Felsöka den globala klienten för säker åtkomst: Hälsokontroll-fliken

Det här dokumentet innehåller felsökningsvägledning för global säker åtkomst-klienten med hjälp av fliken Hälsokontroll i verktyget Avancerad diagnostik.

Introduktion

Advanced Diagnostics Health-kontrollen kör tester för att verifiera att Global Secure Access-klienten fungerar korrekt samt att dess komponenter är igång.

Kör hälsokontrollen

Så här kör du en hälsokontroll för Global Secure Access-klienten:

1. Högerklicka på Global Secure Access-klientens systemfackikon och välj Avancerad diagnostik.
2. Dialogrutan Kontroll av användarkonto öppnas. Välj Ja för att tillåta att klientprogrammet gör ändringar på enheten.
3. I dialogrutan Global säker åtkomstklient – avancerad diagnostik väljer du fliken Hälsa. Om du byter flikar körs hälsokontrollen.

Lösningsprocess

De flesta hälsokontrolltesterna är beroende av varandra. Om testerna misslyckas:

1. Lös det första misslyckade testet i listan.
2. Välj Uppdatera för att visa den uppdaterade teststatusen.
3. Upprepa tills du löser alla misslyckade tester.

Kontrollera Loggboken

Som en del av felsökningsprocessen kan det vara användbart att kontrollera Händelsevisaren för klienten för Global Secure Access. Loggen innehåller värdefulla händelser om fel och deras orsak.

1. Gå till Kontrollpanelen>System och säkerhet>Windows-verktyg.
2. Starta Händelseloggvisaren.
3. Gå till Applications and Services Logs>Microsoft>Windows>Global Secure Access Client.
   1. Om du vill visa klientloggar väljer du Drift.
   2. Om du vill visa drivrutinsloggar väljer du Kernel.

Hälsokontrolltester

Följande kontroller kontrollerar hälsotillståndet för den globala säkra åtkomstklienten.

Enheten är Microsoft Entra-ansluten

Windows-klienten autentiserar användaren och enheten till tjänster för Global säker åtkomst. Enhetsautentiseringen, baserat på en enhetstoken, kräver att enheten antingen är Microsoft Entra-ansluten eller Microsoft Entra-hybridanslutning. Microsoft Entra-registrerade enheter stöds inte för närvarande. Om du vill kontrollera enhetens status anger du följande kommando i kommandotolken: dsregcmd.exe /status.

Kan ansluta till Internet

Den här kontrollen anger om enheten är ansluten till Internet eller inte. Den globala klienten för säker åtkomst kräver en Internetanslutning. Det här testet baseras på ncsi-funktionen (Network Connectivity Status Indicator).

Tunneltjänsten körs

Tjänsten Global Säker Åtkomsttunnel måste köras.

1. Kontrollera att den här tjänsten körs genom att ange följande kommando i kommandotolken:
   sc query GlobalSecureAccessTunnelingService
2. Om tjänsten Global Secure Access Tunneling inte körs, startar du den från services.msc.
3. Om tjänsten inte startar letar du efter fel i Loggboken.

Motortjänsten är igång

Tjänsten Global Secure Access Engine måste köras.

1. Kontrollera att tjänsten körs genom att ange följande kommando i kommandotolken:
   sc query GlobalSecureAccessEngineService
2. Om tjänsten Global Secure Access Engine inte körs, startar du den från services.msc.
3. Om tjänsten inte startar letar du efter fel i Loggboken.

Tjänsten Policy Retriever körs

Tjänsten Global Secure Access Policy Retriever måste köras.

1. Kontrollera att den här tjänsten körs genom att ange följande kommando i kommandotolken:
   sc query GlobalSecureAccessPolicyRetrieverService
2. Om tjänsten Global Secure Access Policy Retriever inte körs ska du starta den från services.msc.
3. Om tjänsten inte startar letar du efter fel i Loggboken.

Drivrutin körs

Drivrutinen global säker åtkomst måste köras. Kontrollera att den här tjänsten körs genom att ange följande kommando i kommandotolken:
sc query GlobalSecureAccessDriver

Om drivrutinen inte är aktiv:

1. Öppna Händelseloggen och sök i klientloggen för den globala säkra åtkomsten efter händelse 304.
2. Om drivrutinen inte körs, starta om datorn.
3. Kör kommandot sc query GlobalSecureAccessDriver igen.
4. Om problemet kvarstår installerar du om global säker åtkomstklient.

Klientfältets program körs

Processen GlobalSecureAccessClient.exe kör klientens användarupplevelse i meddelandefältet. Om du inte kan se ikonen Global säker åtkomst i systemfältet kan du köra den från följande sökväg:
C:\Program Files\Global Secure Access Client\GlobalSecureAccessClient.exe

Det finns ett vidarebefordringsprofilregister

Det här testet verifierar att följande registernyckel finns:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile

Om registernyckeln inte finns, försök att framtvinga hämtning av policyer för vidarebefordran:

1. Ta bort registernyckeln Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp om den finns.
2. Starta om tjänsten, Global Secure Access Policy Retriever Service.
3. Kontrollera om de två registernycklarna har skapats.
4. Om inte, leta efter fel i Händelseloggen.

Vidarebefordran av profil matchar förväntat schema

Det här testet verifierar att vidarebefordran profilen i registret har ett giltigt format som klienten kan läsa.

Om det här testet misslyckas kontrollerar du att du använder din klientorganisations senaste vidarebefordringsprofil genom att följa dessa steg:

1. Ta bort följande registernycklar:
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfile
   • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\ForwardingProfileTimestamp
2. Starta om tjänsten, Global Secure Access Policy Retriever Service.
3. Starta om den globala säkerhetsåtkomstklienten.
4. Kör hälsokontrollen igen.
5. Om de föregående stegen inte löser problemet uppgraderar du Global Secure Access-klienten till den senaste versionen.
6. Kontakta Microsoft Support om problemet kvarstår.

Brytglasläge inaktiverat

Brytglasläge hindrar global säker åtkomst-klienten från att dirigera nätverkstrafik till molntjänsten Global säker åtkomst. I Break-glass-läge är alla trafikprofiler i portalen för "Global säker åtkomst" avmarkerade och "Global säker åtkomst"-klienten förväntas inte tunnla någon trafik.

Så här ställer du in klienten för att hämta trafik och dirigera den till Global Secure Access-tjänsten:

1. Logga in på administrationscentret för Microsoft Entra som Global Administratör för Säker Åtkomst.
2. Gå till Global Secure ÅtkomstAnslutTrafikvidarebefordran.
3. Aktivera minst en av de trafikprofiler som matchar organisationens behov.

Global Secure Access-klienten bör ta emot den uppdaterade vidarebefordran profilen inom en timme efter att du har ändrat i portalen.

Diagnostiska webbadresser i vidarebefordringsprofilen

För varje kanal som aktiveras i vidarebefordran-profilen kontrollerar det här testet att konfigurationen innehåller en URL för att avsöka tjänstens hälsa.

För att visa hälsostatus dubbelklickar du på ikonen Global Secure Access-klient i systemfältet. Skärmbild av ikonen för Global Secure Access i klientens systemfält tillsammans med den aktuella hälsostatusen: Ansluten.

Om det här testet misslyckas beror det vanligtvis på ett internt problem med global säker åtkomst. Kontakta Microsoft-supporten.

Autentiseringscertifikatet finns

Det här testet verifierar att det finns ett certifikat på enheten för mTLS-anslutningen (Mutual Transport Layer Security) till molntjänsten Global Secure Access.

Om det här testet misslyckas registrerar du dig i ett nytt certifikat genom att utföra följande steg:

1. Starta Microsoft Management-konsolen genom att ange följande kommando i kommandotolken: certlm.msc.
2. I certlm-fönstret navigerar du till Personliga>certifikat.
3. Ta bort certifikatet som slutar med gsa.client, om det finns.
4. Ta bort följande registernyckel:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Starta om Global Secure Access Engine-tjänsten i tjänster MMC.
6. Uppdatera certifikatens MMC för att verifiera att ett nytt certifikat har skapats.
   Det kan ta några minuter att etablera ett nytt certifikat.
7. Kontrollera händelseloggen för Global Secure Access-klienten efter fel.
8. Kör hälsokontrolltesterna igen.

