Fehlersuche

Problem

Auf ESXi gehostetes Gateway zeigt nach der Bereitstellung in Sophos Central keine Schaltfläche „Genehmigen“ an.

Maßnahme

1. Prüfen Sie, ob Ihr Gateway eine Verbindung zu diesen URLs herstellen kann. Wenn das nicht möglich ist, erlauben Sie dies. Verwenden Sie Port 443, sofern nicht anders angegeben.

   • sophos.jfrog.io
   • \*.amazonaws.com
   • production.cloudflare.docker.com
   • \*.docker.io
   • \*.sophos.com
   • login.microsoftonline.com
   • graph.microsoft.com
   • ztna.apu.sophos.com (Port 22)
   • sentry.io
   • \*.okta.com (Wenn Sie Okta als Identitätsanbieter verwenden)

2. Stellen Sie sicher, dass ESXi über die neueste Firmware-Version verfügt.

3. Stellen Sie sicher, dass die Uhrzeit in ESXi korrekt (GMT 0) eingestellt ist.

4. Stellen Sie sicher, dass die CD-ROM verbunden ist. Ist dies nicht der Fall, schalten Sie die VM aus und schließen Sie sie wieder an. Wenn dies fehlschlägt, erstellen Sie die Gateway-VM neu.

5. Führen Sie einen TCP-Test auf der internen Schnittstelle 6443 aus, um sicherzustellen, dass K3S ausgeführt wird.

6. Wenn sich Ihr Gateway hinter der Sophos Firewall befindet, melden Sie sich bei der Firewall an, gehen Sie zu Diagnose > Paketerfassung und aktivieren Sie die Paketerfassung oder richten Sie eine Webfilterung ein, um zu sehen, welche Anfragen fehlschlagen. Sie können dies auch über eine Firewall eines Drittanbieters tun.

Problem

Wenn Sie eine Ressource zu ZTNA hinzufügen, gibt es keine Benutzergruppen, denen Sie den Zugriff darauf erlauben können.

Maßnahme

Überprüfen Sie, ob Ihr Verzeichnisdienst (Microsoft Entra ID (Azure AD) oder Active Directory) Benutzergruppen enthält und ob diese in Sophos Central synchronisiert sind.

Problem

Wenn Sie die Seite Gateway bearbeiten öffnen, werden die Zertifikate, die Sie beim Hinzufügen des Gateways hochgeladen haben, nicht angezeigt.

Maßnahme

Dies ist so vorgesehen. Die aktuellen Zertifikate können dort nicht angezeigt werden.

Problem

Erstellen von agentenlosen ZTNA-Ressourcen schlägt fehl. Folgende Meldung wird angezeigt: „Domäne wurde nicht validiert“. Dies liegt daran, dass Ressourcen mit dem FQDN-Namen des Gateways anstelle des Domänennamens hinzugefügt werden.

Maßnahme

Verwenden Sie beim Erstellen von Ressourcen den Domänennamen, nicht den FQDN-Namen des Gateways. Verwenden Sie beispielsweise test123.local anstelle von ztna.test123.local.

Problem

Wenn der lokale AD-Benutzer nur zur primären Gruppe auf dem AD-Server gehört, schlägt die Gruppenüberprüfung auf dem ZTNA-Server fehl und der Benutzer kann nicht auf Ressourcen zugreifen.

Maßnahme

Fügen Sie den Benutzer anderen AD-Gruppen hinzu und konfigurieren Sie diese Gruppen für den Zugriff auf Ressourcen auf ZTNA.

Problem

Der primäre AD-Server und das ZTNA-Gateway stellen keine Verbindung her.

Maßnahme

Überprüfen Sie, ob Ihr primärer AD-Server vom ZTNA-Gateway aus erreichbar ist und ob Sie Hostname, IP und Port korrekt konfiguriert haben.

Problem

Die Einstellungen für den primären AD-Server sind nicht korrekt.

Maßnahme

1. Prüfen Sie, ob die Einstellungen für den Bindungs-DN und das Bindungs-Kennwort korrekt sind.
2. Prüfen Sie, ob der LDAP-Port TLS-fähig ist. Normalerweise wird Port 389 für ungesicherte LDAP-Verbindungen und Port 636 für sichere LDAP-Verbindungen verwendet.

Problem

Dieser Fehler kann durch einen Tippfehler im Basis-DN, falsch konfigurierte erweiterte Einstellungen, falsche Testeinstellungen oder falsche primäre AD-Servereinstellungen verursacht werden.

Maßnahme

1. Prüfen Sie, ob die Einstellungen für Benutzer und Benutzergruppe korrekt sind.
2. Prüfen Sie, ob der Benutzer, mit dem Sie getestet haben, auf dem AD-Server vorhanden ist.
3. Prüfen Sie, ob das E-Mail-Feld für den Benutzer auf dem primären AD-Server eine gültige E-Mail-Adresse enthält. Wenn die für einen Benutzer eingegebene E-Mail-Adresse leer oder ungültig ist, schlägt die Testverbindung fehl.
4. Wenn Sie in den erweiterten Einstellungen eine E-Mail-Adresse für Ihren Benutzer eingegeben haben, testen Sie die Verbindung mit der E-Mail-Adresse und nicht mit dem Benutzernamen.
5. Überprüfen Sie, ob Ihr primärer AD-Server vom ZTNA-Gateway aus erreichbar ist und ob Sie Hostname, IP und Port korrekt konfiguriert haben.
6. Stellen Sie sicher, dass Ihre Benutzer zusätzlich zur primären Benutzergruppe auf dem primären AD-Server Mitglieder einer anderen Benutzergruppe sind.

Problem

Die Integritätsprüfung des primären AD-Servers schlägt fehl, wenn Benutzer versuchen, auf eine App zuzugreifen.

Maßnahme

1. Überprüfen Sie, ob der Benutzer auf dem AD-Server vorhanden ist.
2. Wenn Sie bei der Einrichtung von lokalem AD IdP die Standardeinstellungen für die erweiterte Konfiguration verwendet haben, melden Sie sich mit Ihrem Benutzernamen an, ohne den Domänennamen hinzuzufügen.

Maßnahme

Überprüfen Sie, ob Ihr primärer AD-Server vom ZTNA-Gateway aus erreichbar ist und ob Sie Hostname, IP und Port korrekt konfiguriert haben.

Maßnahme

Prüfen Sie, ob die Einstellungen für Benutzer und Benutzergruppe korrekt sind.

Maßnahme

Prüfen Sie, ob die Mail-, Name- und ID-Werte, die Sie in der erweiterten Konfiguration festgelegt haben, auch auf dem AD-Server festgelegt sind.

Problem

Das ZTNA-Gateway kann keine Verbindung zum SMTP-Server herstellen.

Maßnahme

Wenn Sie keinen Bestätigungscode für die mehrstufige Authentifizierung erhalten, überprüfen Sie die SMTP-Serverkonfiguration.

Problem

Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Nicht konfiguriert“ angezeigt.

Maßnahme

Gehen Sie zu Geräte > Computer (oder Server). Überprüfen Sie, ob der ZTNA-Agent auf dem Gerät installiert ist. Wenn er installiert ist, sehen Sie ein grünes Häkchen. Ist dies nicht der Fall, wird ein Pluszeichen angezeigt. Klicken Sie, um ZTNA zu installieren.

Problem

Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Error“ angezeigt. Dies weist auf ein Verbindungsproblem hin.

Maßnahme

1. Überprüfen Sie, ob in Sophos Central eine ZTNA-Richtlinie eingerichtet wurde.

2. Überprüfen Sie, ob der Gateway-FQDN aufgelöst werden kann.

3. Überprüfen Sie, ob die Konfiguration des Sophos TAP-Adapters fehlgeschlagen ist.

4. Schalten Sie auf dem Agenten die IPv6-Netzwerkschnittstelle aus. Dann wird der Tunnel aufgebaut.

Problem

Benutzer in einer Microsoft Entra ID (Azure AD)-Benutzergruppe, die zuvor Zugriff auf eine Anwendung hatten, können nicht mehr darauf zugreifen.

Ursache

Wenn Sie den Namen einer zugewiesenen Microsoft Entra ID (Azure AD)-Benutzergruppe, die Zugriff auf eine Anwendung erhalten hat, später ändern, wird die Liste Zugewiesene Benutzergruppen in ZTNA nicht aktualisiert, um diese Änderung widerzuspiegeln. Benutzer können nicht auf die Anwendung zugreifen.

Maßnahme

1. Gehen Sie zu Zero Trust Network Access > Ressourcen und Zugriff.

   

2. Suchen Sie auf der Seite Ressourcen und Zugriff nach der Anwendung und klicken Sie darauf, um die Details zu bearbeiten.

   

3. Verfahren Sie im Dialogfeld Ressource bearbeiten wie folgt:

   1. Gehen Sie zum Abschnitt Benutzergruppen zuweisen.
   2. Suchen Sie unter Verfügbare Benutzergruppen nach der umbenannten Benutzergruppe und aktivieren Sie das Kontrollkästchen daneben.
   3. Verschieben Sie die Gruppe in Zugewiesene Benutzergruppen und aktivieren Sie das Kontrollkästchen daneben.
   4. Klicken Sie auf Speichern.

   

Problem

Sie haben einen Benutzer zu einer zulässigen Benutzergruppe für eine Anwendung hinzugefügt, der Benutzer sieht jedoch einen Fehler '403 Access Denied'.

Maßnahme

Wenn der Benutzer kürzlich hinzugefügt wurde, bitten Sie ihn, es später erneut zu versuchen. Es kann bis zu einer Stunde dauern, bis Änderungen an Benutzergruppen wirksam werden.

Wenn es sich um ein Web-Anwendung handelt, weisen Sie den Benutzer alternativ an, in den Inkognito- oder Privatmodus in seinem Browser zu wechseln und es dann erneut zu versuchen.

Problem

Sie haben den Benutzer aus einer zulässigen Benutzergruppe für eine Anwendung entfernt, aber er kann trotzdem darauf zugreifen.

Maßnahme

Später erneut prüfen. Es kann bis zu einer Stunde dauern, bis Änderungen an einer zugelassenen Benutzergruppe wirksam werden.

Problem

Wenn der Benutzer versucht, auf eine Anwendung zuzugreifen, die für den agentenlosen Zugriff eingerichtet wurde, wird ein Fehler '404 Not Found' angezeigt.

Maßnahme

Gehen Sie in den DNS-Verwaltungseinstellungen wie folgt vor:

1. Überprüfen Sie, ob Sie über einen CNAME-Datensatz für die Anwendung verfügen, der auf den FQDN des Gateways verweist.

2. Stellen Sie sicher, dass Sie keinen CNAME-Datensatz für Anwendungen haben, auf die über einen ZTNA-Agenten zugegriffen wird.

Problem

Der Benutzer sieht einen Fehler '403 Access Denied', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.

Maßnahme

1. Überprüfen Sie, ob Sie alle erforderlichen API-Berechtigungen für Ihren Identitätsanbieter aktiviert haben.

   Für Azure benötigen Sie die folgenden Microsoft Graph API-Berechtigungen:

   • Directory.Read.All (Delegiert)
   • Directory.Read.All (Anwendung)
   • Group.Read.All (Delegiert)
   • openID (Delegiert)
   • profile (Delegiert)
   • User.Read (Delegiert)
   • User.Read.All (Delegiert)

   Derzeit benötigen Sie auch eine Microsoft Entra ID (Azure AD) API-Berechtigung: Directory.ReadWrite.All (Anwendung). Siehe Die ZTNA-Anwendung registrieren.

   Für Okta:

   • okta.groups.read
   • okta.idps.read (Sie benötigen dies nur, wenn Sie AD Sync verwenden.)

2. Überprüfen Sie, ob die ZTNA-Richtlinie den Zugriff auf die Anwendung zulässt.

3. Überprüfen Sie, ob sich der Benutzer in einer zugewiesenen Benutzergruppe für die Anwendung befindet.

4. Stellen Sie sicher, dass Sie eine Netzwerkverbindung zum Identitätsanbieter haben:

   Für Azure:

   • login.microsoftonline.com
   • graph.microsoft.com

   Für Okta:

   • *.okta.com

Problem

Der Benutzer sieht einen Fehler bei der Upstream-Anforderung, wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.

Maßnahme

1. Überprüfen Sie, ob über das Netzwerk, in dem das ZTNA-Gateway aktiviert ist, auf die Anwendung zugegriffen werden kann.

2. Überprüfen Sie, ob die Anwendung noch ausgeführt wird.

3. Wenn der interne FQDN oder die IP-Adresse angezeigt wird, stellen Sie sicher, dass er zur Anwendung aufgelöst wird.

4. Wenn Sie einen privaten DNS-Server verwenden, überprüfen Sie, ob er ausgeführt wird und zum externen FQDN der Anwendung aufgelöst wird.

5. Überprüfen Sie, ob die für die Anwendung angegebenen Portnummern korrekt sind.

Problem

Der Benutzer ist authentifiziert, kann aber nicht auf eine Anwendung zugreifen.

Maßnahme

1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

2. Prüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind.

Problem

Der Benutzer konnte zuvor auf eine Anwendung zugreifen, kann dies jedoch nicht mehr tun.

Maßnahme

1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

2. Überprüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind

3. Prüfen Sie, ob ZTNA in der Sophos Endpoint-Benutzeroberfläche mit „rotem“ Sicherheitszustand angezeigt wird.

Problem

Der IDP sollte den Benutzer beim ersten Versuch, auf Anwendungen zuzugreifen, zur Anmeldung auffordern. Wenn dies nicht der Fall ist, kann der Benutzer nicht auf Anwendungen zugreifen.

Maßnahme

Überprüfen Sie, ob das Gerät des Benutzers mit dem ZTNA-Gateway in Verbindung treten kann.

Problem

Der Benutzer sollte eine Popup-Meldung sehen, die ihn zur Anmeldung auffordert, wenn er versucht, auf eine Anwendung zuzugreifen, die den ZTNA-Agenten benötigt. Andernfalls können er nicht auf die Anwendung zugreifen.

Maßnahme

1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

2. Überprüfen Sie die DNS-Einstellungen. Der DNS-Server darf keinen CNAME-Eintrag für die Anwendung haben.

3. Überprüfen Sie, ob der ZTNA-Agent-Prozess ausgeführt wird.

Problem

Der Benutzer kann auf eine App zugreifen, aber Links zu anderen Apps funktionieren nicht.

Maßnahme

Fügen Sie die anderen Anwendungen zu ZTNA hinzu, wie in Ressourcen hinzufügen beschrieben. Dadurch kann ZTNA dem Benutzer Zugriff gewähren, wenn er auf die Links klickt.

Problem

Der Benutzer sieht den Anmeldebildschirm und wird authentifiziert, wird jedoch nicht zu der Anwendung weitergeleitet, auf die er zugreifen möchte.

Maßnahme

1. Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.

   • Wenn Microsoft Entra ID (Azure AD) der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Die ZTNA-Anwendung registrieren.
   • Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.

2. Wenn Okta der IdP ist, prüfen Sie, ob Sie die „Groups claim expression“ mit der richtigen Groß-/Kleinschreibung eingegeben haben. Bei diesem Ausdruck wird zwischen Groß- und Kleinschreibung unterschieden.

Problem

Der Benutzer sieht einen Fehler „403 Access Denied“, wenn er versucht, auf eine interne Ressource, beispielsweise einen internen Webserver, zuzugreifen.

Maßnahme

1. Stellen Sie sicher, dass der Benutzer Teil einer Benutzergruppe ist, die der Ressource zugeordnet ist.
2. Stellen Sie sicher, dass die Gruppenkonfiguration in den Verzeichnisdienst-Einstellungen korrekt ist. Stellen Sie zum Beispiel in Microsoft Entra ID (Azure AD) sicher, dass Ihre importierten Benutzergruppen sicherheitsaktiviert sind.
3. Stellen Sie sicher, dass Sie die ZTNA-Richtlinie in Sophos Central aktivieren.

Problem

Der Benutzer kann keine Anwendungen im ZTNA-Benutzerportal sehen.

Maßnahme

1. Stellen Sie sicher, dass Ihre importierten Benutzergruppen die Einstellung „Sicherheit aktiviert“ haben.

2. Gehen Sie zu Ressourcen und Zugriff und klicken Sie auf eine Anwendung, um deren Einstellungen zu bearbeiten.

3. Überprüfen Sie, ob sich der Benutzer in den zugewiesenen Benutzergruppen für die benötigten Anwendungen befindet. Benutzer können nur Anwendungen sehen, auf die sie zugreifen dürfen.

4. Überprüfen Sie, ob der Administrator beim Hinzufügen der Anwendungen die Option Ressource im Benutzerportal anzeigen ausgewählt hat.

Problem

Der Benutzer versucht, auf das ZTNA-Benutzerportal zuzugreifen und es wird der Anmeldebildschirm des Identitätsanbieters angezeigt. Nach der Anmeldung wird er nicht mehr zum Benutzerportal zurückgeschickt.

Maßnahme

Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.

Wenn Microsoft Entra ID (Azure AD) der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Verzeichnisdienst einrichten.

Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.

