本文提供适用于 Windows 的全局安全访问客户端的故障排除指南。 将探讨“高级诊断”实用工具的每个选项卡。
简介
全局安全访问客户端在后台运行,将相关的网络流量路由到全局安全访问,而无需用户交互。 使用高级诊断工具可深入了解客户端的行为并有效地排查问题。
启动高级诊断工具
若要启动高级诊断工具:
- 右键单击系统托盘中的 全局安全访问客户端 图标。
- 选择“高级诊断”。 如果启用,用户帐户控制(UAC)会提示提升权限。
“概览”选项卡
“高级诊断 概述 ”选项卡显示全局安全访问客户端的常规配置详细信息:
- 用户名:向客户端进行身份验证的用户Microsoft Entra 用户主体名称。
- 设备 ID:Microsoft Entra 中的设备的 ID。 设备必须加入租户。
- 租户 ID:客户端指向的租户的 ID,该租户与设备加入的租户相同。
- 转发配置文件 ID:客户端当前正在使用的转发配置文件的 ID。
- 上次检查转发配置文件:客户端上次检查是否有更新的转发配置文件的时间。
- 客户端版本:当前安装在设备上的全局安全访问客户端的版本。
运行状况检查选项卡
“ 运行状况检查 ”选项卡运行常见测试,以验证客户端及其组件是否正常运行。 有关详细信息,请参阅 “全局安全访问客户端故障排除:运行状况检查”选项卡。
“转发配置文件”选项卡
“ 转发配置文件 ”选项卡显示为转发配置文件设置的活动规则列表。 该选项卡包括以下信息:
- 转发配置文件 ID:客户端当前正在使用的转发配置文件的 ID。
- 上次检查转发配置文件的时间:指客户端上次检查更新转发配置文件的时间。
- 刷新详细信息:选择从客户端缓存重新加载转发数据(如果自上次刷新以来已更新)。
- 策略测试器:选择此项以显示连接到特定目标的活动规则。
- 添加筛选器:选择设置筛选器,以便仅根据一组特定的筛选器属性查看规则的子集。
- 列:选择要在表中显示的列。
规则部分列出了按工作负荷分组的规则(M365 规则、 专用访问规则、 Internet 访问规则)。 此列表仅包含租户中激活的工作负载的规则。
提示
如果规则包含多个目标,例如完全限定的域名(FQDN)或 IP 范围,则规则将跨多个行,每个目标一行。
对于每个规则,可用的列包括:
- 优先级:规则的优先级。 优先级较高的规则(较小的数值)优先于优先级较低的规则。
- 目标(IP/FQDN):流量的目标(按 FQDN 或 IP)。
- 协议:流量的网络协议:TCP 或 UDP。
- 端口:流量的目标端口。
- 行动:客户端在传出流量与目标、协议和端口匹配时采取的行动。 支持的操作为 隧道(即路由到全局安全访问)或 绕过(直接到达目标)。
- 强化:当流量应该通过隧道(即传输到全局安全访问)但与云服务的连接失败时采取的行动。 支持的强化作是 阻止 (删除连接)或 绕过 (允许连接直接转到网络)。
- 规则 ID:转发配置文件中规则的唯一标识符。
- 应用程序 ID:与规则关联的专用应用程序的 ID。 此列仅适用于专用应用程序。
主机名获取选项卡
“主机名获取”选项卡允许基于转发配置文件中的 FQDN 规则收集客户端获取主机名的实时列表。 每个主机名都出现在新行中。
- 开始收集:选择以开始实时收集主机名。
- 导出 CSV:选择以将获取的主机名列表导出到 CSV 文件。
- 清除表:选择以清除表中显示的已获取主机名。
- 添加筛选器:选择以基于特定属性筛选获取的主机名。
- 列:选择要在表中显示的列。
对于每个主机名,可用列包括:
- 时间戳:每个 FQDN 主机名获取的日期和时间。
- FQDN:获取的主机名的 FQDN。
- 生成的 IP 地址:客户端为内部目的生成的 IP 地址。 此 IP 会在“流量”标签中显示,以便建立到对应 FQDN 的连接。
- 获取:显示 “是 ”或 “否 ”以指示 FQDN 是否与转发配置文件中的规则匹配。
- 原始 IP 地址:FQDN 查询的 DNS 响应中的第一个 IPv4 地址。 如果最终用户设备 DNS 服务器未返回查询的 IPv4 地址,则原始 IP 地址列为空。
