Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje pokyny k řešení potíží pro globálního klienta zabezpečeného přístupu pro Windows. Prozkoumá jednotlivé karty nástroje Advanced Diagnostics.
Úvod
Klient globálního zabezpečeného přístupu běží na pozadí a směruje relevantní síťový provoz do globálního zabezpečeného přístupu bez nutnosti zásahu uživatele. Pomocí pokročilého diagnostického nástroje můžete získat přehled o chování klienta a efektivně řešit problémy.
Spuštění rozšířeného diagnostického nástroje
Nástroj pro pokročilou diagnostiku můžete spustit dvěma způsoby:
- Pravým tlačítkem myši klikněte na ikonu klienta globálního zabezpečeného přístupu v hlavním panelu systému.
- Vyberte Pokročilou diagnostiku. Pokud je tato možnost povolená, nástroj Řízení uživatelských účtů vás vyzve ke zvýšení oprávnění.
Nebo
- Na hlavním panelu systému vyberte ikonu klienta globálního zabezpečeného přístupu .
- Přepněte do zobrazení Řešení potíží .
- V části Rozšířený nástroj pro diagnostiku vyberte Spustit nástroj.
Přehledová karta
Karta Přehled pokročilé diagnostiky zobrazuje obecné podrobnosti konfigurace pro klienta globálního zabezpečeného přístupu:
- Uživatelské jméno: Uživatelské jméno hlavního účtu Microsoft Entra uživatele, který se ověřil u klienta.
- Device ID: ID zařízení v Microsoft Entra. Zařízení musí být připojené k tenantovi.
- ID tenanta: ID tenanta, na kterého klient odkazuje, což je stejný tenant, ke kterému je zařízení připojené.
- ID přeposílajícího profilu: ID předávacího profilu aktuálně používaného klientem.
- Profil přeposílání naposledy zkontrolován: Čas, kdy klient naposledy zkontroloval aktualizovaný profil přeposílání.
- Verze klienta: Verze globálního klienta zabezpečeného přístupu, který je aktuálně nainstalovaný na zařízení.
Karta kontroly zdraví
Na kartě Kontrola stavu se spouští běžné testy, které ověřují, že klient a jeho komponenty fungují správně. Další informace najdete v tématu Řešení potíží s klientem globálního zabezpečeného přístupu: karta Kontrola stavu.
Karta Přeposílání profilu
Karta Profil předávání zobrazuje seznam aktivních pravidel nastavených pro profil předávání. Karta obsahuje následující informace:
- ID přeposílacího profilu: ID přeposílacího profilu, který klient používá.
- Profil přeposílání naposledy zkontrolován: Čas, kdy klient naposledy zkontroloval aktualizovaný profil přeposílání.
- Podrobnosti o aktualizaci: Vyberte možnost opětovného načtení dat předávání z mezipaměti klienta, pokud byla od poslední aktualizace aktualizována.
- Testovací nástroj zásad: Zvolte, chcete-li zobrazit aktivní pravidlo pro připojení k určitému cíli.
- Přidat filtr: Vyberte, pokud chcete nastavit filtry, aby se zobrazila pouze podmnožina pravidel podle konkrétní sady vlastností filtru.
- Sloupce: Vyberte, které sloupce se mají zobrazit v tabulce.
V části Pravidla jsou uvedena pravidla seskupovaná podle úloh (pravidla M365, pravidla privátního přístupu, pravidla přístupu k internetu). Tento seznam obsahuje jenom pravidla pro úlohy aktivované ve vašem tenantovi.
Návod
Pokud pravidlo obsahuje více cílů, jako je plně kvalifikovaný název domény (FQDN) nebo rozsah IP adres, pravidlo zahrnuje několik řádků s jedním řádkem na cíl.
Pro každé pravidlo zahrnují dostupné sloupce:
- Priorita: Priorita pravidla. Pravidla s vyšší prioritou (menší číselná hodnota) mají přednost před pravidly s nižší prioritou.
- Cíl (IP/FQDN): Cíl provozu podle plně kvalifikovaného názvu domény nebo IP adresy.
