适用于 Windows 的全局安全访问客户端故障排除：健康检查选项卡

本文提供有关使用高级诊断实用工具中的 “运行状况检查 ”选项卡的全局安全访问 Windows 客户端的故障排除指南。

简介

高级诊断运行状况检查运行测试，以验证全局安全访问客户端是否正常工作，以及其组件是否正在运行。

运行健康检查

若要对全局安全访问客户端运行健康检查：

1. 右键单击全球安全访问客户端系统托盘图标，然后选择“高级诊断”。
2. 将打开“用户帐户控制”对话框。 通过单击“是”，允许客户端应用程序对设备进行更改。
3. 在“全局安全访问客户端 - 高级诊断”对话框中，选择“运行状况检查”选项卡。切换选项卡将启动运行状况检查。

解决过程

大多数健康检查测试是相互依赖的。 如果测试失败：

1. 解决列表中第一个失败的测试。
2. 选择“刷新”可查看更新的测试状态。
3. 重复，直到解决所有失败的测试。

查看事件查看器

作为故障排除过程的一部分，检查全局安全访问客户端的事件查看器可能很有用。 日志包含有关错误及其原因的重要事件。

1. 导航到“控制面板”>“系统和安全”>“Windows 工具”。
2. 启动“事件查看器”。
3. 导航到“应用程序和服务日志”>“Microsoft”>“Windows”>“全局安全访问客户端”。
   1. 要查看客户端日志，请选择“操作”。
   2. 要查看驱动程序日志，请选择“内核”。

运行状况检查测试

以下检查验证全局安全访问客户端的运行状况。

设备已进行 Microsoft Entra 联接

Windows 客户端对用户和设备进行身份验证，以使用全球安全访问服务。 基于设备令牌的设备身份验证，要求设备为 Microsoft Entra 联接或 Microsoft Entra 混合联接。 当前不支持 Microsoft Entra 已注册的设备。 若要检查设备的状态，请在命令提示符中输入以下命令：dsregcmd.exe /status

已登录到 Windows 的 Entra 用户

此检查验证当前登录到 Windows 的用户是否为 Microsoft Entra 用户。 Global Secure Access 客户端要求 Windows 登录用户是 Microsoft Entra 用户，而不是仅限本地的帐户。

如果此测试失败：

1. 验证用户使用 Microsoft Entra 帐户或 Microsoft Entra 混合标识登录到设备。
2. 检查 Windows 登录会话是否使用 Microsoft Entra 凭据（而不是本地帐户）。
3. 运行 dsregcmd.exe /status 并验证 SSO 状态 部分是否显示 AzureAdPrt : YES。

可以连接到 Internet

此检查指示设备是否已连接到 Internet。 全局安全访问客户端需要 Internet 连接。 此测试基于网络连接状态指示器 (NCSI) 功能。

隧道服务正在运行

全局安全访问隧道服务必须正在运行。

1. 要验证此服务是否正在运行，请在命令提示符中输入以下命令：
   sc query GlobalSecureAccessTunnelingService
2. 如果全局安全访问隧道服务未运行，请从 services.msc 中启动它。
3. 如果服务无法启动，请在事件查看器中查找错误。

引擎服务正在运行

全球安全访问引擎服务必须保持运行。

1. 要验证此服务是否正在运行，请在命令提示符中输入以下命令：
   sc query GlobalSecureAccessEngineService
2. 如果全球安全访问引擎服务未运行，请从 services.msc 启动它。
3. 如果服务无法启动，请在事件查看器中查找错误。

正在运行的策略检索器服务

全局安全访问策略检索器服务必须正在运行。

1. 要验证此服务是否正在运行，请在命令提示符中输入以下命令：
   sc query GlobalSecureAccessPolicyRetrieverService
2. 如果全球安全访问策略检索器服务未运行，请从services.msc中启动它。
3. 如果服务无法启动，请在事件查看器中查找错误。

运行中的驱动程序

全球安全访问驱动程序必须运行。 要验证此服务是否正在运行，请在命令提示符中输入以下命令：
sc query GlobalSecureAccessDriver

如果驱动程序未运行：

1. 打开事件查看器并搜索事件 304 的全球安全访问客户端日志。
2. 如果驱动程序未运行，请重新启动计算机。
3. 再次运行命令 sc query GlobalSecureAccessDriver。
4. 如果问题仍未解决，请重新安装全球安全访问客户端。

