例如,如果问题是将FortiClient注册到FortiGate或FortiClient EMS,请询问并回答以下问题:注册过程曾经工作过吗?现有的安装不工作?
如果这些问题的答案是肯定的,检查可能的更改,例如设备的更改(操作系统更新,管理员权限的更改),连接位置(在办公室工作,但不是在家里),以及配置和网络更改。
现在你知道问题的确切性质了:FortiClient不是在家注册。下一步是分析问题,这将带来解决问题的可能机会。
一旦确定其他用户遇到了类似的问题,就可以进一步分析问题。通过比较预期结果和你的结果。找出问题是否可重现。这些操作会产生一系列可能的解决方案,你可以在实验室中评估这些解决方案。
记住,解决一个问题可能有多种方法。你应该总是记录每个可能的解决方案。在执行解决方案之前,还应该创建备份计划,以便恢复到以前的状态。
一旦你实现了一个解决方案,就要监视和审查结果。
注意,在FortiClient终端重启、重新加入网络或遇到网络变更后,FortiClient使用相同的进程将遥测连接到FortiClient EMS。
要测试FortiClient和FortiClient EMS之间的连通性,可以使用命令提示符和内置的Telnet应用程序来验证。通过转到控制面板>打开或关闭窗口功能,确保Telnet客户端复选框被选中,从而在你的终端上启用了Telnet。
在本例中,100.64.1.100为FortiClient EMS服务器的IP地址,8013为检查的端口。执行telnet 100.64.1.100 8013命令。如果命令执行成功,命令提示符将返回闪烁的光标。如果命令不成功,命令提示符会返回连接无法打开的警告,如上图所示。
1. 计算机浏览器服务自动检测同一本地网络内的Microsoft Windows计算机。确保计算机浏览器服务正在运行。例如,在Windows 2012 R2操作系统上安装了FortiClient EMS,而Windows 2012 R2操作系统默认关闭了计算机浏览器服务,即使网络中有可用的计算机,FortiClient EMS也不会检测到。
2. 需要帐户权限。确保服务器和客户机具有部署更改的正确帐户权限。例如,在FortiClient EMS中创建或部署变更需要管理员具有正确的权限。
3. 请确认EMS已启用所需的端口和Windows服务。FortiClient EMS使用许多端口和服务来与运行相关应用程序的客户端和服务器进行通信。确保这些端口和服务为FortiClient EMS启用。在客户端,确保任务调度器设置为自动,Windows安装程序设置为手动,远程注册表设置为自动。
FortiClient EMS有几个仪表板小部件,提供有关托管客户机及其当前状态的信息。你可以通过单击工具栏中的铃铛图标来查看FortiClient EMS生成的警报,它会显示你生成的警报。常见警告的一个例子是“新版FortiClient可用”。注意,对FortiClient的配置更改总是由EMS推送。FortiClient只发送状态更新的遥测数据。
在上图显示的示例中,日志提供了有关所发生事件的详细消息,你可以使用这些日志对FortiClient和FortiClient EMS的问题进行故障排除。你应该将日志级别更改为Debug。
你可以在安装FortiClient时修改默认安装目录。FortiClient受FortiShield的保护,这是数字签名和防止修改Windows注册表。FortiClient文件夹包含. exe文件、. dll文件、日志、签名、隔离文件等。
与XML不同,注册表键是神秘的,用户需要详细的知识来配置。这些键不能以任何格式记录,因此FortiClient GUI不支持它们。这些键供开发人员使用。
注意,在某些情况下,Fortinet支持会要求你更改FortiClient注册表或替换FortiClient文件。要执行这个任务,你必须先停止FortiShield:
● 断开FortiClient与FortiClient EMS的连接。
● 关闭FortiClient。
● 在一个提高的命令行窗口中,输入sc stop fortishield。
FortiClient诊断工具不记录敏感信息。它包含了上图显示的终端信息。
FortClient上有不同的日志级别,如紧急、警报、信息、调试等。如需获取更详细的日志信息,请将日志级别修改为“Debug”。
注意,在排除特定特性问题时,可以清除特性旁边的复选框以减少日志条目。
要配置转储文件集合,请参考上图中显示的Microsoft文档链接。
运行“forticlient_diagnostics tool .exe”并提供输出。你可以从Fortinet支持网站下载该工具。
你可以在安装FortiClient EMS时修改默认安装目录。FortiClient EMS在服务器上安装SQL Server 2017 Express版本。FortiClient EMS在卸载过程中不会删除SQL Server。当管理超过5000个终端时,建议安装SQL Server Standard或Enterprise,而不是SQL Server Express。注意,Microsoft SQL Server Express是免费的。所有其他版本都需要微软的许可。
FortiClient EMS同时安装Apache HTTP Server和Python。
确保在排除故障后关闭调试。你不应该在生产环境中运行调试。默认情况下,Apache使用端口443和10443。你可以使用netstat命令查看默认的Apache端口是否被其他应用程序使用。
注意为了节省服务器资源,FortiClient EMS会在30分钟后自动将日志级别从Debug恢复为Info。FortiClient EMS GUI只显示来自数据库的日志;Daemon调试日志只发送到文件中。
FortiClient EMS诊断工具不记录敏感信息。它包含了关于上图显示的服务器的信息。
默认情况下,use_custom_server元素的值是0,这意味着它是禁用的,没有定义故障转移备份服务器,并且启用了故障转移到公共FDN。在这种情况下,FortiClient将首先尝试通过TCP端口80连接到公共的FortiClient服务器forclient.fortinet.net或myforclient.fortinet.net来下载辅助服务器列表,然后它将从这些辅助服务器下载FortiClient的签名和包。
如果在server元素中指定了一个字符串,并且与该服务器通信失败,那么将尝试fail_over_servers元素中指定的每个服务器,直到有一个服务器成功为止。如果这也失败了,那么软件更新将不可能,除非fail_over_to_fdn设置为1。如果与server和fail_over_servers元素中指定的服务器通信失败,则fail_over_to_fdn指定下一个操作步骤。
你应该将故障转移到fdn元素的值保留为1,这是默认值。
默认情况下,定时更新是根据FortiClient检查更新的频率来启用的。网络故障会导致升级失败,临时反病毒签名不断增长。手动执行update_task command。
软件更新日志位于Windows中的temp文件夹中,该文件夹可能是一个隐藏文件夹。
● 0:清除
● 1:忽略
● 2:修复
● 3:警告
● 4:隔离
● 5:拒绝访问
FortiClient还可以对压缩后的文件进行扫描,并允许你定义最大扫描65535MB的压缩文件大小。0表示无极限。FortiClient对广泛的扩展执行实时扫描,并允许你修改要扫描的扩展列表。
例如,如果将on_virus_found XML配置标记的值设置为1,它将忽略病毒文件,并且不会捕获病毒。另一个例子是,如果你从extensions XML配置元素中修改和删除了几个扩展名,并且如果可疑的文件扩展名没有列在extensions XML配置元素中,那么它就不会被捕获。
注意,此部分XML配置用于实时反病毒。要获得可用XML配置元素的完整列表,请参阅Fortinet文档站点上的forclient 7.0.0 XML参考指南。
根据启用的日志级别和日志类型,“导出日志”将导出所有类型的日志。
realtime_scan.log位于Installation directory\Fortinet\Forticlient\logs\realtime_scan.log提供更多关于恶意软件和防病毒引擎的详细信息,以及实时防病毒扫描中使用的签名,以及病毒文件的名称、采取的处理措施和文件的位置。
调试:在一个提升的命令行窗口中:
● 在FortiClient上关闭RTP。
● 修改FortiClient的安装目录:fmon.exe -s -fd_1
FortiClient RTP还会阻止攻击者使用的已知通信通道。在启用此保护之前,必须安装应用程序防火墙模块。FortiClient提供邮件保护功能,用于扫描邮件中的恶意文件。支持POP3和SMTP协议。
你可以在EMS XML编辑器中使用布尔值来启用或禁用实时保护功能。<block_malicious_websites>的booleon值0将禁用对恶意网站的阻塞。
安装时的出厂默认行为是在每月的第一天18:30小时运行一个完整的系统扫描。它还可以扫描可移动媒体。但是,可以通过修改缺省XML配置文件来更改缺省行为。你可以在XML文件的完整元素下查看和修改出厂默认的全扫描计划。
XML文件中还有一个优先级参数。缺省情况下,扫描优先级设置为正常,并有3个不同的级别,正常优先级为0,低优先级为1,高优先级为2。on_demand_scanning元素定义防病毒扫描程序如何处理终端用户手动请求的文件扫描。预定的和按需的扫描日志位于安装目录Fortinet forclient \logslav_scanxxxx.log。
文件可以从以下来源提交:
● 可移动媒体
● 映射网络驱动器
● 网络下载
● 邮件下载
你可以通过在升高的命令行窗口中输入CLI命令Fcaptmon.exe -s fd_01来运行沙盒调试。
FortiSandbox还可以缓存文件以提高性能。
你还可以在<safe_search>和<youtube_education_filter> XML元素下配置安全搜索和YouTube教育过滤器。要获得可用XML配置元素的完整列表,请参阅http://docs.fortinet.com上提供的FortiClient 7.0.0 XML参考指南。
安全搜索是谷歌搜索的一个功能,它可以自动过滤色情和潜在的攻击性内容。即将发布的FortiClient将包括修改主机文件的能力,以迫使所有谷歌或YouTube流量连接到安全的搜索网站,如WackySafe,只提供安全的搜索结果。缺点是这会影响所有谷歌服务,如搜索、YouTube等。
启用Client Web Filtering When On-Net选项将继续使用FortiClient Web过滤,即使它在FortiGate和On-Net之后。当禁用此功能时,上网时FortiGate web过滤器配置文件将保护FortiClient终端。
你可以直接在FortiClient界面查看web过滤违规日志,也可以在“导出日志”中导出日志。
因此,在诊断和排除web过滤问题时,总是要注意日志,因为URL或类别可能在托管配置文件中被阻止,但在URL列表中允许,并且结果可能与你预期的不同。
● webfilter缓存URL评级会在urlcache中产生结果.dat文件。你也可以在升高模式下运行命令fortiwf.exe -s fd_01和fortiproxy.exe -s fd_01 -d 4,以进一步排除webfilter问题。
以上命令为web filter和FortiProxy进程提供了调试级别的日志。
ipsecvpn XML标签包含IPsec VPN相关的配置信息。IPsec VPN分为两个部分:
● 选项:与VPN类型相关的选项
● 连接:用户定义的连接
FortiClient-FortiGate拨号请求由FortiClient向FortiGate发送。FortiClient-FortiGate使用侵略性模式进行协商。野蛮模式下,IKE SA几乎包含所有信息,包括加密类型、长度、哈希类型、DH组等。它包含更少的交换和包,并且比主模式更快。
最好在FortiGate上使用debug命令与FortiClient上的IPsec VPN日志进行比较。
除了这上图显示的实时调试命令,你还可以在FortiGate上运行以下命令来排除IPsec VPN问题:
● diagnose vpn ike config list命令用来检查FortiGate设备上ike守护进程看到的配置信息
● 如果需要在FortiGate上列出IKE SA,请使用diagnose vpn IKE gateway list命令。
● 如果需要在FortiGate上列出IPsec SA,请使用diagnose vpn tunnel list命令。
● 如果需要查看IKE守护进程安装的FortiGate(仅适用于拨号IPsec VPN)上的路由信息,可以使用diagnose VPN IKE routes list命令。
sslvpn XML标记包含专门与SSL VPN相关的配置。
SSL VPN有两个子部分:
● 选项:与VPN类型相关的选项
● 连接:用户定义的连接
FortiClient-FortiGate SSL VPN请求由FortiClient向FortiGate发送。FortiClient-FortiGate检查SSL VPN服务的端口号和允许访问的用户凭证。SSL调试日志显示了FortiClient向FortiGate发出的初始连接请求。然后FortiClient和FortiGate之间进行SSL证书协商。FortiClient端证书信息在Installation directory\Fortinet\FortiClient文件夹中。
作为一种最佳实践,在FortiGate上运行调试命令,将它们与FortiClient上的SSL VPN日志进行比较。
你可以通过将candc_enabled的值设置为1来启用XML配置元素,以检测到僵尸网络命令和控制服务器的连接。default_action XML配置元素值被设置为pass,这将强制动作在不匹配任何已定义概要文件的流量上传递。你可以将默认操作更改为阻塞、重置或通过。profiles标记有一个rules元素。rules元素可以有零个或多个规则标记。
下面的过滤器元素可以用来在一个rule标签中定义应用程序:
● category
● vendor
● behavior
● technology
● protocol
● application
● popularity
如果应用程序元素存在,则将忽略所有其他同级元素(上面列出的)。如果不存在,则给定应用程序必须匹配所有提供的筛选器才能触发规则。在上图显示的例子中,在第一条规则中,类别6和23被阻止,这对应于Proxy和Social。媒体分别。在第二条规则中,应用程序16779被阻止,也就是Yahoo.Games。你可以在FortiGate CLI上获得对应于每个类别、行为和应用程序的完整ID列表。
在上图显示的例子中,FortiClient阻止了两个类别(proxy和Social.Media)和应用程序Yahoo.Games,当FortiClient检测通过它的流量,并根据匹配规则采取行动。在本例中,FortiClient基于定义的规则屏蔽了Twitter、代理网站和Yahoo.Games。
一些常见的问题是阻塞的流量,以及应用程序崩溃或没有正确分类。尝试逐一禁用FortiClient功能,以确保问题是由应用程序防火墙引起的。
你可以直接在FortiClient界面上查看最近检测到的漏洞,也可以通过FortiClient EMS导出日志,或者在FortiClient设置中使用“导出日志”选项。
漏洞日志显示了状态(started、cancelled),还显示了检测到的漏洞的名称、严重性、漏洞引擎、使用的签名,等等。它还提供了一个参考链接,其中提供了对检测到的漏洞的描述、影响和建议的处理措施。
2284
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
