排查 Windows 防火墙中的 UWP 应用连接问题 |
您所在的位置:网站首页 › win10怎么禁止应用访问网络连接 › 排查 Windows 防火墙中的 UWP 应用连接问题 |
排查 UWP 应用连接问题
项目11/08/2023
适用于:
✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016
本文档旨在帮助网络管理员、支持工程师和开发人员调查 UWP 应用网络连接问题。 本文档通过提供实际示例,指导你完成调试通用 Windows 平台 (UWP) 应用网络连接问题的步骤。 连接问题的典型原因UWP 应用网络连接问题通常是由以下原因引起的: 不允许 UWP 应用程序接收环回流量。 必须配置此权限。 默认情况下,不允许 UWP 应用程序接收环回流量 UWP 应用缺少适当的功能令牌 专用范围配置不正确。 例如,通过 GP/MDM 策略等错误地设置了专用范围。若要更全面地了解这些原因,请查看几个概念。 Windows 上允许哪些内容和不) 的网络数据包流量 (由 Windows 筛选平台 (WFP) 确定。 当 UWP 应用或专用范围配置不正确时,会影响 WFP 处理 UWP 应用的网络流量的方式。 当 WFP 处理数据包时,该数据包的特征必须显式匹配筛选器的所有条件,以允许或丢弃到其目标地址。 当数据包与任何筛选条件都不匹配时,通常会发生连接问题,从而导致默认块筛选器丢弃数据包。 默认块筛选器的存在可确保 UWP 应用程序的网络隔离。 具体而言,它保证对尝试访问的资源没有正确功能的数据包的网络丢弃。 这种数据包丢弃可确保应用程序对每种资源类型的精细访问,并防止应用程序转义其环境。 有关筛选器仲裁算法和网络隔离的详细信息,请参阅 筛选器仲裁 和 隔离。 以下部分介绍环回和非环回 UWP 应用网络连接问题的调试案例示例。 注意 由于对 Windows 筛选平台中的调试和诊断进行了改进,本文档中的跟踪示例可能与以前版本的 Windows 上收集的跟踪不完全匹配。 调试 UWP 应用环回方案如果需要在同一主机上的两个进程之间建立 TCP/IP 连接,其中一个进程是 UWP 应用,则必须启用环回。 若要为客户端出站连接启用环回,请在命令提示符处运行以下命令: CheckNetIsolation.exe LoopbackExempt -a -n=若要为服务器入站连接启用环回,请在命令提示符处运行以下命令: CheckNetIsolation.exe LoopbackExempt -is -n=可以通过检查发送方和接收方的 appx 清单来确保已启用环回。 有关环回方案的详细信息,请参阅 与 localhost (环回) 通信 。 注意 如果你正在开发 UWA 应用程序,并且想要测试其环回,请确保卸载并重新安装 UWA 应用,前提是网络功能因任何原因而更改。 另请参阅如何启用环回并排查 (Windows 运行时 应用) 的网络隔离问题。 调试实时放置如果问题最近发生,但你发现无法重现该问题,请转到调试过去的 Drops 以获取相应的跟踪命令。 如果可以持续重现问题,则可以在管理员命令提示符下运行以下命令来收集新的跟踪: Netsh wfp capture start keywords=19 Netsh wfp capture stop这些命令生成 wfpdiag.cab。 在 .cab 中存在一个 wfpdiag.xml,其中包含在该重现过程中存在的任何允许或删除 netEvent 和筛选器。 如果没有“keywords=19”,跟踪将仅收集 drop netEvents。 在 wfpdiag.xml 中,搜索FWPM_NET_EVENT_TYPE_CLASSIFY_DROP为 netEvent 类型的 netEvent。 若要查找相关的删除事件,请搜索目标 IP 地址、包 SID 或应用程序 ID 名称匹配的删除事件。 应用程序 ID 名称中的字符将按句点分隔: (ex) \\.d.e.v.i.c.e.\\.h.a.r.d.d.i.s.k.v.o.l.u.m.e.1.\\.w.i.n.d.o.w.s.\\.s.y.s.t.e.m.3.2.\\.s.v.c.h.o.s.t...e.x.e...netEvent 将具有有关已删除的数据包的详细信息,包括有关其功能的信息、丢弃数据包的筛选器等。 案例 1:UWP 应用使用所有功能连接到 Internet 目标地址在此示例中,UWP 应用成功连接到 bing.com [2620:1ec:c11::200]。 来自 UWP 应用的数据包需要它尝试访问的资源的正确网络功能令牌。 在此方案中,应用可以成功将数据包发送到 Internet 目标,因为它具有 Internet 功能令牌。 以下代码显示了连接到目标 IP 的应用的 allow netEvent。 netEvent 包含有关数据包的信息,包括其本地地址、远程地址、功能等。 对 Allow netEvent 进行分类, Wfpdiag-Case-1.xml 2020-05-21T17:25:59.070Z FWPM_NET_EVENT_FLAG_IP_PROTOCOL_SET FWPM_NET_EVENT_FLAG_LOCAL_ADDR_SET FWPM_NET_EVENT_FLAG_REMOTE_ADDR_SET FWPM_NET_EVENT_FLAG_LOCAL_PORT_SET FWPM_NET_EVENT_FLAG_REMOTE_PORT_SET FWPM_NET_EVENT_FLAG_APP_ID_SET FWPM_NET_EVENT_FLAG_USER_ID_SET FWPM_NET_EVENT_FLAG_IP_VERSION_SET FWPM_NET_EVENT_FLAG_PACKAGE_ID_SET FWP_IP_VERSION_V6 6 2001:4898:30:3:256c:e5ba:12f3:beb1 2620:1ec:c11::200 52127 443 0 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 \\.d.e.v.i.c.e.\\.h.a.r.d.d.i.s.k.v.o.l.u.m.e.1.\\.p.r.o.g.r.a.m. .f.i.l.e.s.\\.w.i.n.d.o.w.s.a.p.p.s.\\.a.f.6.9.2.b.f.f.-.6.7.7.9.-.4.2.4.f.-.8.7.0.e.-.f.6.e.5.9.c.5.0.2.3.4.9._.1...1...1.0...0._.x.6.4._._.5.c.0.3.7.j.a.r.5.8.3.9.r.\\.u.w.p.s.o.c.k.e.t.c.l.i.e.n.t...e.x.e... S-1-5-21-2993214446-1947230185-131795049-1000 FWP_AF_INET6 S-1-15-2-4163697451-3176919390-1155390458-2883473650-3020241727-522149888-4067122936 0 FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW 125918 50 0 1 1 0000000000000000 FWP_CAPABILITIES_FLAG_INTERNET_CLIENT FWP_CAPABILITIES_FLAG_INTERNET_CLIENT_SERVER FWP_CAPABILITIES_FLAG_PRIVATE_NETWORK 0 125918 FWPP_SUBLAYER_INTERNAL_FIREWALL_WSH FWP_ACTION_PERMIT 121167 FWPP_SUBLAYER_INTERNAL_FIREWALL_WF FWP_ACTION_PERMIT下面是允许根据 netEvent 中的终止FiltersInfo将数据包发送到目标地址的筛选器。 Filter #125918 从 InternetClient 默认规则允许此数据包。 InternetClient 默认规则筛选器 #125918, Wfpdiag-Case-1.xml {3389708e-f7ae-4ebc-a61a-f659065ab24e} InternetClient Default Rule InternetClient Default Rule FWPM_PROVIDER_MPSSVC_WSH ad2b000000000000 .+...... FWPM_LAYER_ALE_AUTH_CONNECT_V6 FWPM_SUBLAYER_MPSSVC_WSH |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |