Compartilhar via

Solucionar problemas do cliente de Acesso Seguro Global para Windows: diagnóstico avançado

Este artigo fornece diretrizes de solução de problemas para o cliente de Acesso Seguro Global para Windows. Explora cada guia do Programa utilitário de diagnóstico avançado.

Introdução

O cliente de Acesso Seguro Global é executado em segundo plano, roteando o tráfego de rede relevante para o Acesso Seguro Global sem a necessidade de interação do usuário. Use a ferramenta de diagnóstico avançada para obter visibilidade do comportamento do cliente e solucionar problemas com eficiência.

Inicie a ferramenta de diagnóstico avançado

Há duas maneiras de iniciar a ferramenta de diagnóstico avançada:

  1. Clique com o botão direito do mouse no ícone do cliente do Acesso Seguro Global na bandeja do sistema.
  2. Selecione Diagnóstico Avançado. Se habilitado, o UAC (Controle de Conta de Usuário) solicitará que você eleve privilégios.

Ou

  1. Selecione o ícone do cliente acesso seguro global na bandeja do sistema.
  2. Alterne para a visão de solução de problemas.
  3. Na ferramenta de diagnóstico avançado, selecione Executar ferramenta.

Captura de tela da exibição Solução de problemas da interface do cliente Global Secure Access com o botão Executar ferramenta destacado.

Guia Visão geral

A guia Visão geral de diagnóstico avançado mostra detalhes gerais de configuração para o cliente de Acesso Seguro Global:

  • Nome de usuário: o nome principal de usuário do Microsoft Entra do usuário que se autenticou ao cliente.
  • ID do dispositivo: a ID do dispositivo no Microsoft Entra. O dispositivo deve estar associado ao locatário.
  • ID do locatário: a ID do locatário para o qual o cliente aponta, que é o mesmo locatário ao qual o dispositivo está associado.
  • ID do perfil de encaminhamento: a ID do perfil de encaminhamento atualmente em uso pelo cliente.
  • Perfil de encaminhamento verificado pela última vez: a hora em que o cliente verificou pela última vez um perfil de encaminhamento atualizado.
  • Versão do cliente: a versão do cliente de Acesso Seguro Global que está atualmente instalada no dispositivo.

Captura de tela da caixa de diálogo Global Secure Access Client – Diagnóstico avançado na guia Visão Geral.

Guia de Verificação de integridade

A guia Verificação de Saúde executa testes comuns para verificar se o cliente e seus componentes estão funcionando corretamente. Para obter mais informações, consulte Solucionar problemas do cliente do Acesso Seguro Global: aba Verificação de integridade.

Guia de Perfil de encaminhamento

A guia Perfil de Encaminhamento mostra a lista de regras ativas definidas para o perfil de encaminhamento. A guia inclui as seguintes informações:

  • ID do perfil de encaminhamento: a ID do perfil de encaminhamento atualmente em uso pelo cliente.
  • Perfil de encaminhamento verificado pela última vez: a hora em que o cliente verificou pela última vez um perfil de encaminhamento atualizado.
  • Atualizar detalhes: selecione para recarregar os dados de encaminhamento do cache do cliente se eles foram atualizados desde a última atualização.
  • Testador de política: selecione para mostrar a regra ativa para uma conexão com um destino específico.
  • Adicionar filtro: selecione para definir filtros para ver apenas um subconjunto das regras de acordo com um conjunto específico de propriedades de filtro.
  • Colunas: selecione para escolher quais colunas exibir na tabela.

Captura de tela da caixa de diálogo Global Secure Access Client – Diagnóstico avançado na guia Perfil de Encaminhamento.

A seção regras lista as regras agrupadas por carga de trabalho (regras M365, regras de acesso privado, regras de acesso à Internet). Essa lista inclui apenas regras para as cargas de trabalho ativadas em seu locatário.

