Řešení potíží s klientem globálního zabezpečeného přístupu: záložka Kontrola stavu

Tento dokument obsahuje pokyny pro řešení potíží pro klienta globálního zabezpečeného přístupu pomocí karty Kontrola stavu v nástroji Pokročilá diagnostika.

Úvod

Kontrola stavu pokročilé diagnostiky spouští testy, které ověřují, že klient globálního zabezpečeného přístupu funguje správně a že jsou spuštěné jeho komponenty.

Spusťte kontrolu stavu

Pro spuštění diagnostiky klienta Global Secure Access:

1. Klikněte pravým tlačítkem myši na ikonu hlavního panelu klientského systému Globální zabezpečený přístup a vyberte Rozšířená diagnostika.
2. Otevře se dialogové okno Řízení uživatelských účtů. Výběrem možnosti Ano povolíte klientské aplikaci provádět změny ve vašem zařízení.
3. V dialogovém okně Globální klient zabezpečeného přístupu – Pokročilá diagnostika vyberte kartu Kontrola stavu. Při přepínání karet se spustí kontrola stavu.

Proces řešení

Většina zdravotních testů závisí jeden na druhém. Pokud testy selžou:

1. Vyřešte první neúspěšný test v seznamu.
2. Výběrem možnosti Aktualizovat zobrazíte aktualizovaný stav testu.
3. Opakujte, dokud nevyřešíte všechny neúspěšné testy.

Zkontrolovat Prohlížeč událostí

V rámci procesu řešení potíží může být užitečné zkontrolovat Prohlížeč událostí pro klienta globálního zabezpečeného přístupu. Protokol obsahuje cenné události týkající se chyb a jejich příčiny.

1. Přejděte na Ovládací panely>Systém a zabezpečení>Nástroje Windows.
2. Spusťte Prohlížeč událostí.
3. Přejděte na Protokoly aplikací a služeb>Microsoft>Windows>Global Secure Access Client.
   1. Pokud chcete zobrazit protokoly klienta, vyberte Provozní.
   2. Pokud chcete zobrazit protokoly ovladačů, vyberte Jádro.

Testy kontroly stavu

Následující kontroly ověřují stav globálního klienta zabezpečeného přístupu.

Zařízení je propojeno s Microsoft Entra

Klient Systému Windows ověřuje uživatele a zařízení ve službě Globální bezpečný přístup. Ověřování zařízení na základě tokenu zařízení vyžaduje, aby zařízení bylo připojené buď k Microsoft Entra, nebo k hybridnímu připojení Microsoft Entra. Registrovaná zařízení Microsoft Entra se v současné době nepodporují. Pokud chcete zkontrolovat stav zařízení, zadejte do příkazového řádku následující příkaz: dsregcmd.exe /status.

Může se připojit k internetu

Tato kontrola označuje, jestli je zařízení připojené k internetu nebo ne. Klient globálního zabezpečeného přístupu vyžaduje připojení k internetu. Tento test je založený na funkci indikátoru stavu připojení k síti (NCSI).

Tunelovací služba běží

Globální služba zabezpečeného přístupu přes tunel musí být spuštěna.

1. Pokud chcete ověřit, že je tato služba spuštěná, zadejte do příkazového řádku následující příkaz:
   sc query GlobalSecureAccessTunnelingService
2. Pokud služba globálního zabezpečeného tunelového tunelování není spuštěná, spusťte ji z nástroje services.msc.
3. Pokud se službě nepodaří spustit, vyhledejte chyby v Prohlížeči událostí.

Služba motoru běží

Musí být spuštěna služba Global Secure Access Engine.

1. Pokud chcete ověřit, že je tato služba spuštěná, zadejte do příkazového řádku následující příkaz:
   sc query GlobalSecureAccessEngineService
2. Pokud služba Global Secure Access Engine není spuštěná, spusťte ji z nástroje services.msc.
3. Pokud se službě nepodaří spustit, vyhledejte chyby v Prohlížeči událostí.

Služba pro načítání zásad je spuštěná

Musí být spuštěna služba Pro načítání globálních zásad zabezpečeného přístupu.

1. Pokud chcete ověřit, že je tato služba spuštěná, zadejte do příkazového řádku následující příkaz:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Pokud služba načítání globálních zásad zabezpečeného přístupu není spuštěná, spusťte ji z services.msc.
3. Pokud se službě nepodaří spustit, vyhledejte chyby v Prohlížeči událostí.