- Protokol: Síťový protokol pro provoz: TCP nebo UDP.
- Port: Cílový port provozu.
- Akce: Akce, která klient provede, když odchozí provoz odpovídá cíli, protokolu a portu. Podporované akce jsou tunel (směřování přes Globální zabezpečený přístup) nebo obejit (přejít přímo k cíli).
- Posílení zabezpečení: Akce, kdy se má provoz tunelovat (směrovat na globální zabezpečený přístup), ale připojení ke cloudové službě selže. Podporované akce posílení zabezpečení jsou blokované (vypustit připojení) nebo obejít (povolit připojení přejít přímo do sítě).
- ID pravidla: Jedinečný identifikátor pravidla v profilu předávání.
- ID aplikace: ID privátní aplikace přidružené k pravidlu. Tento sloupec je relevantní jenom pro soukromé aplikace.
Karta Získání názvu hostitele
Karta Získání názvu hostitele umožňuje shromáždit živý seznam názvů hostitelů získaných klientem na základě pravidel plně kvalifikovaného názvu domény v profilu předávání. Každý název hostitele se zobrazí v novém řádku.
- Začněte shromažďovat: Výběrem zahájíte živou kolekci získaných názvů hostitelů.
- Export CSV: Vyberte pro export seznamu získaných názvů hostitelů do souboru CSV.
- Vymazat tabulku: Výběrem vymažete získané názvy hostitelů zobrazené v tabulce.
- Přidat filtr: Vyberte, pokud chcete filtrovat získané názvy hostitelů na základě konkrétních vlastností.
- Sloupce: Vyberte, pokud chcete zvolit sloupce, které se mají zobrazit v tabulce.
Pro každý název hostitele zahrnují dostupné sloupce:
- Časové razítko: Datum a čas každého získání plně kvalifikovaného názvu hostitele.
- Plně kvalifikovaný název domény: Plně kvalifikovaný název domény získaného názvu hostitele.
- Vygenerovaná IP adresa: IP adresa vygenerovaná klientem pro interní účely. Tato IP adresa se zobrazí na kartě provozu pro připojení navázaná k odpovídající plně kvalifikované doméně.
- Získané: Zobrazí Ano nebo Ne označující, zda plně kvalifikovaný doménový název odpovídá pravidlu v profilu přeposílání.
- Původní IP adresa: První adresa IPv4 v odpovědi DNS pro dotaz plně kvalifikovaného názvu domény. Pokud server DNS zařízení koncového uživatele nevrátí adresu IPv4 pro dotaz, původní sloupec IP adresy je prázdný.
Karta Doprava
Karta Provoz umožňuje shromažďovat živý seznam připojení, které zařízení otevírá, podle pravidel v profilu směrování. Každé připojení se zobrazí v novém řádku.
- Spustit shromažďování: Vyberte ke spuštění živého shromažďování připojení.
- Export CSV: Vyberte pro export seznamu připojení do souboru CSV.
- Vymazat tabulku: Vyberte, pokud chcete vymazat připojení zobrazená v tabulce.
- Přidat filtr: Výběrem nastavíte filtry a zobrazíte podmnožinu připojení na základě konkrétních vlastností filtru.
- Sloupce: Vyberte, pokud chcete zvolit sloupce, které se mají zobrazit v tabulce.
Pro každé připojení zahrnují dostupné sloupce:
- Začátek časového razítka: Čas, kdy operační systém otevřel připojení.
- Konec časového razítka: Čas, kdy operační systém ukončil připojení.
- Stav připojení: Označuje, jestli je připojení stále aktivní nebo je již uzavřeno.
- Protokol: Síťový protokol pro připojení; TCP nebo UDP.
- Cílový plně kvalifikovaný název domény: Cílový plně kvalifikovaný název domény pro připojení.
- Zdrojový port: Zdrojový port pro připojení.
- Cílová IP adresa: Cílová IP adresa pro připojení.
- Cílový port: Cílový port pro připojení.
- ID vektoru korelace: jedinečné ID přiřazené každému připojení, které lze korelovat s protokoly přenosů globálního zabezpečeného přístupu na portálu. podpora Microsoftu může toto ID také použít k prozkoumání interních protokolů souvisejících s konkrétním připojením.
- Název procesu: Název procesu, který otevřel připojení.
- ID procesu: Číslo ID procesu, který otevřel připojení.
- Odeslané bajty: Počet bajtů odeslaných ze zařízení do cíle.
- Přijaté bajty: Počet bajtů přijatých zařízením z cíle.
- Kanál: Kanál, ke kterému bylo připojení tunelováno, může být Microsoft 365, Privátní přístup nebo Internetový přístup.
- ID toku: Interní ID číslo pro připojení.
- ID pravidla: Identifikátor pravidla předávacího profilu, který slouží k určení akcí pro toto připojení.
-
Akce: Akce, která byla provedena pro toto připojení; možné akce jsou:
- Tunel: Klient tuneloval připojení ke službě Global Secure Access v cloudu.
- Obejití: Připojení přejde přímo do cíle přes síť zařízení bez zásahu klienta.
- Blok: Klient zablokoval připojení (možné pouze v režimu posílení zabezpečení).
- Posílení zabezpečení: Označuje, zda je u tohoto připojení použito posílení zabezpečení; může být Ano nebo Ne. Posílení zabezpečení platí, když služba Globální zabezpečený přístup není dostupná ze zařízení.
Karta Rozšířené shromažďování protokolů
Karta Rozšířené shromažďování protokolů umožňuje shromažďovat podrobné protokoly klienta, operačních systémů a síťového provozu během určitého období. Protokoly se archivují v souboru ZIP, který můžete odeslat správci nebo podpoře Microsoftu za účelem šetření.
- Zahájit nahrávání: Vyberte tuto možnost pro zahájení nahrávání podrobných protokolů. Reprodukujte problém během nahrávání. Pokud k problému nedojde, shromážděte protokoly, dokud se znovu nezobrazí. Shromažďování protokolů zahrnuje několik hodin aktivity Global Secure Access.
- Zastavit nahrávání: Po reprodukci problému vyberte toto tlačítko a uložte shromážděné protokoly do souboru ZIP. Sdílejte soubor ZIP s podporou pomoci při řešení potíží.
Když se zastaví rozšířené shromažďování protokolů, otevře se složka obsahující soubory protokolu. Ve výchozím nastavení je složka C:\Program Files\Global Secure Access Client\Logs. Složka obsahuje soubor ZIP a dva soubory protokolu trasování událostí (ETL). V případě potřeby můžete soubory ZIP po vyřešení problémů odebrat. Nejlepší je ponechat soubory ETL, protože se jedná o cyklické protokoly a jejich odebrání může způsobit problémy s budoucí kolekcí protokolů.
Shromažďují se následující soubory:
| Soubor | Popis |
|---|---|
| Application-Crash.evtx | Protokol aplikace filtrovaný podle ID události 1001. Tento protokol je užitečný v případě, že dojde k chybovému ukončení služeb. |
| BindingNetworkDrivers.txt | Výsledek "Get-NetAdapterBinding -AllBindings -IncludeHidden" zobrazující všechny moduly vázané na síťové adaptéry. Tento výstup je užitečný k určování, jestli jsou ovladače od jiných společností než Microsoftu svázané se sítí. |
| ClientChecker.log | Výsledky kontrol stavu klienta globálního zabezpečeného přístupu Tyto výsledky se snadněji analyzují, pokud soubor ZIP načtete v klientovi globálního zabezpečeného přístupu. Viz Analýza protokolů klienta globálního zabezpečeného přístupu na jiném zařízení, než kde byly shromážděny. |
| DeviceInformation.log | Proměnné prostředí, včetně verze operačního systému a verze klienta globálního zabezpečeného přístupu |
| dsregcmd.txt | Výstup dsregcmd /status zobrazující stav zařízení včetně Microsoft Entra Join, Hybrid Join, podrobnosti PRT a podrobnosti Windows Hello pro firmy. |
| filterDriver.txt | Filtry platformy Windows |
| ForwardingProfile.json | Zásady JSON doručované klientovi globálního zabezpečeného přístupu. Tato zásada zahrnuje IP adresu hraniční služby Global Secure Access Service, ke které se váš klient připojuje (*.globalsecureaccess.microsoft.com) a pravidla profilů předávání. |
| GlobalSecureAccess-Boot-Trace.etl | Protokolování ladění klienta globálního zabezpečeného přístupu |
| Více .reg souborů | Globální exporty klientského registru zabezpečeného přístupu |
| hostitelé | Soubor hostitele |
| installedPrograms.txt | Nainstalované aplikace pro Windows, které můžou být užitečné k pochopení, co může způsobovat problémy. |
| ipconfig.txt | Výstup příkazu Ipconfig /all včetně IP adresy a DNS serverů přiřazených k zařízení. |
| Kerberos_info.txt | Výstup klist, klist tgt a klist cloud_debug. Tento výstup je užitečný při řešení potíží s protokolem Kerberos a jednotného přihlašování s Windows Hello pro firmy. |
| LogsCollectorLog.log a LogsCollectorLog.log.x | Protokoly pro proces sběrače samotných protokolů. Tyto protokoly jsou užitečné, pokud máte problémy se sběrem protokolů globálního zabezpečeného přístupu. |
| Více .evtx | Export více protokolů událostí Systému Windows |
| NetworkInformation.log | Výpis trasy, tabulka zásad překladu názvů (NRPT) a výsledky latence pro test připojení ke globálnímu zabezpečenému přístupu. Tento výstup je užitečný při řešení potíží s NRPT. |
| RunningProcesses.log | Spuštěné procesy |
| systeminfo.txt | Systémové informace, včetně hardwaru, verzí operačního systému a oprav. |
| systemWideProxy.txt | Výstup příkazu netsh winhttp show proxy |
| uživatelsky nakonfigurovaný proxy | Výstup nastavení proxy serveru v registru |
| userSessions.txt | Seznam uživatelských relací |
| DNSClient.etl | Protokoly klienta DNS. Tyto protokoly jsou užitečné pro diagnostiku problémů s řešením DNS. Otevřete prohlížeč protokolu událostí nebo pomocí PowerShellu vyfiltrujte konkrétní názvy, které vás zajímají: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView |
| InternetDebug.etl | Protokoly shromážděné pomocí příkazu "netsh trace start scenario=internetClient_dbg capture=yes persistent=yes". |
| NetworkTrace.etl | Snímek sítě pořízený pomocí pktmon |
| NetworkTrace.pcap | Zachytávání sítě včetně provozu uvnitř tunelu |
| NetworkTrace.txt | Sledování Pokémon v textovém formátu |
| wfplog.cab | Protokoly platformy Windows Filtering |
Užitečné filtry Analyzátoru provozu sítě
V některých případech je potřeba prozkoumat provoz v tunelu globálního zabezpečeného přístupu. Ve výchozím nastavení zobrazuje zachytávání sítě jenom šifrovaný provoz. Místo toho analyzujte zachytávání sítě vytvořené rozšířenou kolekcí protokolů Global Secure Access v analyzátoru síťového provozu.
Analýza protokolů klienta globálního zabezpečeného přístupu na jiném zařízení, než kde byly shromážděny
Možná budete muset k analýze dat, která uživatelé shromažďují, použít vlastní zařízení. Pokud chcete analyzovat data shromážděná uživatelem, otevřete na zařízení klienta globálního zabezpečeného přístupu, otevřete nástroj Advanced Diagnostic a pak vyberte ikonu složky úplně vpravo na řádku nabídek. Odtud můžete přejít do souboru ZIP nebo souboru GlobalSecureAccess-Trace.etl. Načtením souboru ZIP se také načtou informace, včetně ID tenanta, ID zařízení, verze klienta, kontroly stavu a pravidel profilu předávání, jako byste prováděli řešení problémů přímo na zařízení používaném pro shromažďování dat.