Bagikan melalui

Memecahkan masalah klien Akses Aman Global untuk Windows: Diagnostik tingkat lanjut

Artikel ini menyediakan panduan pemecahan masalah untuk klien Akses Aman Global untuk Windows. Ini menjelajahi setiap tab utilitas diagnostik tingkat lanjut.

Pendahuluan

Klien Akses Aman Global berjalan di latar belakang, merutekan lalu lintas jaringan yang relevan ke Akses Aman Global tanpa memerlukan interaksi pengguna. Gunakan alat diagnostik tingkat lanjut untuk mendapatkan visibilitas ke perilaku klien dan memecahkan masalah secara efektif.

Meluncurkan alat diagnostik tingkat lanjut

Ada dua cara untuk meluncurkan alat diagnostik tingkat lanjut:

  1. Klik kanan ikon klien Akses Aman Global di area notifikasi.
  2. Pilih Diagnostik Tingkat Lanjut. Jika diaktifkan, Kontrol Akun Pengguna (UAC) akan meminta Anda untuk meningkatkan hak istimewa.

Atau

  1. Pilih ikon klien Akses Aman Global di baki sistem.
  2. Beralih ke tampilan Pemecahan Masalah .
  3. Di bawah Alat diagnostik tingkat lanjut, pilih Jalankan alat.

Cuplikan tampilan Pemecahan Masalah dari antarmuka klien Akses Aman Global dengan tombol Alat Jalankan disorot.

Tab Ikhtisar

Tab Gambaran Umum diagnostik tingkat lanjut memperlihatkan detail konfigurasi umum untuk klien Akses Aman Global:

  • Nama pengguna: Nama prinsipal pengguna Microsoft Entra pengguna yang diautentikasi ke klien.
  • ID Perangkat: ID perangkat di Microsoft Entra. Perangkat harus dihubungkan ke tenant layanan.
  • ID Penyewa : ID penyewa yang ditunjukkan oleh klien, yang merupakan penyewa yang sama tempat perangkat dihubungkan.
  • ID Profil Penerusan: ID profil penerusan yang saat ini digunakan oleh klien.
  • Profil Penerusan terakhir diperiksa: Waktu terakhir kali klien memeriksa profil penerusan yang diperbarui.
  • Versi klien: Versi klien Akses Aman Global yang saat ini diinstal pada perangkat.

Cuplikan layar kotak dialog Klien Akses Aman Global - Diagnostik tingkat lanjut pada tab Gambaran Umum.

Tab pemeriksaan kesehatan

Tab Pemeriksaan kesehatan menjalankan pengujian umum untuk memverifikasi bahwa klien dan komponennya berfungsi dengan benar. Untuk informasi selengkapnya, lihat Pemecahan Masalah Klien Akses Aman Global: Tab Cek Kesehatan.

Tab profil penerusan

Tab Profil penerusan memperlihatkan daftar aturan aktif yang ditetapkan untuk profil penerusan. Tab menyertakan informasi berikut:

  • ID profil penerusan: ID profil penerusan yang saat ini digunakan oleh klien.
  • Profil penerusan terakhir diperiksa: Waktu ketika klien terakhir memeriksa profil penerusan yang diperbarui.
  • Segarkan detail: Pilih untuk memuat ulang data penerusan dari cache klien jika data tersebut diperbarui sejak pembaruan terakhir.
  • Tester Kebijakan: Pilih untuk menampilkan aturan aktif untuk koneksi ke tujuan tertentu.
  • Tambahkan filter: Pilih untuk mengatur filter untuk melihat hanya subset aturan sesuai dengan sekumpulan properti filter tertentu.
  • Kolom: Pilih untuk memilih kolom mana yang akan ditampilkan dalam tabel.

Cuplikan layar kotak dialog Klien Akses Aman Global - Diagnostik tingkat lanjut pada tab Profil Penerusan.

Bagian aturan mencantumkan aturan yang dikelompokkan menurut beban kerja (aturan M365, Aturan akses privat, aturan akses Internet). Daftar ini hanya mencakup aturan untuk beban kerja yang diaktifkan di tenant Anda.

Petunjuk / Saran

Jika aturan menyertakan beberapa tujuan, seperti nama domain yang sepenuhnya memenuhi syarat (FQDN) atau rentang IP, aturan tersebut mencakup beberapa baris dengan satu baris per tujuan.