Dica

Se uma regra incluir vários destinos, como um FQDN (nome de domínio totalmente qualificado) ou um intervalo de IP, a regra abrange várias linhas com uma linha por destino.

Para cada regra, as colunas disponíveis incluem:

  • Prioridade: a prioridade da regra. As regras com prioridade mais alta (valor numérico menor) têm precedência sobre as regras com prioridade mais baixa.
  • Destino (IP/FQDN): o destino do tráfego pelo FQDN ou por IP.
  • Protocolo: o protocolo de rede para o tráfego: TCP ou UDP.
  • Porta: a porta de destino do tráfego.
  • Ação: a ação que o cliente executa quando o tráfego de saída corresponde ao destino, ao protocolo e à porta. As ações com suporte são túnel (rota para Acesso Seguro Global) ou bypass (vá diretamente para o destino).
  • Endurecimento: A ação quando o tráfego deve ser tunelado (roteado para o Acesso Seguro Global), mas a conexão com o serviço de nuvem falha. As ações de proteção com suporte são bloquear (remover a conexão) ou ignorar (permitir que a conexão vá diretamente para a rede).
  • ID da regra: o identificador exclusivo da regra no perfil de encaminhamento.
  • ID do aplicativo: a ID do aplicativo privado associado à regra. Esta coluna é relevante apenas para aplicativos privados.

Guia de Aquisição de nome do host

A guia Aquisição de nome de host permite que você colete uma lista ativa de nomes de host adquiridos pelo cliente com base nas regras de FQDN no perfil de encaminhamento. Cada nome de host aparece em uma nova linha.

  • Comece a coletar: selecione para iniciar a coleção dinâmica de nomes de host adquiridos.
  • Exportar CSV: selecione para exportar a lista de nomes de host adquiridos para um arquivo CSV.
  • Limpar tabela: selecione para limpar os nomes de host adquiridos exibidos na tabela.
  • Adicionar filtro: selecione para filtrar os nomes de host adquiridos com base em propriedades específicas.
  • Colunas: selecione para escolher as colunas a serem exibidas na tabela.

Para cada nome de host, as colunas disponíveis incluem:

  • Carimbo de data/hora: a data e a hora de cada aquisição de nome de host FQDN.
  • FQDN: O FQDN do nome do host adquirido.
  • Endereço IP gerado: o endereço IP gerado pelo cliente para fins internos. Esse IP aparece na guia de tráfego para conexões estabelecidas com o FQDN correspondente.
  • Adquirido: mostra Sim ou Não para indicar se um FQDN corresponde a uma regra no perfil de encaminhamento.
  • Endereço IP original: o primeiro endereço IPv4 na resposta DNS para a consulta FQDN. Se o servidor DNS do dispositivo de usuário final não retornar um endereço IPv4 para a consulta, a coluna de endereço IP original estará em branco.

Guia de Tráfego

A aba de tráfego permite coletar uma lista ao vivo de conexões abertas pelo dispositivo com base nas regras do perfil de encaminhamento. Cada conexão aparece em uma nova linha.

  • Comece a coletar: selecione para iniciar a coleção dinâmica de conexões.
  • Exportar CSV: selecione para exportar a lista de conexões para um arquivo CSV.
  • Limpar tabela: selecione para limpar as conexões exibidas na tabela.
  • Adicionar filtro: selecione para definir filtros e exibir um subconjunto das conexões com base em propriedades de filtro específicas.
  • Colunas: selecione para escolher as colunas a serem exibidas na tabela.

Para cada conexão, as colunas disponíveis incluem:

  • Marca temporal de início: a hora em que o sistema operacional abriu a conexão.
  • Fim da marca temporal: a hora em que o sistema operacional fechou a conexão.
  • Status da conexão: indica se a conexão ainda está ativa ou já está fechada.
  • Protocolo: o protocolo de rede para a conexão; TCP ou UDP.
  • FQDN de destino: O FQDN de destino para a conexão.
  • Porta de origem: a porta de origem para a conexão.
  • IP de destino: o IP de destino para a conexão.
  • Porta de destino: a porta de destino para a conexão.
  • ID do vetor de correlação: uma ID exclusiva atribuída a cada conexão que pode ser correlacionada com logs de tráfego do Acesso Seguro Global no portal. O Suporte da Microsoft também pode usar essa ID para investigar os registros internos relacionados a uma conexão específica.
  • Nome do processo: o nome do processo que abriu a conexão.
  • ID do processo: o número da ID do processo que abriu a conexão.
  • Bytes enviados: o número de bytes enviados do dispositivo para o destino.
  • Bytes recebidos: o número de bytes recebidos pelo dispositivo do destino.
  • Canal: O canal para o qual a conexão foi tunelada; pode ser Microsoft 365, Acesso Privado ou Acesso à Internet.
  • ID do fluxo: o número de ID interno da conexão.
  • ID da regra: o identificador da regra de perfil de encaminhamento usada para determinar as ações dessa conexão.
  • Ação: a ação que foi tomada para essa conexão; as ações possíveis são:
    • Túnel: O cliente tuneou a conexão com o serviço Global Secure Access na nuvem.
    • Bypass: a conexão vai diretamente para o destino por meio da rede do dispositivo sem intervenção do cliente.
    • Bloqueio: o cliente bloqueou a conexão (só é possível no modo de endurecimento).
  • Proteção: indica se a proteção é aplicada a essa conexão; pode ser Sim ou Não. A proteção se aplica quando o serviço de Acesso Global Seguro não é acessível do dispositivo.

Guia Coleta avançada de logs

A guia de coleta de logs avançada permite que você colete logs detalhados do cliente, dos sistemas operacionais e do tráfego de rede durante um período específico. Os logs são arquivados em um arquivo ZIP que você pode enviar para o administrador ou suporte da Microsoft para investigação.

  • Iniciar a gravação: selecione para começar a gravar os logs detalhados. Reproduza o problema durante a gravação. Se o problema não ocorrer, colete registros até que ele reapareça. A coleção de logs inclui várias horas de atividade de Acesso Seguro Global.
  • Parar a gravação: depois de reproduzir o problema, selecione este botão para interromper a gravação e salvar os logs coletados em um arquivo ZIP. Compartilhe o arquivo ZIP com suporte para assistência na solução de problemas.

Captura de tela mostrando a caixa de diálogo Global Secure Access Client – Diagnóstico Avançado na guia Coleção de Logs Avançada.

Quando a coleção avançada de logs é interrompida, a pasta que contém os arquivos de log é aberta. Por padrão, a pasta é C:\Arquivos de Programas\Global Secure Access Client\Logs. A pasta contém um arquivo zip e dois arquivos ETL (log de rastreamento de eventos). Se necessário, você pode remover os arquivos zip depois de resolver os problemas. É melhor deixar os arquivos ETL porque eles são logs circulares e removê-los pode criar problemas com a coleção de logs futura.

Os seguintes arquivos são coletados:

Arquivo Descrição
Application-Crash.evtx Log de aplicativos filtrado pela ID do evento 1001. Esse log é útil quando os serviços estão falhando.
BindingNetworkDrivers.txt Resultado de "Get-NetAdapterBinding -AllBindings -IncludeHidden" mostrando todos os módulos associados aos adaptadores de rede. Essa saída é útil para identificar se drivers não-Microsoft estão associados à pilha de rede.
ClientChecker.log Resultados das verificações de integridade do cliente do Acesso Seguro Global. Esses resultados são mais fáceis de analisar se você carregar o arquivo zip no cliente de Acesso Seguro Global. Consulte Análise de logs de clientes do Acesso Seguro Global em um dispositivo diferente daquele onde foram coletados.
InformaçõesDoDispositivo.log Variáveis de ambiente, incluindo a versão do sistema operacional e a versão do cliente do Acesso Seguro Global.
dsregcmd.txt Saída de dsregcmd /status mostrando o estado do dispositivo, incluindo Microsoft Entra Ingressado, Híbrido Ingressado, detalhes do PRT e detalhes do Windows Hello para Empresas.
filterDriver.txt Filtros da Plataforma de Filtragem do Windows
ForwardingProfile.json A política JSON entregue ao cliente do Global Secure Access. A política inclui o endereço IP de borda do serviço de acesso-seguro global ao qual seu cliente se conecta (*.globalsecureaccess.microsoft.com) e as regras do perfil de encaminhamento.
GlobalSecureAccess-Boot-Trace.etl Registro em logo de depuração do cliente do Acesso Global Seguro
Vários arquivos de .reg Exportações de registro de cliente do Acesso Seguro Global
Anfitriões Arquivo de host
installedPrograms.txt Aplicativos instalados pelo Windows, que podem ser úteis para entender o que pode estar causando problemas.
ipconfig.txt Saída do Ipconfig /all, incluindo o endereço IP e os servidores DNS atribuídos ao dispositivo.
Kerberos_info.txt Saída de klist, klist tgt e klist cloud_debug. Essa saída é útil para solucionar problemas do Kerberos e do SSO com o Windows Hello para Empresas.
LogsCollectorLog.log e LogsCollectorLog.log.x Logs do próprio processo do coletor de logs. Esses logs serão úteis se você estiver tendo problemas com a coleção de logs do Acesso Seguro Global.
Vários .evtx Exportações de vários logs de eventos do Windows.
NetworkInformation.log Saída da impressão de rotas, tabela NRPT (Tabela de Política de Resolução de Nomes) e resultados de latência para o teste de conectividade do Acesso Global Seguro. Este resultado é útil para solucionar problemas de NRPT.
ProcessosEmExecução.log Processos em execução
systeminfo.txt Informações do sistema, incluindo hardware, versões do sistema operacional e patches.
systemWideProxy.txt Saída de netsh winhttp show proxy
userConfiguredProxy Saída das configurações de proxy no Registro
userSessions.txt Lista de sessões do usuário
DNSClient.etl Logs de cliente DNS. Esses logs são úteis para diagnosticar problemas de resolução de DNS. Abra o Visualizador de Log de Eventos ou filtre pelos nomes específicos de interesse com o PowerShell: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView
InternetDebug.etl Logs coletados usando "netsh trace start scenario=internetClient_dbg capture=yes persistent=yes".
NetworkTrace.etl Captura de rede feita com pktmon
NetworkTrace.pcap Captura de rede incluindo o tráfego dentro do túnel
NetworkTrace.txt Rastreamento de Pokémon no formato de texto
wfplog.cab Logs da Plataforma para Filtros do Windows

Filtros úteis do Analisador de Tráfego de Rede

Em alguns casos, você precisa investigar o tráfego dentro do túnel do serviço acesso seguro global. Por padrão, uma captura de rede mostra apenas o tráfego criptografado. Em vez disso, analise a captura de rede criada pela coleção de logs avançados do Acesso Seguro Global em um analisador de tráfego de rede.

Analisar os logs de cliente do Acesso Seguro Global em um dispositivo diferente de onde eles foram coletados

Talvez seja necessário usar seu próprio dispositivo para analisar os dados coletados pelos usuários. Para analisar os dados coletados pelo usuário, abra o cliente de Acesso Seguro Global em seu dispositivo, abra a ferramenta diagnóstico avançado e selecione o ícone de pasta à extrema direita da barra de menus. A partir daqui, você pode navegar até o arquivo zip ou o arquivo GlobalSecureAccess-Trace.etl. Carregar o arquivo zip também carrega informações, incluindo ID do inquilino, ID do dispositivo, versão do cliente, checagem de saúde e regras do perfil de encaminhamento, como se estivesse solucionando problemas localmente no dispositivo usado para a coleta de dados.

Conteúdo relacionado

  • Last updated on