Ovladač spuštěný

Globální ovladač zabezpečeného přístupu musí být spuštěný. Pokud chcete ověřit, že je tato služba spuštěná, zadejte do příkazového řádku následující příkaz:
sc query GlobalSecureAccessDriver

Pokud ovladač není spuštěný:

1. Otevřete Prohlížeč událostí a vyhledejte událost 304 v protokolu klienta globálního zabezpečeného přístupu.
2. Pokud ovladač není spuštěný, restartujte počítač.
3. Spusťte příkaz sc query GlobalSecureAccessDriver znovu.
4. Pokud problém zůstane nevyřešený, přeinstalujte klienta globálního zabezpečeného přístupu.

Spuštěná aplikace na hlavním panelu klienta

Proces GlobalSecureAccessClient.exe spustí uživatelské prostředí klienta v hlavním panelu systému. Pokud na hlavním panelu systému nevidíte ikonu Globální zabezpečený přístup, můžete ji spustit z následující cesty:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Registr profilů předávání existuje.

Tento test ověří, že existuje následující klíč registru:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Pokud klíč registru neexistuje, zkuste vynutit načítání zásad předávání:

1. Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp Odstraňte klíč registru, pokud existuje.
2. Restartujte službu Global Secure Access Policy Retriever Service.
3. Zkontrolujte, jestli jsou vytvořeny dva klíče registru.
4. Pokud ne, vyhledejte v Prohlížeči událostí chyby.

Přeposílání profilu odpovídá očekávanému schématu

Tento test ověří, že profil předávání v registru má platný formát, který může klient číst.

Pokud tento test selže, pomocí následujícího postupu se ujistěte, že používáte nejaktuálnější profil předávání vašeho tenanta:

1. Odstraňte následující klíče registru:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Restartujte službu Global Secure Access Policy Retriever Service.
3. Restartujte klienta globálního zabezpečeného přístupu.
4. Znovu spusťte kontrolu stavu.
5. Pokud předchozí kroky problém nevyřeší, upgradujte klienta globálního zabezpečeného přístupu na nejnovější verzi.
6. Pokud problém přetrvává, obraťte se na podpora Microsoftu.

Režim zalomení skla je zakázaný

Nouzový režim zabrání klientovi Global Secure Access v tunelování síťového provozu do cloudové služby Global Secure Access. V režimu Break-glass nejsou na portálu Global Secure Access zaškrtnuty žádné profily přenosu a od klienta Global Secure Access se neočekává, že bude tunelovat jakýkoli provoz.

Nastavení klienta pro přijímání provozu a jeho směrování přes tunel do služby Global Secure Access:

1. Přihlaste se do Centra pro správu Microsoft Entra jako Globální Správce Zabezpečeného Přístupu.
2. Přejděte na Zabezpečený přístup>Připojení>Předávání provozu.
3. Povolte aspoň jeden z profilů provozu, které odpovídají potřebám vaší organizace.

Klient globálního zabezpečeného přístupu by měl obdržet aktualizovaný profil předávání do jedné hodiny po provedení změn na portálu.

Diagnostické adresy URL v předávacím profilu

Pro každý kanál aktivovaný v profilu předávání tento test zkontroluje, že konfigurace obsahuje adresu URL pro sondu stavu služby.

Pokud chcete zobrazit zdravotní stav, poklikejte na ikonu hlavního panelu systému klienta Global Secure Access.

Pokud tento test selže, důvodem je obvykle vnitřní problém s globálním zabezpečeným přístupem. Obraťte se na podporu Microsoftu.

Ověřovací certifikát existuje.

Tento test ověří, že na zařízení existuje certifikát pro připojení mTLS (Mutual Transport Layer Security) ke cloudové službě Global Secure Access.

Návod

Tento test se nezobrazuje, pokud ještě není pro vašeho tenanta povolený protokol mTLS.

Pokud tento test selže, zaregistrujte se do nového certifikátu provedením následujících kroků:

1. Spusťte konzolu Microsoft Management Console zadáním následujícího příkazu do příkazového řádku: certlm.msc.
2. V okně certlm přejděte na Osobní>certifikáty.
3. Odstraňte certifikát, který končí gsa.client, pokud existuje.
4. Odstraňte následující klíč registru:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Restartujte službu Global Secure Access Engine v konzole MMC.
6. Aktualizujte certifikáty konzoly MMC a ověřte, že byl vytvořen nový certifikát.
   Zřízení nového certifikátu může trvat několik minut.
7. Zkontrolujte chyby v protokolu událostí klienta globálního zabezpečeného přístupu.
8. Znovu spusťte testy kontroly stavu.

Ověřovací certifikát je platný.

Tento test ověří platnost ověřovacího certifikátu použitého pro připojení mTLS ke cloudové službě Global Secure Access.

Návod

Tento test se nezobrazuje, pokud ještě není pro vašeho tenanta povolený protokol mTLS.

Pokud tento test selže, zaregistrujte se do nového certifikátu provedením následujících kroků:

1. Spusťte konzolu Microsoft Management Console zadáním následujícího příkazu do příkazového řádku: certlm.msc.
2. V okně certlm přejděte na Osobní>certifikáty.
3. Odstraňte certifikát, který končí gsa.client.
4. Odstraňte následující klíč registru:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Restartujte službu Global Secure Access Engine v konzole MMC.
6. Aktualizujte certifikáty konzoly MMC a ověřte, že byl vytvořen nový certifikát.
   Zřízení nového certifikátu může trvat několik minut.
7. Zkontrolujte chyby v protokolu událostí klienta globálního zabezpečeného přístupu.
8. Znovu spusťte testy kontroly stavu.

DNS přes HTTPS se nepodporuje

Aby mohl klient Global Secure Access získávat síťový provoz pro plně kvalifikovaný název domény (FQDN) (na rozdíl od cíle IP adresy), musí klient číst požadavky DNS odeslané zařízením na server DNS. To znamená, že pokud profil předávání obsahuje pravidla plně kvalifikovaného názvu domény, musíte zakázat DNS přes HTTPS.

Zabezpečení DNS zakázané v operačním systému

Pokud chcete ve Windows zakázat DNS přes HTTPS, přečtěte si informace o zabezpečeném klientovi DNS přes PROTOKOL HTTPS (DoH).

Důležité

Pokud chcete úspěšně spustit kontrolu stavu klienta globálního zabezpečeného přístupu, musíte dns přes HTTPS zakázat.

Zabezpečené DNS zakázané v prohlížečích (Microsoft Edge, Chrome, Firefox)

Zkontrolujte, jestli je zabezpečený DNS pro každý z následujících prohlížečů zakázaný:

Zabezpečení DNS zakázané v Microsoft Edgi

Zakázání DNS přes HTTPS v Microsoft Edgi:

1. Spusťte Microsoft Edge.
2. Otevřete nabídku Nastavení a další možnosti a vyberte Nastavení.
3. Vyberte Soukromí, vyhledávání a služby.
4. V části Zabezpečení změňte nastavení Použít zabezpečený DNS pro určení způsobu vyhledávání síťové adresy webů na vypnuto.

Zabezpečený DNS zakázaný v Chromu

Zakázání DNS přes HTTPS v Prohlížeči Google Chrome:

1. Otevřete Chrome.
2. Vyberte Přizpůsobit a ovládat Google Chrome a pak vyberte Nastavení.
3. Vyberte Ochrana osobních údajů a zabezpečení.
4. Vyberte Zabezpečení.
5. V části Upřesnit nastavte přepínač Použít zabezpečený DNS na vypnuto.

Zabezpečený DNS zakázaný ve Firefoxu

Zakázání DNS přes HTTPS v Mozilla Firefoxu:

1. Otevřete Firefox.
2. Vyberte tlačítko Otevřít nabídku aplikace a pak vyberte Nastavení.
3. Vyberte Ochrana osobních údajů a zabezpečení.
4. V části DNS přes HTTPS vyberte Vypnuto.

Responzivní DNS

Tento test zkontroluje, jestli server DNS nakonfigurovaný pro Windows vrátí odpověď DNS.

Pokud tento test selže:

1. Pozastavte klienta globálního zabezpečeného přístupu.
2. Zkontrolujte, jestli je dostupný server DNS nakonfigurovaný pro Windows. Zkuste například pomocí nástroje nslookup vyřešit "microsoft.com".
3. Ověřte, že žádné brány firewall neblokují provoz na server DNS.
4. Nakonfigurujte alternativní server DNS a znovu otestujte.
5. Obnovte klienta globálního zabezpečeného přístupu.

Přijatá magická IP adresa

Tato kontrola ověří, že klient dokáže získat provoz z plně kvalifikovaného názvu domény (FQDN).

Pokud test selže:

1. Restartujte klienta a znovu otestujte.
2. Restartujte systém Windows. Tento krok může být nezbytný ve výjimečných případech k odstranění nestálé mezipaměti.

Token uložený v mezipaměti

Tento test ověří, že se klient úspěšně ověřil pro Microsoft Entra.

Pokud test tokenu uloženého v mezipaměti selže:

1. Ověřte, zda jsou služby a ovladač aktivní.
2. Ověřte, že je ikona hlavního panelu systému viditelná.
3. Pokud se zobrazí oznámení o přihlášení, vyberte Přihlásit se.
4. Pokud se oznámení o přihlášení nezobrazí, zkontrolujte, jestli je v Centru oznámení, a vyberte Přihlásit se.
5. Přihlaste se pomocí uživatele, který je členem stejného tenanta Microsoft Entra, ke kterému je zařízení připojené.
6. Ověřte síťové připojení.
7. Najeďte myší na ikonu na hlavním panelu systému a ověřte, že vaše organizace klienta nezablokuje .
8. Restartujte klienta a počkejte několik sekund.
9. Vyhledejte chyby v Prohlížeči událostí.

Upřednostňovaný protokol IPv4

Globální zabezpečený přístup zatím nepodporuje sběr provozu pro destinace s adresami IPv6. Doporučujeme nakonfigurovat klienta tak, aby preferoval protokol IPv4 před protokolem IPv6, pokud:

1. Profil předávání je nastaven tak, aby získával provoz prostřednictvím IPv4 (na rozdíl od získávání prostřednictvím plně kvalifikovaného názvu domény).
2. Plně kvalifikovaný název domény přeložený na tuto IP adresu se také přeloží na adresu IPv6.

Pokud chcete klienta nakonfigurovat tak, aby upřednostňoval protokol IPv4 před protokolem IPv6, nastavte následující klíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Důležité

Změny této hodnoty registru vyžadují restartování počítače. Další informace najdete v tématu Pokyny ke konfiguraci protokolu IPv6 ve Windows pro pokročilé uživatele.

Název hostitele Edge přeložený službou DNS

Tento test zkontroluje všechny aktivní typy provozu: Microsoft 365, Privátní přístup a Internet Access. Pokud tento test selže, DNS nemůže přeložit názvy hostitelů cloudové služby Globální zabezpečený přístup, a proto není dostupná. Příčinou neúspěšného testu může být problém s připojením k internetu nebo server DNS, který nerozloží veřejné názvy hostitelů internetu.

Chcete-li ověřit, že překlad názvu hostitele funguje správně:

1. Pozastavte klienta.
2. Spusťte příkaz PowerShellu: Resolve-DnsName -Name <edge's FQDN>
3. Pokud se rozlišení názvu hostitele nezdaří, zkuste spustit: Resolve-DnsName -Name microsoft.com
4. Ověřte, že jsou pro tento počítač nakonfigurované servery DNS: ipconfig /all
5. Pokud předchozí kroky problém nevyřeší, zvažte nastavení jiného veřejného serveru DNS.

Edge je dostupný

Tento test zkontroluje všechny aktivní typy provozu: Microsoft 365, Privátní přístup a Internet Access. Pokud tento test selže, zařízení nemá síťové připojení ke cloudové službě Globální zabezpečený přístup.

Pokud test selže:

1. Ověřte, že zařízení má připojení k internetu.
2. Ověřte, že brána firewall nebo proxy server neblokují připojení k okraji.
3. Ujistěte se, že je na zařízení aktivní protokol IPv4. V současné době Edge funguje jenom s adresou IPv4.
4. Zastavte klienta a zkuste to znovu Test-NetConnection -ComputerName <edge's fqdn> -Port 443.
5. Zkuste příkaz PowerShellu z jiného zařízení připojeného k internetu z veřejné sítě.

Proxy server je zakázaný

Tento test zkontroluje, jestli je na zařízení nakonfigurovaný proxy server. Pokud je zařízení koncového uživatele nakonfigurované tak, aby používalo proxy server pro odchozí provoz do internetu, musíte vyloučit cílové IP adresy nebo plně kvalifikované názvy domén získané klientem se souborem PAC (Proxy Auto-Configuration) nebo protokolem WPAD (Web Proxy Auto-Discovery).

Změna souboru PAC

Přidejte do souboru PAC IP adresy nebo plně kvalifikované názvy domén, které mají být vyloučeny pro účely tunelování na rozhraní Global Secure Access. Tím zajistíte, že HTTP požadavky na tyto cílové adresy nebudou přesměrovány na proxy server. (Tyto IP adresy nebo plně kvalifikované názvy domén jsou také nastavené tak, aby tunelovaly do globálního zabezpečeného přístupu v profilu předávání.) Chcete-li zobrazit stav klienta správně, přidejte plně kvalifikovaný název domény použitý pro zjišťování stavu do seznamu vyloučení: .edgediagnostic.globalsecureaccess.microsoft.com.

Příklad souboru PAC obsahujícího vyloučení:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Přidání systémové proměnné

Konfigurace klienta globálního zabezpečeného přístupu pro směrování globálního zabezpečeného přístupu přes proxy server:

1. Nastavte systémovou proměnnou prostředí ve Windows pojmenovanou grpc_proxy na hodnotu adresy proxy serveru. Například http://10.1.0.10:8080.
2. Restartujte klienta globálního zabezpečeného přístupu.

Nebyl zjištěn žádný externí virtuální přepínač Hyper-V

Podpora technologie Hyper-V:

1. Externí virtuální přepínač: Klient Systému Windows Global Secure Access v současné době nepodporuje hostitelské počítače s externím virtuálním přepínačem Hyper-V. Klient se ale dá nainstalovat na virtuální počítače, aby tuneloval provoz do globálního zabezpečeného přístupu.
2. Interní virtuální přepínač: Klient systému Windows Global Secure Access je možné nainstalovat na hostitelské a hostované počítače. Klient tuneluje pouze síťový provoz počítače, na který je nainstalovaný. Jinými slovy, klient nainstalovaný na hostitelském počítači nesměruje síťový provoz virtuálních strojů.

Klient globálního zabezpečeného přístupu pro Windows podporuje virtuální počítače Azure.

Klient Globální zabezpečený přístup pro Windows podporuje Azure Virtual Desktop (AVD).

Poznámka:

AVD nepodporuje více relací.

Tunelování bylo úspěšné

Tento test zkontroluje každý aktivní profil provozu v profilu přesměrování (Microsoft 365, Privátní přístup a Internetový přístup) a ověří, jestli jsou připojení ke službě kontroly stavu odpovídajícího kanálu úspěšně tunelována.

Pokud tento test selže:

1. Zkontrolujte chyby v Prohlížeči událostí.
2. Restartujte klienta a zkuste to znovu.

Globální procesy zabezpečeného přístupu v pořádku (posledních 24 hod)

Pokud tento test selže, znamená to, že alespoň jeden proces klienta se za posledních 24 hodin chybově ukončil.

Pokud všechny ostatní testy projdou, měl by klient aktuálně fungovat. Může ale být užitečné prozkoumat soubor s výpisem stavu procesu, aby se zvýšila budoucí stabilita a lépe pochopili, proč došlo k chybovému ukončení procesu.

Zkoumání souboru výpisu stavu procesu při chybovém ukončení procesu:

1. Konfigurace výpisů stavu režimu uživatele:
   • Přidejte následující klíč registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • REG_SZ DumpFolder Přidejte hodnotu registru a nastavte její data do existujícího dumpFolderu, do kterého chcete uložit soubor s výpisem paměti.
2. Reprodukujte problém a vytvořte nový soubor s výpisem paměti ve vybraném DumpFolderu.
3. Otevřete ticket pro podporu Microsoftu a připojte výpis paměti a kroky k reprodukci problému.
4. Zkontrolujte protokoly v Prohlížeči událostí a vyfiltrujte události selhání (filtrujte aktuální protokoly: ID události = 1000).
5. Uložte filtrovaný protokol jako soubor a přiložte jej k podpůrnému tiketu.

QuIC není podporován pro internetový přístup

Vzhledem k tomu, že quIC zatím není podporovaný pro Internet Access, není možné tunelovat provoz na porty 80 UDP a 443 UDP.

Návod

QuIC se v současné době podporuje v privátním přístupu a úlohách Microsoftu 365.

Správci můžou zakázat protokol QUIC, který spouští klienty, aby se vrátili k protokolu HTTPS přes protokol TCP, který je plně podporovaný v internetovém přístupu.

QuIC zakázáno v Microsoft Edgi

Zakázání QUIC v Microsoft Edgi:

1. Otevřete Microsoft Edge.
2. Vložte edge://flags/#enable-quic do adresního řádku.
3. Nastavte rozevírací seznam pro experimentální protokol QUIC na Zakázáno.

QuIC zakázáno v Chromu

Zakázání QUIC v Prohlížeči Google Chrome:

1. Otevřete Google Chrome.
2. Vložte chrome://flags/#enable-quic do adresního řádku.
3. Nastavte rozevírací seznam pro experimentální protokol QUIC na Zakázáno.

QUIC zakázáno v Mozilla Firefoxu

Zakázání QUIC v Mozilla Firefoxu:

1. Otevřete Firefox.
2. Vložte about:config do adresního řádku.
3. V poli Název předvolby hledání vložte network.http.http3.enable.
4. Přepněte možnost network.http.http3.enable na false.