogsCollectorLog.log和 LogsCollectorLog.log.x | 日誌收集器程式本身的日誌。 如果您在全域安全存取記錄收集時遇到問題,這些記錄會很有用 | ||
| 多個 .evtx | 匯出多個 Windows 事件記錄檔 | ||
| NetworkInformation.log | 路由列印的輸出、名稱解析原則表 (NRPT) 數據表,以及全域安全存取連線測試的延遲結果。 此輸出有助於針對 NRPT 問題進行疑難解答。 | ||
| RunningProcesses.log | 執行中的程序 | ||
| systeminfo.txt | 系統資訊,包括硬體、作系統版本和修補程式 | ||
| systemWideProxy.txt | netsh winhttp show proxy 的顯示結果 | ||
| 使用者設定的代理伺服器 | 登錄中的 Proxy 設定輸出 | ||
| userSessions.txt | 用戶會話清單 | ||
| DNSClient.etl | DNS 用戶端記錄。 這些記錄適用於 diagnosomg DNS 解析問題。 使用事件記錄檔查看器開啟,或使用PowerShell篩選至感興趣的特定名稱:Get-WinEvent -Path .\DNSClient.etl -Oldest | 將 Message -Match 替換為 name/FQDN | Out-GridView |
| InternetDebug.etl | 使用指令 “netsh trace start scenario=internetClient_dbg capture=yes persistent=yes” 收集的記錄 | ||
| NetworkTrace.etl | 使用 pktmon 擷取的淨擷取 | ||
| NetworkTrace.pcap | 網路資料擷取,包括隧道內的流量 | ||
| NetworkTrace.txt | 以文字格式呈現的寶可夢追蹤 | ||
| wfplog.cab | Windows 篩選平台記錄 |
有用的網路流量分析器篩選
在某些情況下,您可能需要調查全域安全存取服務通道內的流量。 根據預設,網路擷取只會顯示加密的流量。 相反地,請在網路流量分析器中分析全域安全存取進階記錄收集所建立的網路擷取。
在與收集裝置不同的設備上分析全域安全存取客戶端日誌
在許多情況下,您可能需要使用您自己的裝置來分析使用者收集的數據。 若要達成此目的,請在裝置上開啟全域安全存取客戶端,開啟 [進階診斷] 工具,然後按單列最右邊的資料夾圖示。 您可以從這裡瀏覽至 zip 檔案或 GlobalSecureAccess-Trace.etl 檔案。 載入 zip 檔案時,會同時載入資訊,包括租戶 ID、裝置 ID、用戶端版本、健康檢查,以及轉送設定檔規則,就像您在本機上針對用於數據收集的裝置進行故障排除一樣。