Untuk setiap aturan, kolom yang tersedia meliputi:

  • Prioritas: Prioritas aturan. Aturan dengan prioritas yang lebih tinggi (nilai numerik yang lebih kecil) lebih diutamakan daripada aturan dengan prioritas yang lebih rendah.
  • Tujuan (IP/FQDN): Tujuan lalu lintas berdasarkan FQDN atau IP.
  • Protokol: Protokol jaringan untuk lalu lintas: TCP atau UDP.
  • Port: Port tujuan lalu lintas.
  • Tindakan: Tindakan yang diambil klien saat lalu lintas keluar cocok dengan tujuan, protokol, dan port. Tindakan yang didukung adalah terowongan (rute ke Akses Aman Global) atau bypass (langsung masuk ke tujuan).
  • Pengerasan: Tindakan ketika lalu lintas harus diterowongkan (dirutekan ke Akses Aman Global) namun koneksi ke layanan cloud mengalami kegagalan. Tindakan pengerasan yang didukung adalah blok (hilangkan koneksi) atau bypass (izinkan koneksi untuk langsung masuk ke jaringan).
  • ID Aturan: Pengidentifikasi unik dari aturan dalam profil penerusan.
  • ID Aplikasi: ID dari aplikasi privat yang terkait dengan aturan. Kolom ini hanya relevan untuk aplikasi privat.

Tab pengambilan nama host

Tab Akuisisi Nama Host memungkinkan Anda mengumpulkan daftar langsung nama host yang diperoleh klien berdasarkan aturan FQDN di profil penerusan. Setiap nama host muncul di baris baru.

  • Mulai mengumpulkan: Pilih untuk memulai pengumpulan langsung hostname yang diperoleh.
  • Ekspor CSV: Pilih untuk mengekspor daftar nama host yang diperoleh ke file CSV.
  • Hapus tabel: Pilih untuk menghapus nama host yang diperoleh yang ditampilkan dalam tabel.
  • Tambahkan filter: Pilih untuk memfilter nama host yang diperoleh berdasarkan properti tertentu.
  • Kolom: Pilih untuk memilih kolom yang akan ditampilkan dalam tabel.

Untuk setiap nama host, kolom yang tersedia meliputi:

  • Tanda waktu: Tanggal dan waktu setiap akuisisi nama host FQDN.
  • FQDN: FQDN dari nama host yang diperoleh.
  • Alamat IP yang Dihasilkan: Alamat IP yang dibuat oleh klien untuk keperluan internal. IP ini muncul di tab lalu lintas untuk koneksi yang dibuat ke FQDN yang sesuai.
  • Diperoleh: Menampilkan Ya atau Tidak untuk menunjukkan apakah FQDN cocok dengan aturan pada profil penerusan.
  • Alamat IP asli: Alamat IPv4 pertama dalam respons DNS untuk pertanyaan/kueri FQDN. Jika server DNS perangkat pengguna akhir tidak mengembalikan alamat IPv4 untuk kueri, kolom alamat IP asli kosong.

Tab Lalu Lintas

Tab lalu lintas memungkinkan Anda mengumpulkan daftar koneksi langsung yang dibuka oleh perangkat berdasarkan aturan di profil penerusan. Setiap koneksi muncul di baris baru.

  • Mulai mengumpulkan: Pilih untuk memulai pengumpulan koneksi secara real-time.
  • Ekspor CSV: Pilih untuk mengekspor daftar koneksi ke file CSV.
  • Hapus tabel: Pilih untuk menghapus koneksi yang ditampilkan dalam tabel.
  • Tambahkan filter: Pilih untuk mengatur filter dan menampilkan subset koneksi berdasarkan properti filter tertentu.
  • Kolom: Pilih untuk memilih kolom yang akan ditampilkan dalam tabel.

Untuk setiap koneksi, kolom yang tersedia meliputi:

  • Tanda waktu dimulai: Waktu sistem operasi membuka koneksi.
  • Tanda waktu berakhir: Waktu ketika sistem operasi menutup koneksi.
  • Status koneksi: Menunjukkan apakah koneksi masih aktif atau sudah ditutup.
  • Protokol: Protokol jaringan untuk koneksi; baik TCP atau UDP.
  • FQDN Tujuan: FQDN tujuan untuk koneksi.
  • Port sumber: Port sumber untuk koneksi.
  • IP Tujuan: IP tujuan untuk koneksi.
  • Port tujuan: Port tujuan untuk koneksi.
  • ID vektor korelasi: ID unik yang dikaitkan dengan setiap koneksi yang dapat berkorelasi dengan log lalu lintas Akses Aman Global di portal. Dukungan Microsoft juga dapat menggunakan ID ini untuk menyelidiki log internal yang terkait dengan koneksi tertentu.
  • Nama proses: Nama proses yang membuka koneksi.
  • ID Proses: Nomor ID untuk proses yang membuka koneksi.
  • Byte yang dikirim: Jumlah byte yang dikirim dari perangkat ke tujuan.
  • Byte diterima: Jumlah byte yang diterima oleh perangkat dari tujuan.
  • Saluran: Saluran tempat koneksi dilakukan melalui terowongan; dapat berupa Microsoft 365, Akses Privat, atau Akses Internet.
  • Alur ID: Nomor ID internal untuk koneksi.
  • ID Aturan: Pengidentifikasi untuk aturan penerusan profil yang digunakan dalam menentukan tindakan koneksi ini.
  • Tindakan: Tindakan yang diambil untuk koneksi ini; tindakan yang mungkin adalah:
    • Terowongan: Klien membuat terowongan koneksi ke layanan Akses Aman Global di cloud.
    • Bypass: Koneksi langsung masuk ke tujuan melalui jaringan perangkat tanpa intervensi oleh klien.
    • Blokir: Klien memblokir koneksi (hanya dimungkinkan dalam mode Pengerasan).
  • Pengerasan: Menunjukkan apakah pengerasan diterapkan ke koneksi ini; dapat berupa Ya atau Tidak. Pengerasan berlaku saat layanan Akses Aman Global tidak dapat dijangkau dari perangkat.

Tab kumpulan log tingkat lanjut

Tab pengumpulan log tingkat lanjut memungkinkan Anda mengumpulkan log rinci klien, sistem operasi, dan lalu lintas jaringan selama periode tertentu. Log diarsipkan dalam file ZIP yang dapat Anda kirim ke admin atau Dukungan Microsoft untuk penyelidikan.

  • Mulai perekaman: Pilih untuk mulai merekam log verbose. Reproduksi masalah saat merekam. Jika masalah tidak terjadi, kumpulkan log hingga masalah tersebut muncul kembali. Pengumpulan log mencakup beberapa jam aktivitas Akses Aman Global.
  • Hentikan perekaman: Setelah mereproduksi masalah, pilih tombol ini untuk menghentikan rekaman dan menyimpan log yang dikumpulkan ke file ZIP. Bagikan file ZIP dengan dukungan untuk bantuan pemecahan masalah.

Cuplikan layar memperlihatkan kotak dialog Klien Akses Aman Global - Diagnostik tingkat lanjut pada tab Kumpulan log tingkat lanjut.

Ketika pengumpulan log tingkat lanjut berhenti, folder yang berisi file log akan terbuka. Secara default, foldernya adalah C:\Program Files\Global Secure Access Client\Logs. Folder berisi file zip dan dua file log pelacakan peristiwa (ETL). Jika diperlukan, Anda dapat menghapus file zip setelah menyelesaikan masalah. Yang terbaik adalah meninggalkan file ETL karena file tersebut adalah log melingkar, dan menghapusnya mungkin membuat masalah dengan koleksi log di masa mendatang.

File berikut dikumpulkan:

Arsip Deskripsi
Application-Crash.evtx Log aplikasi difilter menurut ID peristiwa 1001. Log ini berguna ketika layanan mengalami crash.
BindingNetworkDrivers.txt Hasil "Get-NetAdapterBinding -AllBindings -IncludeHidden" menunjukkan semua modul yang terikat ke adaptor jaringan. Output ini berguna untuk mengidentifikasi apakah driver non-Microsoft terikat ke tumpukan jaringan.
ClientChecker.log Hasil pemeriksaan kesehatan klien Akses Aman Global. Hasil ini lebih mudah dianalisis jika Anda memuat file zip di klien Akses Aman Global. Lihat Menganalisis log klien Akses Aman Global di perangkat yang berbeda dari tempat mereka dikumpulkan.
DeviceInformation.log Variabel lingkungan termasuk versi OS dan versi klien Akses Aman Global.
dsregcmd.txt Keluaran dari dsregcmd /status yang menunjukkan status perangkat termasuk Hybrid Joined, Microsoft Entra Joined, detail PRT, dan detail Windows Hello for Business.
filterDriver.txt Platform Pemfilteran Windows
ForwardingProfile.json Kebijakan json dikirimkan ke klien Akses Aman Global. Kebijakan ini mencakup alamat IP edge layanan Global Secure Access yang dihubungkan dengan klien Anda (*.globalsecureaccess.microsoft.com) dan aturan profil penerusan.
GlobalSecureAccess-Boot-Trace.etl Pencatatan debug klien Global Akses Aman
Beberapa file .reg Ekspor registri klien Global Secure Access
Host File Host
installedPrograms.txt Aplikasi terinstal Windows, yang dapat berguna untuk memahami apa yang mungkin menyebabkan masalah.
ipconfig.txt Keluaran dari perintah ipconfig /all termasuk alamat IP dan server DNS yang ditetapkan ke perangkat.
Kerberos_info.txt Keluaran dari klist, klist tgt, dan klist cloud_debug. Output ini berguna untuk memecahkan masalah kerberos, dan SSO dengan Windows Hello for Business.
LogsCollectorLog.log dan LogsCollectorLog.log.x Log untuk proses pengumpul log itu sendiri. Log ini berguna jika Anda mengalami masalah dengan kumpulan log Akses Aman Global.
Beberapa .evtx Ekspor berbagai log kejadian Windows.
NetworkInformation.log Output dari cetak rute, tabel Tabel Kebijakan Resolusi Nama (NRPT), dan hasil latensi untuk tes konektivitas Akses Aman Global. Output ini berguna untuk memecahkan masalah NRPT.
RunningProcesses.log Menjalankan proses
systeminfo.txt Informasi sistem termasuk perangkat keras, versi OS, dan patch.
systemWideProxy.txt Keluaran dari netsh winhttp show proxy
Proxy yang Dikonfigurasi Pengguna Hasil dari pengaturan proksi di dalam registri
userSessions.txt Daftar sesi pengguna
DNSClient.etl Log untuk klien DNS. Log ini berguna untuk mendiagnosis masalah resolusi DNS. Buka dengan penampil Log Peristiwa, atau filter ke nama tertentu yang menarik dengan PowerShell: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView
InternetDebug.etl Pengumpulan log dilakukan dengan menggunakan "netsh trace start scenario=internetClient_dbg capture=yes persistent=yes".
NetworkTrace.etl Penangkapan jaringan yang diambil dengan pktmon
NetworkTrace.pcap Penangkapan data jaringan termasuk lalu lintas di dalam terowongan
NetworkTrace.txt Pelacakan Pkmon dalam bentuk format teks
wfplog.cab Log Penyaringan Platform Windows

Filter Penganalisis Lalu Lintas Jaringan yang Berguna

Dalam beberapa kasus, Anda perlu menyelidiki lalu lintas dalam terowongan layanan Akses Aman Global. Secara default, tangkapan jaringan hanya menampilkan lalu lintas terenkripsi. Sebagai gantinya, analisis tangkapan jaringan yang dibuat oleh Akses Aman Global melalui koleksi log tingkat lanjut dalam penganalisis lalu lintas jaringan.

Menganalisis log klien Akses Aman Global pada perangkat yang berbeda dari tempat mereka dikumpulkan

Anda mungkin perlu menggunakan perangkat Anda sendiri untuk menganalisis data yang dikumpulkan pengguna Anda. Untuk menganalisis data yang dikumpulkan pengguna, buka klien Akses Aman Global di perangkat Anda, buka alat Diagnostik Tingkat Lanjut, lalu pilih ikon folder di ujung kanan bilah menu. Dari sini, Anda dapat menavigasi ke file zip atau file GlobalSecureAccess-Trace.etl. Memuat file zip juga memuat informasi termasuk ID penyewa, ID perangkat, versi klien, pemeriksaan kesehatan, dan aturan profil penerusan seolah-olah Anda memecahkan masalah secara lokal pada perangkat yang digunakan untuk pengumpulan data.

Konten terkait

  • Last updated on