Problem

Wenn Sie nach der Installation des ZTNA-Agenten eine DNS-Abfrage mit nslookup durchführen, schlägt diese mitunter fehl.

Maßnahme

Geben Sie den zu verwendenden Netzwerkadapter an.

Durch die Installation des ZTNA-Agenten wird der Standard-TAP-Adapter geändert. Wenn Sie eine DNS-Suche mit nslookup durchführen, wird jetzt standardmäßig der ZTNA-TAP-Adapter verwendet. Die Suche nach Anwendungen, die sich nicht hinter dem ZTNA-Gateway befinden, schlägt fehl.

Um dieses Problem zu vermeiden, fügen Sie dem Befehl nslookup den richtigen Adapter hinzu. Beispiel:

nslookup <FQDN-to-be-resolved><DNS-Server>

Maßnahme

Stellen Sie sicher, dass die von Sophos Central heruntergeladene ISO-Datei verbunden ist.

Maßnahme

Überprüfen Sie die Konfiguration der Netzwerkschnittstelle. Wenn Sie die Netzwerkeinstellungen des Gateways bearbeiten müssen, erstellen Sie eine neue Instanz des Gateways auf Sophos Central und laden Sie eine neue ISO-Datei herunter.

Maßnahme

Überprüfen Sie die Konfiguration der Netzwerkschnittstelle. Wenn Sie die Netzwerkeinstellungen des Gateways bearbeiten müssen, erstellen Sie eine neue Instanz des Gateways auf Sophos Central und laden Sie eine neue ISO-Datei herunter.

Maßnahme

Überprüfen Sie die Konfiguration Ihres DNS-Servers und stellen Sie sicher, dass ntp.ubuntu.com aufgelöst werden kann.

Maßnahme

Überprüfen Sie die Konfiguration Ihres DNS-Servers und stellen Sie sicher, dass sophos.jfrog.io aufgelöst werden kann.

Maßnahme

Überprüfen Sie die Konfiguration der Netzwerkschnittstelle. Wenn ntp.ubuntu.com nicht erreichbar ist, werden die ZTNA-Services nicht gestartet.

Maßnahme

Stellen Sie sicher, dass alle in den ZTNA-Anforderungen genannten URLs zulässig sind: Zugelassene Websites.

Maßnahme

Es kann bis zu 10 Minuten dauern, bis der Dienst nach dem Start des Gateways gestartet wird. Führen Sie die folgenden Schritte aus, wenn der Dienst nach 10 Minuten nicht startet.

Überprüfen Sie, dass die Zeit auf dem Gateway mit der Zeit in Kubernetes synchronisiert ist. Überprüfen Sie außerdem, dass die Zeitzone UTC ist.

Überprüfen Sie, dass sich das Gateway mit dem Internet verbinden kann.

Wenn Sie für Ihren Gateway-Cluster den DHCP-Modus verwenden, überprüfen Sie, dass sich die IP-Adressen Ihrer Gateways nicht geändert haben.

Wenn Sie VMware ESXi als Gateway-Plattform verwenden, überprüfen Sie, dass das CD-ROM-Laufwerk mit der VM-Instanz verbunden ist, wenn Sie diese starten.

Überprüfen Sie, dass mindestens die Hälfte der Knoten in Ihrem Gateway-Cluster aktiv sind.

Wenn der Dienst danach immer noch nicht startet, kontaktieren Sie den Sophos Support.

Maßnahme

Weitere Hilfestellung erhalten Sie vom Sophos-Support.

Maßnahme

Weitere Hilfestellung erhalten Sie vom Sophos-Support.

Maßnahme

Überprüfen Sie die Verbindung zu Sophos Central.

Maßnahme

Prüfen Sie, ob das Gateway erfolgreich registriert wurde und überprüfen Sie die Verbindung zu Sophos Central.

Maßnahme

Genehmigen Sie das Gateway auf Sophos Central.

Maßnahme

Prüfen Sie das ISO, das beim Starten des Gateways zugeordnet wird. Stellen Sie sicher, dass das neueste ISO verwendet wird, und wiederholen Sie die Gateway-Bereitstellung.

Maßnahme

Überprüfen Sie, ob die Firewall-Einstellungen aktualisiert wurden, um sicherzustellen, dass die angezeigte dynamische URL aufgelöst wird.

Maßnahme

Überprüfen Sie die Verbindung zu Sophos Central.

Maßnahme

Überprüfen Sie die Einstellungen auf der Gateway-Plattform. