簡介
本文描述如何解決漫遊客戶端受到保護但不按預期運行的常見問題。
概觀
歡迎閱讀「我的漫遊客戶端」系列知識庫文章。此系列提供了一系列互動式問題,可響應常見的漫遊客戶端挑戰。
本文檔針對漫遊客戶端為綠色且受保護,但行為與預期不同的情況。本文檔提供部署漫遊客戶端後經常出現的此情況的常見問題。客戶端將安裝,但行為與預期不同。
「我的漫遊客戶端系列」索引:
- 我的漫遊客戶端未啟用,並且…….
- 我的漫遊客戶端說「受保護」,但…….
常見問題
通過填寫「我的漫遊客戶端說「受保護」但……受保護」的空白來探索每個子部分的_________能:
未知,未受保護
如果這是當前狀態,則本文不是此情況的目標!這表示客戶端尚未註冊的無保護狀態。請參閱本文有關代理如何阻止漫遊客戶端註冊或聯絡我們的支援團隊以獲取幫助。
未阻止任何站點
當我們能夠通過UDP 53或443訪問DNS的208.67.220.220和208.67.222.222時,或者如果客戶端由於已知策略而設定為禁用,漫遊客戶端會報告「受保護」。如果客戶端報告為「保護」模式,但未出現塊,請執行以下步驟:
- 檢查代理。在透明或顯式代理的情況下,代理伺服器會重新請求並覆蓋電腦上解析的DNS。是否將Umbrella與代理一起使用?
- 第三方軟體DNS代理正在覆蓋漫遊客戶端的DNS響應
- 正在應用與預期不同的策略。在此處檢視如何確認正在應用預期策略。
應用的策略不正確
漫遊客戶端報告「受保護且已加密」或「受保護且透明」,但漫遊客戶端策略未應用:
- 驗證基於漫遊客戶端的策略是否是制勝策略。如果在網路上,且網路在策略順序上高於漫遊客戶端,則其策略適用。有關確定應用何種策略的詳情,請參閱本文或訪問policy-debug.opendns.com。
- 檢查代理。在透明或顯式代理的情況下,代理伺服器會重新請求並覆蓋電腦上解析的DNS。使用Umbrella的代理伺服器將僅應用其基於出口的網路級別覆蓋。是否將Umbrella與代理一起使用?
- 是否使用AnyConnect漫遊安全模組?不能同時安裝獨立漫遊客戶端!如果ERCService.exe和acumbrellaagent.exe同時運行,則表明兩者均已安裝。解除安裝獨立的Umbrella漫遊客戶端,並確保沒有軟體管理工具正在重新安裝。
公共或所有DNS故障
在此案例中,所有DNS都未能收到響應。在命令提示符或terminal中進行nslookup時,出現或失敗,並且瀏覽器報告DNS問題並無法載入頁面:
- 第三方軟體DNS代理正在覆蓋漫遊客戶端的DNS響應。許多軟體僅覆蓋「網站目的地」A記錄,允許TXT記錄自由通過。由於漫遊客戶端使用TXT記錄檢查DNS可用性,因此即使所有A記錄未到達Umbrella,漫遊客戶端也會啟用。加密的Umbrella DNS與後台軟體結合使用通常會導致傳送DNS A記錄失敗。
- 防火牆具有內建的DNS保護或「Web保護」服務,可能會干擾Umbrella。
- 如果這種情況間歇性發生,則可能是PAT/NAT耗盡。新增漫遊客戶端增加了工作站出口網路之外的直接UDP連線數。這會間歇性導致DNS或所有Web流量失敗。有關詳細資訊,請參閱此埠耗盡的文章,以及更改UDP超時或驗證UDP連線限制可以如何提供幫助。
- 是否使用AnyConnect漫遊安全模組?不能同時安裝獨立漫遊客戶端!如果ERCService.exe和acumbrellaagent.exe同時運行,則表明兩者均已安裝。解除安裝獨立的Umbrella漫遊客戶端,並確保沒有軟體管理工具正在重新安裝。
本地DNS失敗
在這種情況下,任何公共記錄都會失敗;但是,內部域清單中的域無法解析。如果直接查詢本地DNS伺服器,則查詢成功。
- 域是否未能新增到您的內部域清單中?請注意,任何搜尋字尾都會自動動態新增到本地(而非雲端)清單中。任何未在此清單上的純本地域都無法正確解析。任何不在清單中的本地域都會出現在您的儀表板報告中。清單中的所有域均不需要。在此處瞭解本地DNS的工作原理。
- 本地DNS伺服器是否正確?驗證漫遊客戶端中儲存的值是否與您的預期相符。驗證列出的每個伺服器(請參閱本文檔中的位置)是否能夠返迴響應。讓我們選擇一個來傳送每個本地DNS請求。它們與您的DHCP租用或靜態分配相匹配。如果沒有,請開啟支援案例讓我們知道。
- Mac:/var/lib/data/opendns/resolv_orig.conf
- PC:C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
- 軟體或VPN相容性。此問題是否只發生在VPN上?如果是,請確保VPN不會限制DNS可以流經的位置,或者您的VPN不在我們的不受支援的清單中。有關更多詳細資訊,請參閱我們的VPN相容性文章。
客戶端在儀表板中顯示為離線
漫遊客戶端同步進程對客戶端狀態很重要,如儀表板所示。漫遊客戶端僅在以下情況下啟用:
- 自客戶端啟動以來,至少完成了與我們的同步伺服器(當前為sync.hydra.opendns.com)的一次同步
- 其中一個Umbrella DNS伺服器在埠443或53 UDP上可用。
每次同步都會更新客戶端的儀表板狀態(當前最多需要60分鐘)。 以下是這些狀態不是最新狀態的一些可能原因:
- 客戶端的狀態自上次同步以來已更改。請注意,啟動時的初始同步是當客戶端「離線」或未受到保護時,因為需要保護同步。
- 由於網路限制,客戶端出現間歇性同步失敗。可能已發生初始同步,但後續同步更新失敗,導致客戶端顯示為離線。
- 自上次啟動客戶端後,電腦已交換網路。例如,電腦在一個具有同步訪問許可權的麵包店咖啡廳中開啟,然後進入企業網路,但無法進行同步訪問。如果DNS可用,客戶端將保持受保護/已加密,但儀表板報告客戶端處於離線狀態。
電腦報告「No Connectivity(無連線)」警告
使用漫遊客戶端時,某些網路環境中的電腦可以顯示網路連線「黃色三角」指示器,但網路訪問已完全運行。這可能會影響Microsoft應用程式(如Outlook),因為指示器被觸發時它們不會同步。
- 此問題是Windows中已知的設計限制。要永久解決此問題,請執行以下操作:
- Windows 7/8:按照本文檔上的hosts檔案說明執行操作。
- Windows 10:請更新到版本1709或更高版本,然後按照這些說明修改組策略或登錄檔以實施Microsoft的修復。
電腦的本地DNS條目消失
漫遊客戶端透明地將任何DNS查詢轉發到內部域清單中的任何域。使用漫遊客戶端時,您經常看到兩個更新,而不是一個更新,因為我們正在更改電腦上的DNS。如果記錄消失:
- 閱讀本文可以為Windows 7部署Microsoft修補程式,以防止在客戶端進入保護模式時刪除記錄。
意見