运行的客户端托盘应用程序

GlobalSecureAccessClient.exe 进程在系统托盘中运行客户端 UX。 如果系统托盘中看不到“全球安全访问”图标，可以从以下路径运行它：
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

存在转发配置文件注册表

以下测试验证了是否存在以下注册表项：
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

如果该注册表项不存在，请尝试强制启动转发策略的检索：

1. 如果存在，则删除Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp注册表项。
2. 重启服务，Global Secure Access Policy Retriever Service。
3. 检查是否创建了两个注册表项。
4. 如果没有，那么在事件查看器中查找错误。

转发配置文件与预期的架构匹配

测试验证了注册表中的转发配置文件具有客户端可读取的有效格式。

如果此测试失败，请确保您按照以下步骤使用您租户的最新转发配置文件：

1. 删除以下注册表项：
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. 重启服务，Global Secure Access Policy Retriever Service。
3. 重启全球安全访问客户端。
4. 再次运行运行状况检查。
5. 如果前面的步骤无法解决问题，请将全球安全访问客户端升级到最新版本。
6. 如果问题仍然存在，请联系 Microsoft 支持部门。

已禁用“破窗”模式

破窗模式可防止全球安全访问客户端将网络流量通过隧道传送到全球安全访问云服务。 在紧急模式下，全局安全访问门户中的所有流量配置文件均被取消勾选，并且全局安全访问客户端不应通过隧道传输任何流量。

若要将客户端设置为获取流量，并通过隧道将流量传送到全球安全访问服务：

1. 以 全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
2. 转到“全球安全访问”>“连接”>“流量转发”。
3. 请启用至少一个符合您组织需求的流量配置文件。

在门户中进行更改后，全球安全访问客户端应在一小时内收到更新的转发配置文件。

转发配置文件中的诊断 URL

对于在转发配置文件中激活的每个通道，此测试会检查配置是否包含用于探测服务的运行状况的 URL。 若要查看运行状况，请选择系统托盘图标。 在“连接”选项卡上，查看 “状态”。

如果此测试失败，通常是由于全球安全访问存在内部问题。 请联系 Microsoft 支持部门。

存在身份验证证书

此测试验证设备上存在与全球安全访问云服务的相互传输层安全性 (mTLS) 连接的证书。

提示

如果未为租户启用 mTLS，则不会显示此测试。

如果此测试失败，请通过完成以下步骤注册新证书：

1. 通过在命令提示符中输入以下命令启动 Microsoft 管理控制台：certlm.msc
2. 在“certlm”窗口中，导航到“个人”>“证书”。
3. 删除以 gsa.client 结尾的证书（如果存在）。
4. 删除以下注册表项：
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. 重启服务 MMC 中的全球安全访问引擎服务。
6. 刷新证书 MMC 以验证是否已创建新证书。
   预配新证书可能需要几分钟时间。
7. 检查全局安全访问客户端事件日志中是否存在错误。
8. 再次运行健康检查测试。

身份验证证书有效

此测试验证用于与全局安全访问云服务的 mTLS 连接的身份验证证书是否有效。

提示

如果未为租户启用 mTLS，则不会显示此测试。

如果此测试失败，请通过完成以下步骤注册新证书：

1. 通过在命令提示符中输入以下命令启动 Microsoft 管理控制台：certlm.msc
2. 在“certlm”窗口中，导航到“个人”>“证书”。
3. 删除以 gsa.client 结尾的证书。
4. 删除以下注册表项：
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. 重启服务 MMC 中的全球安全访问引擎服务。
6. 刷新证书 MMC 以验证是否已创建新证书。
   预配新证书可能需要几分钟时间。
7. 检查全局安全访问客户端事件日志中是否存在错误。
8. 再次运行健康检查测试。

不支持 DNS over HTTPS

若要让全局安全访问客户端通过完全限定的域名（FQDN）目标（而不是 IP 目标）获取网络流量，客户端需要读取设备发送到 DNS 服务器的 DNS 请求。 此要求意味着，如果转发配置文件包含 FQDN 规则，则必须通过 HTTPS 禁用 DNS。

操作系统中已禁用安全 DNS

若要在 Windows 中通过 HTTPS 禁用 DNS，请参阅通过 HTTPS 保护 DNS 客户端（DoH）。

重要

必须禁用 DNS over HTTPS 才能成功运行全局安全访问客户端运行状况检查。

浏览器（Microsoft Edge、Chrome、Firefox）中的安全 DNS 已禁用

检查以下每个浏览器是否禁用了安全 DNS：

Microsoft Edge 中的安全 DNS 已禁用

若要在 Microsoft Edge 中禁用 DNS over HTTPS：

1. 启动 Microsoft Edge。
2. 打开“设置和更多”菜单，然后选择“设置”。
3. 选择“隐私、搜索和服务”。
4. 在“安全”部分中，将“使用安全 DNS 指定如何查找网站的网络地址”切换为关闭。

禁用了 Chrome 中的安全 DNS

若要在 Google Chrome 中禁用 DNS over HTTPS：

1. 打开 Chrome。
2. 选择“自定义和控制 Google Chrome”，然后选择“设置”。
3. 选择“隐私和安全”。
4. 选择“安全性”。
5. 在 “高级 ”部分中，将 “使用安全 DNS ”开关设置为 关闭。

在 Firefox 中禁用了安全 DNS

若要在 Mozilla Firefox 中禁用 DNS over HTTPS：

1. 打开 Firefox。
2. 选择“打开应用程序菜单”按钮，然后选择“设置”。
3. 选择“安全和隐私”。
4. 在 基于 HTTPS 的 DNS部分中，选择“关闭”。

DNS 响应

此测试检查 Windows 中配置的 DNS 服务器是否返回 DNS 响应。

如果此测试失败：

1. 暂停全球安全访问客户端。
2. 检查 Windows 中配置的 DNS 服务器是否可访问。 例如，尝试使用microsoft.com工具解析nslookup。
3. 验证没有防火墙阻止发到 DNS 服务器的流量。
4. 配置备用 DNS 服务器并再次测试。
5. 恢复全球安全访问客户端。

Magic IP 已接收

此检查验证客户端是否可以从完全限定的域名（FQDN）获取流量。

如果测试失败：

1. 重启客户端，然后重新测试。
2. 重启 Windows。 在极少数情况下，可能需要执行此步骤才能删除易失性缓存。

缓存的令牌

此测试验证客户端是否已成功向 Microsoft Entra 进行身份验证。

如果缓存的令牌测试失败：

1. 验证服务和驱动程序是否运行。
2. 验证系统托盘图标是否可见。
3. 如果出现登录通知，请选择“登录”。
4. 如果未显示登录通知，请检查它是否在通知中心，然后选择 “登录”。
5. 以与设备加入的同一个 Microsoft Entra 租户中的用户身份登录。
6. 验证网络连接。
7. 将鼠标悬停在系统托盘图标上，并验证你的组织 未 禁用客户端。
8. 重启客户端并等待几秒钟。
9. 在事件查看器中查找错误。

首选的 IPv4

全球安全访问尚不支持对具有 IPv6 地址的目的地进行流量捕获。 将客户端配置为首选 IPv4 而不是 IPv6（如果：

1. 转发配置文件设置为通过 IPv4（而不是 FQDN）获取流量。
2. 解析为此 IP 的 FQDN 也会解析为 IPv6 地址。

若要将客户端配置为首选 IPv4 而不是 IPv6，请设置以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

重要

更改此注册表值需要重启计算机。 有关详细信息，请参阅适用于高级用户的在 Windows 中配置 IPv6 指南。

DNS 解析的 Edge 主机名

此测试检查所有活动流量类型：Microsoft 365、专用访问和 Internet 访问。 如果此测试失败，则 DNS 无法解析全球安全访问云服务的主机名，因此无法访问该服务。 此失败的测试可能是由于 Internet 连接问题或 DNS 服务器无法解决公共 Internet 主机名。

若要验证主机名解析是否正常工作：

1. 暂停客户端。
2. 运行 PowerShell 命令：Resolve-DnsName -Name <edge's FQDN>
3. 如果主机名解析失败，请尝试运行：Resolve-DnsName -Name microsoft.com
4. 验证是否已为此计算机配置 DNS 服务器：ipconfig /all
5. 如果前面的步骤无法解决问题，请考虑设置另一个公共 DNS 服务器。

Edge 可访问

此测试检查所有活动流量类型：Microsoft 365、专用访问和 Internet 访问。 如果此测试失败，则表示设备没有与全球安全访问云服务建立网络连接。

如果测试失败：

1. 验证设备是否已建立 Internet 连接。
2. 确认防火墙或代理没有阻止与边缘的连接。
3. 确保 IPv4 在设备上处于活动状态。 边缘目前仅适用于 IPv4 地址。
4. 停止客户端并重试 Test-NetConnection -ComputerName <edge's fqdn> -Port 443。
5. 尝试在另一台从公用网络连接到 Internet 的设备上运行 PowerShell 命令。

代理已禁用

该测试检查设备上是否配置了代理。 如果设备使用代理将流量传输到互联网，则必须排除客户端通过代理自动配置（PAC）文件或 Web 代理自动发现（WPAD）协议获取的目标 IP 和 FQDN。

更改 PAC 文件

将 IP 和 FQDN 作为 PAC 文件中的排除项添加到全局安全访问边缘，以便这些目标的 HTTP 请求不会重定向到代理。 这些 IP 地址和 FQDN 也在转发配置文件中设置为进行隧道传输至全局安全访问。 若要正确反映客户端的健康状况，请将用于健康探测的 FQDN 添加到排除列表：.edgediagnostic.globalsecureaccess.microsoft.com

包含排除项的示例 PAC 文件：

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

全局安全访问客户端和出口代理

重要

如果全局安全访问客户端位于出站代理后面，请配置 PAC 文件排除项，以便全局安全访问流量绕过该代理。

未检测到 Hyper-V 外部虚拟交换机

Hyper-V 支持：

1. 外部虚拟交换机：全球安全访问 Windows 客户端当前不支持具有 Hyper-V 外部虚拟交换机的主机。 但是，可以在虚拟机上安装客户端，将流量通过隧道传输到全球安全访问。
2. 内部虚拟交换机：可以在主机和来宾计算机上安装全局安全访问 Windows 客户端。 客户端隧道仅传输安装所在计算机的网络流量。 换句话说，安装在主机上的客户端不会路由来宾计算机的网络流量。

全球安全访问 Windows 客户端支持 Azure 虚拟机。

全球安全访问 Windows 客户端支持 Azure 虚拟桌面 (AVD)。

注意

不支持 AVD 多线程。

隧道成功

此测试检查转发配置文件（Microsoft 365、专用访问和 Internet 访问）中的每个活动流量配置文件，以验证是否成功通过隧道连接到相应通道的运行状况服务。

如果此测试失败：

1. 检查事件查看器是否存在错误。
2. 重启客户端，然后重试。

全球安全访问进程正常（过去 24 小时）

如果此测试失败，则表示客户端在过去 24 小时内至少有一个进程崩溃。

如果所有其他测试都通过，客户端当前应正常运行。 但是，调查进程转储文件以提高将来的稳定性并更好地了解进程崩溃的原因会很有帮助。

若要在进程崩溃时调查进程转储文件，请执行以下操作：

1. 配置用户模式转存：
   • 添加以下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • 添加REG_SZ DumpFolder注册表值并将其数据设置为要在其中保存转储文件的现有 DumpFolder。
2. 再现问题，以在选定的转储文件夹中创建新的转储文件。
3. 为 Microsoft 支持部门打开支持请求，并附上转储文件和重现问题的具体步骤。
4. 查看事件查看器日志并筛选崩溃事件（筛选当前日志：事件 ID = 1000）。
5. 将筛选后的日志另存为文件，并将日志文件附加到支持票证。

不支持网络访问的QUIC

由于 Internet 访问尚不支持 QUIC，因此无法对端口 80 UDP 和 443 UDP 的流量进行隧道传输。

提示

目前，QUIC 在 Microsoft 365 工作负载和专用访问中得到支持。

管理员可以禁用 QUIC 协议，触发客户端回退到 HTTPS over TCP，这在 Internet 访问中是完全受支持的。

在 Microsoft Edge 中禁用 QUIC

若要在 Microsoft Edge 中禁用 QUIC：

1. 打开 Microsoft Edge。
2. 粘贴 edge://flags/#enable-quic 地址栏中。
3. 将“实验 QUIC 协议”下拉列表设置为“禁用的”。

在 Chrome 中禁用 QUIC

若要在 Google Chrome 中禁用 QUIC：

1. 打开 Google Chrome。
2. 粘贴 chrome://flags/#enable-quic 地址栏中。
3. 将“实验 QUIC 协议”下拉列表设置为“禁用的”。

在 Mozilla Firefox 中禁用 QUIC

若要在 Mozilla Firefox 中禁用 QUIC：

1. 打开 Firefox。
2. 粘贴 about:config 地址栏中。
3. 在“搜索首选项名称”字段中，粘贴network.http.http3.enable。
4. 将 network.http.http3.enable 选项切换为 false。

相关内容

• 安装适用于 Windows 的全局安全访问客户端
• 排除 macOS 全局安全访问客户端故障：健康检查选项卡