Autentiseringscertifikatet är giltigt

Det här testet verifierar att autentiseringscertifikatet som används för mTLS-anslutningen till molntjänsten global säker åtkomst är giltigt.

Om det här testet misslyckas registrerar du dig i ett nytt certifikat genom att utföra följande steg:

1. Starta Microsoft Management-konsolen genom att ange följande kommando i kommandotolken: certlm.msc.
2. I certlm-fönstret navigerar du till Personliga>certifikat.
3. Ta bort certifikatet som slutar med gsa.client.
4. Ta bort följande registernyckel:
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Global Secure Access Client\CertCommonName
5. Starta om Global Secure Access Engine-tjänsten i tjänster MMC.
6. Uppdatera certifikatens MMC för att verifiera att ett nytt certifikat har skapats.
   Det kan ta några minuter att etablera ett nytt certifikat.
7. Kontrollera händelseloggen för Global Secure Access-klienten efter fel.
8. Kör hälsokontrolltesterna igen.

DNS via HTTPS stöds inte

För att Global Secure Access-klienten ska kunna hämta nätverkstrafik med ett fullständigt kvalificerat domännamn (FQDN) mål (i motsats till ett IP-mål) måste klienten läsa DNS-begäranden som skickas av enheten till DNS-servern. Det innebär att om vidarebefordringsprofilen innehåller FQDN-regler måste du inaktivera DNS via HTTPS.

Säker DNS inaktiverad i operativsystemet

Om du vill inaktivera DNS via HTTPS i Windows läser du Säker DNS-klient via HTTPS (DoH).

Säker DNS inaktiverad i webbläsare (Microsoft Edge, Chrome, Firefox)

Kontrollera att Säker DNS är inaktiverat för var och en av följande webbläsare:

Säker DNS inaktiverad i Microsoft Edge

Så här inaktiverar du DNS via HTTPS i Microsoft Edge:

1. Starta Microsoft Edge.
2. Öppna menyn Inställningar och mer och välj Inställningar.
3. Välj Sekretess, sökning och tjänster.
4. I avsnittet Säkerhet ställer du reglaget för Använd säker DNS för att ange hur du söker upp nätverksadressen för webbplatser till av.

Säker DNS inaktiverad i Chrome

Så här inaktiverar du DNS via HTTPS i Google Chrome:

1. Öppna Chrome.
2. Välj Anpassa och kontrollera Google Chrome och välj sedan Inställningar.
3. Välj Sekretess och säkerhet.
4. Välj Säkerhet.
5. I avsnittet Avancerat anger du växlingsknappen Använd säker DNS till av.

Säker DNS inaktiverad i Firefox

Så här inaktiverar du DNS via HTTPS i Mozilla Firefox:

1. Öppna Firefox.
2. Välj knappen Öppna programmenyn och välj sedan Inställningar.
3. Välj Sekretess och säkerhet.
4. I avsnittet DNS via HTTPS väljer du Av.

DNS-responsiv

Det här testet kontrollerar om DNS-servern som konfigurerats för Windows returnerar ett DNS-svar.

Om det här testet misslyckas:

1. Pausa Global Secure Access-klienten.
2. Kontrollera om DNS-servern som konfigurerats för Windows kan nås. Försök till exempel att lösa upp "microsoft.com" med hjälp av verktyget nslookup.
3. Kontrollera att inga brandväggar blockerar trafik till DNS-servern.
4. Konfigurera en alternativ DNS-server och testa igen.
5. Återuppta global säker åtkomst-klienten.

Magisk IP har tagits emot

Den här kontrollen verifierar att klienten kan hämta trafik från ett fullständigt kvalificerat domännamn (FQDN).

Om testet misslyckas:

1. Starta om klienten och testa igen.
2. Starta om Windows. Det här steget kan vara nödvändigt i sällsynta fall för att ta bort flyktiga cacheminnen.

Cachelagratoken

Det här testet verifierar att klienten har autentiserats till Microsoft Entra.

Om det cachelagrade tokentestet misslyckas:

1. Kontrollera att tjänsterna och drivrutinen fungerar.
2. Kontrollera att ikonen för systemfältet är synlig.
3. Om inloggningsmeddelandet visas väljer du Logga in.
4. Om inloggningsmeddelandet inte visas kontrollerar du om det finns i Meddelandecenter och väljer Logga in.
5. Logga in med en användare som är medlem i samma Microsoft Entra-klientorganisation som enheten är ansluten till.
6. Kontrollera nätverksanslutningen.
7. Hovra över systemfältets ikon och kontrollera att klienten inte är inaktiverad av din organisation.
8. Starta om klienten och vänta några sekunder.
9. Leta efter fel i Händelseloggen.

IPv4 föredras

Global Secure Access har ännu inte stöd för trafikförvärv för mål med IPv6-adresser. Vi rekommenderar att du konfigurerar klienten så att den föredrar IPv4 framför IPv6, om:

1. Vidarebefordringsprofilen är inställd på att hämta trafik via IPv4 (till skillnad från av FQDN).
2. Det FQDN som upplöstes till den här IP-adressen upplöses också till en IPv6-adress.

Ange följande registernyckel för att konfigurera klienten att föredra IPv4 framför IPv6:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ Name: DisabledComponents Type: REG_DWORD Value: 0x20 (Hex)

Edge-värdnamnet upplöses av DNS

Det här testet kontrollerar alla aktiva trafiktyper: Microsoft 365, Privat åtkomst och Internetåtkomst. Om det här testet misslyckas kan DNS inte matcha värdnamnen för molntjänsten Global Säker åtkomst och därför kan tjänsten inte nås. Det här misslyckade testet kan bero på ett internetanslutningsproblem eller på en DNS-server som inte löser offentliga internetvärdnamn.

Så här kontrollerar du att värdnamnsmatchningen fungerar korrekt:

1. Pausa klienten.
2. Kör PowerShell-kommandot: Resolve-DnsName -Name <edge's FQDN>
3. Om värdnamnsmatchningen misslyckas kan du prova att köra: Resolve-DnsName -Name microsoft.com
4. Kontrollera att DNS-servrarna har konfigurerats för den här datorn: ipconfig /all
5. Om de föregående stegen inte löser problemet kan du överväga att ange en annan offentlig DNS-server.

Edge är åtkomlig

Det här testet kontrollerar alla aktiva trafiktyper: Microsoft 365, Privat åtkomst och Internetåtkomst. Om det här testet misslyckas har enheten ingen nätverksanslutning till molntjänsten Global Säker åtkomst.

Om testet misslyckas:

1. Kontrollera att enheten har en Internetanslutning.
2. Kontrollera att brandväggen eller proxyn inte blockerar anslutningen till gränsen.
3. Kontrollera att IPv4 är aktivt på enheten. För närvarande fungerar gränsen endast med en IPv4-adress.
4. Stoppa klienten och försök Test-NetConnection -ComputerName <edge's fqdn> -Port 443igen .
5. Prova PowerShell-kommandot från en annan enhet som är ansluten till Internet från ett offentligt nätverk.

Proxy har inaktiverats

Det här testet kontrollerar om proxyn är konfigurerad på enheten. Om slutanvändarens enhet är konfigurerad för att använda en proxy för utgående trafik till Internet måste du undanta mål-IP:er/FQDN:er som hämtats av klienten med en PAC-fil (Proxy Auto-Configuration) eller med WPAD-protokollet (Web Proxy Auto-Discovery).

Ändra PAC-filen

Lägg till IP-adresser/FQDN:er som ska tunnelföras till Den globala gränsen för säker åtkomst som undantag i PAC-filen, så att HTTP-begäranden för dessa mål inte omdirigeras till proxyn. (Dessa IP-adresser/FQDN:er är också inställda på tunnel till Global säker åtkomst i vidarebefordran-profilen.) Om du vill visa klientens hälsostatus korrekt lägger du till det FQDN som används för hälsoavsökning i undantagslistan: .edgediagnostic.globalsecureaccess.microsoft.com.

Exempel på PAC-fil som innehåller undantag:

function FindProxyForURL(url, host) {  
        if (isPlainHostName(host) ||   
            dnsDomainIs(host, ".edgediagnostic.globalsecureaccess.microsoft.com") || //tunneled
            dnsDomainIs(host, ".contoso.com") || //tunneled 
            dnsDomainIs(host, ".fabrikam.com")) // tunneled 
           return "DIRECT";                    // For tunneled destinations, use "DIRECT" connection (and not the proxy)
        else                                   // for all other destinations 
           return "PROXY 10.1.0.10:8080";  // route the traffic to the proxy.
}

Lägga till en systemvariabel

Konfigurera global säker åtkomst-klienten för att dirigera global säker åtkomsttrafik via en proxy:

1. Ange en systemmiljövariabel i Windows med namnet grpc_proxy till värdet för proxyadressen. Exempel: http://10.1.0.10:8080
2. Starta om den globala säkerhetsåtkomstklienten.

Ingen extern virtuell Hyper-V-växel har identifierats

Stöd för Hyper-V:

1. Extern virtuell växel: Windows-klienten global säker åtkomst stöder för närvarande inte värddatorer som har en extern virtuell Hyper-V-växel. Klienten kan dock installeras på de virtuella datorerna för att omdirigera trafik till Global Secure Access.
2. Intern virtuell växel: Windows-klienten global säker åtkomst kan installeras på värd- och gästdatorer. Klienten tunnlar endast nätverkstrafiken på den dator som den är installerad på. En klient som är installerad på en värddator tunnlar med andra ord inte nätverkstrafiken för gästdatorerna.

Klienten för Global Secure Access på Windows stöder Azure virtuella datorer.

Den globala Windows-klienten för säker åtkomst stöder Azure Virtual Desktop (AVD).

Tunnelprocessen lyckades

Det här testet kontrollerar varje aktiv trafikprofil i vidarebefordringsprofilen (Microsoft 365, Privat åtkomst och Internetåtkomst) för att kontrollera att anslutningar till hälsotjänsten för motsvarande kanal har tunnelats.

Om det här testet misslyckas:

1. Kontrollera Loggboken om det finns fel.
2. Starta om klienten och försök igen.

Globala processer för säker åtkomst är felfria (senaste 24 h)

Om det här testet misslyckas innebär det att minst en process av klienten kraschade under de senaste 24 timmarna.

Om alla andra tester godkänns bör klienten för närvarande fungera. Det kan dock vara bra att undersöka processdumpfilen för att öka stabiliteten i framtiden och bättre förstå varför processen kraschade.

Så här undersöker du processens dumpfil när en process kraschar:

1. Konfigurera dumpar i användarläge:
   • Lägg till följande registernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
   • Lägg till ett REG_SZ DumpFolder registervärde och ange dess data till den befintliga DumpFolder där du vill spara dumpfilen.
2. Återskapa problemet för att skapa en ny dumpfil i den valda DumpFolder.
3. Öppna ett ärende för Microsoft Support och bifoga dumpfilen och stegen för att återskapa problemet.
4. Granska händelseloggen och filtrera efter kraschhändelser (Filtrera aktuella loggar: Händelse-ID = 1000).
5. Spara den filtrerade loggen som en fil och bifoga loggfilen i supportärendet.

QUIC stöds inte för Internetåtkomst

Eftersom QUIC ännu inte stöds för Internetåtkomst kan trafik till portarna 80 UDP och 443 UDP inte tunnlas.

Administratörer kan inaktivera QUIC-protokoll som utlöser klienter för att återgå till HTTPS via TCP, som stöds fullt ut i Internet Access.

QUIC inaktiverad i Microsoft Edge

Så här inaktiverar du QUIC i Microsoft Edge:

1. Öppna Microsoft Edge.
2. Klistra in edge://flags/#enable-quic i adressfältet.
3. Ange listrutan Experimentella QUIC-protokoll till Inaktiverad.

QUIC har inaktiverats i Chrome

Så här inaktiverar du QUIC i Google Chrome:

1. Öppna Google Chrome.
2. Klistra in chrome://flags/#enable-quic i adressfältet.
3. Ange listrutan Experimentella QUIC-protokoll till Inaktiverad.

QUIC inaktiverad i Mozilla Firefox

Så här inaktiverar du QUIC i Mozilla Firefox:

1. Öppna Firefox.
2. Klistra in about:config i adressfältet.
3. I fältet Sökpreferensnamn klistrar du in network.http.http3.enable.
4. Växla alternativet network.http.http3.enable till false.