Wanneer en RDP-sessie begint op een server die Global Protect draait, wordt de RDP-sessie gestart, wordt de gebruiker uitgelogd, en wordt de Global Protect-sessie onmiddellijk verbroken.
Na de verbreking zal Global Protect niet opnieuw verbinden totdat de gebruiker zich weer aanmeldt (moet vanaf de server zelf gebeuren, omdat je de LAN-IP niet kunt bereiken tenzij Global Protect is ingeschakeld).
Ik heb geprobeerd de server op de vergrendelingsscherm te zetten, hetzelfde gebeurt.
Let op, ik ben alleen een gebruiker, heb geen toegang om iets te wijzigen in Global Protect, maar ik geloof dat dit een Global Protect-probleem is. Ik heb dit gevonden:
Maar ik weet niet precies wat ik ermee kan doen.
Versie 5.13 draait op Global Protect.
Is dit een Global Protect-probleem of kan ik hier iets aan doen?
Dit is vooral gerelateerd aan gebruikersauthenticatie. Je moet inloggen en dan verbinden.
Je zou kunnen proberen met machinecertificaten voor pre-login… Maar uiteindelijk is dit niet echt de use-case waarvoor de vendor het heeft opgelost, en je lost je eigen ‘probleem’ overigens bijna zelf op door te proberen de ‘issue’ te omzeilen.
We hadden hetzelfde probleem.
Het is zo dat wij een pc hebben op een plek van een leverancier.
Wanneer we proberen via RDP verbinding te maken met de pc.
Verdwijnt de verbinding en stopt het ping-verkeer.
Dit betekent dat de pc uitgelogd is en de Global Protect-sessie is verbroken en de verbinding niet kon herstellen.
We hebben geen oplossing gevonden hiervoor.
Kun je ons laten weten wat we kunnen doen om dit probleem op te lossen?
Niet alleen wij, maar ook de leverancier. Iedereen die RDP gebruikt, wordt gewoon verbroken.
-
Zonder GP-verbinding krijgen we geen netwerkverbinding met de laptop/pc.
-
Gebruiker kan niet de GP loskoppelen om lokale netwerkverbinding te activeren.
Alle antwoorden/oplossingen zouden nuttig zijn.
Dank je.
Komt niet bij mij voor. Wat zeggen de logs? Escaleer naar je PA-beheerder.
Probeer VNC. Kan niet geloven dat ik dit zeg.
In ieder geval. Breng het onder de aandacht van je IT-team. Dit is niet waarom deze subreddit bestaat, het is er niet om eindgebruikers te helpen bij het omzeilen van een configuratie, het is bedoeld voor infrastructuurbeheerders om te … beheren.
Als je IT-team hulp zoekt hier, kan iemand misschien helpen.
Staat de Global Protect-configuratie op ‘enforce’? Of gaat het om eindpuntverkeerbeleid (vereist GP 6.0)?
Is de RDP-gebruiker hetzelfde als de GP-gebruiker? Zo niet, laat de GP-beheerder de GP-clientinstellingen configureren in de portal/gateway om verschillende gebruikers in te loggen.
Er is een instelling in de gateway-configuratie genaamd ‘detect user change’ of iets dergelijks die dit regelt en een time-out kan worden ingesteld of uitgeschakeld, denk ik.
Als je inlogt op de RDP-verbinding met een andere gebruiker, is dit een probleem gerelateerd aan de User-ID-agent.
Je verbindt met je domeingebruiker via de VPN, de user-id agent koppelt die gebruikersnaam aan een IP-adres en stuurt de info naar de firewall. Vervolgens log je in op een RDP-sessie met een andere beheerdersgebruiker. De user-id agent herkent hetzelfde IP en koppelt het aan die beheerder. Omdat de firewall dan niet meer de domeingebruiker op dat IP ziet, wordt je verbroken van de VPN.
Oplossing: voeg de beheerdersgebruiker toe aan de lijst met te negeren gebruikers. Die lijst bevindt zich in de map waar de agent is geïnstalleerd.
Wanneer je RDP gebruikt, wordt een ‘Change of Authorization’-gebeurtenis getriggerd. Zorg dat je ingelogde gebruiker hetzelfde is als de GP-gebruiker.
Er is waarschijnlijk een AD-groep die toegang tot interne resources/GP toestaat.
Ik begrijp niet wat je bedoelt. Wat bedoel je met:
Je moet inloggen en daarna verbinden
Ik heb het volgende geprobeerd:
- Ingelogd op mijn laptop, verbonden met VPN
- Via RDP ingelogd. Mijn laptopsessie wordt onmiddellijk verbroken en de VPN wordt ook gedeblokkeerd.
Ik heb alternatieve oplossingen voor remote access geprobeerd, die werken.
Echter, het doel van deze post is om te achterhalen waarom RDP niet werkt.
Hoe kan ik dit controleren? Is dit iets wat ik vanuit de GP-client kan bekijken? Weet dat ik alleen een gebruiker ben, ik heb geen toegang tot server- of GP-instellingen.
Wat als je het omgekeerd probeert.
Inloggen op de laptop met RDP, daarna verbinden met VPN.
Gebruikerssessiebeheer is hier interessant.
Persoonlijk gebruik ik gewoon mijn werk-laptop om verbinding te maken met een VPN en gebruik ik mijn werk-laptop – zonder RDP of iets dergelijks. Ik weet niet precies wat de vereiste is, maar ik ben er ook vrij zeker van dat deze subreddit bedoeld is voor infrastructuurbeheer….
OK, je oorspronkelijke bericht maakte het alsof de server via VPN verbonden was, wat een beetje raar is.
Na het lezen van je andere berichten is het nog steeds niet duidelijk wat het scenario is. Kun je de stappen opsommen en aangeven wat waar verbonden is?
Bijvoorbeeld
- Afstandscomputer, verbonden via VPN
- RDP-sessie gestart naar server op het netwerk
- VPN wordt verbroken
Zoals @trailing-octet zei, is de KB-artikel de oplossing hiervoor. Vraag je GP-beheerder om de ‘User Switch Tunnel Rename Timeout’-instelling aan te passen, zodat je kunt authenticeren bij GP wanneer je op de externe machine inlogt en zo de GP-verbinding behouden tijdens het inloggen.
Omdat RDP inlogt op een gebruikerssessie en Global Protect gekoppeld is aan elke individuele gebruikerssessie. Ik vermoed dat het die gebruikerssessie detecteert en uitlogt uit de VPN, of het nu een veiligheidsmechanisme is of onderdeel van de integratie met gebruikerssessiebeheer.
De gelinkte kb lijkt het ‘probleem’ goed te beschrijven en hoe je het als systeembeheerder kunt omzeilen, wat kennelijk jij niet bent – dus je kunt dit niet testen. Ik stel voor om dit over te dragen aan degenen die daadwerkelijk het systeem beheren.
We hadden dit probleem met een gebruiker die niet in een AD-groep zat die in de beveiligingsregels vermeld stond. Ons probleem was dat de gebruiker niet in enige internetgroep zat.
Ik kan niet. De RDP-sessie duurt niet lang genoeg, hij wordt onmiddellijk verbroken.
Host A: mijn computer met RDP-client
Host B: mijn laptop, waarop RDP-server + GP VPN-verbinding draait. Opmerking: deze host moet verbonden zijn met de VPN om lokale LAN-communicatie mogelijk te maken. Ik veronderstel dat dit een firewall- of GP-instelling is waar ik geen toegang tot heb.
Host B is volledig verbonden met VPN en ik ben ingelogd. Ik heb ook bevestigd dat RDP draait met netstat. Host A en Host B hebben interfaces verbonden met hetzelfde lokale LAN-subnet en kunnen elkaar pingen.
Stappen om het probleem te reproduceren:
- Host A: verbindt met host B via RDP.
- Host B: logt uit van de actieve sessie en verbreekt de VPN, zonder opnieuw te verbinden.
- Host A: de sessie start en wordt onmiddellijk verbroken. Dit verbreekt de RDP-sessie omdat de host zonder VPN niet bereikbaar is via het lokale LAN.
Laat het me weten als je meer informatie nodig hebt.