流量选项卡
通过“流量”选项卡,可以根据转发配置文件中的规则收集设备打开的连接实时列表。 每个连接都显示在一个新行中。
- 开始收集:选择此项即可开始实时连接的收集。
- 导出 CSV:选择以导出到 CSV 文件的连接列表。
- 清除表:选择以清除表中显示的连接。
- 添加筛选器:选择以设置筛选器并基于特定筛选器属性查看连接的子集。
- 列:选择要在表中显示的列。
对于每个连接,可用列包括:
- 开始时间戳:操作系统打开连接的时间。
- 时间戳结束,操作系统关闭连接的时间。
- 连接状态:指示连接是仍然处于活动状态还是已关闭。
- 协议:连接的网络协议;TCP 或 UDP。
- 目标 FQDN:连接的目标 FQDN。
- 源端口:连接的源端口。
- 目标 IP:连接的目标 IP。
- 目标端口:连接的目标端口。
- 相关向量 ID:一个为每个连接分配的唯一 ID,可用于在门户中与全局安全访问流量日志进行关联。 Microsoft 支持部门还可以使用此 ID 调查与特定连接相关的内部日志。
- 进程名称:打开连接的进程的名称。
- 进程 ID:打开连接的进程 ID 号。
- 发送的字节数:从设备发送到目标的字节数。
- 接收的字节数:设备从目标接收的字节数。
- 通道:用于连接的通道可以是 Microsoft 365、专用访问或互联网访问。
- 流 ID:连接的内部 ID 号。
- 规则 ID:用于确定此连接的操作的转发配置文件规则的标识符。
-
动作:为此连接执行的动作;可能的动作包括:
- 隧道:客户端通过隧道连接到云中的全局安全访问服务。
- 绕过:连接通过设备的网络直接连接到目标,客户端无需干预。
- 阻止:客户端阻止了连接(仅在强化模式下可能)。
- 强化:指示强化是否应用于此连接;可以是“是”或“否”。 当无法从设备访问全球安全访问服务时,强化将适用。
“高级日志收集”选项卡
使用“高级日志收集”选项卡可以收集特定时间段内客户端、作系统和网络流量的详细日志。 日志存档在 ZIP 文件中,可以发送给管理员或Microsoft支持人员进行调查。
- 开始录制:选择开始录制详细日志。 在录制时重现该问题。 如果问题未发生,请收集日志,直到它重新出现。 日志收集包括数小时的全局安全访问活动。
- 停止录制:复制问题后,选择此按钮以停止录制并将收集的日志保存到 ZIP 文件。 与支持故障排除帮助共享 ZIP 文件。
当高级日志收集停止时,将打开包含日志文件的文件夹。 默认情况下,文件夹为 C:\Program Files\Global Secure Access Client\Logs。 该文件夹包含 zip 文件和两个事件跟踪日志(ETL)文件。 如果需要,可以在解决问题后删除 zip 文件。 最好保留 ETL 文件,因为它们是循环日志,删除它们可能会导致将来的日志收集出现问题。
收集以下文件:
| 文件 | 描述 |
|---|---|
| Application-Crash.evtx | 按事件 ID 1001 筛选的应用程序日志。 当服务崩溃时,此日志非常有用。 |
| BindingNetworkDrivers.txt | 显示绑定到网络适配器的所有模块的“Get-NetAdapterBinding -AllBindings -IncludeHidden”的结果。 此输出可用于确定非Microsoft驱动程序是否绑定到网络堆栈 |
| ClientChecker.log | 全局安全访问客户端运行状况检查的结果。 在全局安全访问客户端中加载 zip 文件时,这些结果更易于分析。 请参阅在与收集设备不同的设备上分析“全球安全访问”客户端日志。 |
| 设备信息日志 (DeviceInformation.log) | 环境变量,包括 OS 版本和全局安全访问客户端版本。 |
| dsregcmd.txt | 显示设备状态的 dsregcmd /status 输出,包括 Microsoft Entra 加入、Hybrid Joined、PRT 详细信息和 Windows Hello 企业版本详细信息。 |
| filterDriver.txt | Windows 过滤平台筛选器 |
| ForwardingProfile.json | 全局安全访问客户端接收到的 json 策略包括它连接的全局安全访问服务边缘的 IP 地址(*.globalsecureaccess.microsoft.com)以及转发配置文件规则。 |
| GlobalSecureAccess-Boot-Trace.etl | 全局安全访问客户端调试日志记录 |
| GlobalSecureAccess-Boot-Trace.etl | 全局安全访问客户端调试日志记录 |
| 多个.reg文件 | 全局安全访问客户端注册记录导出 |
| 主机 | 主机文件 |
| installedPrograms.txt | Windows 已安装的应用,有助于了解可能导致问题的原因 |
| ipconfig.txt | Ipconfig /all 的输出,包括已分配给设备的 IP 地址和 DNS 服务器 |
| Kerberos_info.txt | klist、klist tgt 和 klist cloud_debug 的输出。 此输出可用于排查 Kerberos 问题和 Windows Hello 企业版 SSO 问题。 |
| LogsCollectorLog.log 和 LogsCollectorLog.log.x | 日志收集器进程自身的日志。 如果全局安全访问日志收集出现问题,这些日志非常有用 |
| 多个 .evtx | 导出多个 Windows 事件日志 |
| NetworkInformation.log | 路由打印、名称解析策略表(NRPT)表的输出,以及全局安全访问连接测试的延迟结果。 此输出可用于排查 NRPT 问题。 |
| RunningProcesses.log | 正在运行的进程 |
| systeminfo.txt | 系统信息,包括硬件、OS 版本和修补程序 |
| systemWideProxy.txt | netsh winhttp show proxy 的输出 |
| 用户配置代理 | 注册表中的代理设置的输出 |
| userSessions.txt | 用户会话列表 |
| DNSClient.etl | DNS 客户端日志。 这些日志可用于诊断 DNS 解析问题。 使用事件日志查看器打开,或使用 PowerShell 筛选到感兴趣的特定名称: Get-WinEvent -Path .\DNSClient.etl -Oldest | where Message -Match replace with name/FQDN | Out-GridView |
| InternetDebug.etl | 使用“netsh 跟踪启动方案=internetClient_dbg capture=yes persistent=yes”收集的日志 |
| NetworkTrace.etl | 使用 pktmon 捕获的网络数据 |
| NetworkTrace.pcap | 网络捕获(包括隧道内的流量) |
| NetworkTrace.txt | Pkmon 跟踪,文本格式 |
| wfplog.cab | Windows 筛选平台日志 |
有用的网络流量分析器筛选器
在某些情况下,需要调查全局安全访问服务隧道中的流量。 默认情况下,网络捕获仅显示加密的流量。 而是使用网络流量分析仪分析由全局安全访问高级日志收集创建的网络捕获。
在与日志收集不同的设备上分析全局安全访问客户端日志。
可能需要使用自己的设备来分析用户收集的数据。 若要分析用户收集的数据,请在设备上打开全局安全访问客户端,打开高级诊断工具,然后选择菜单栏最右侧的文件夹图标。 在此处,可以导航到 zip 文件或 GlobalSecureAccess-Trace.etl 文件。 加载 zip 文件还会加载信息,包括租户 ID、设备 ID、客户端版本、运行状况检查和转发配置文件规则,就像你在用于数据收集的设备上本地进行故障排除一样。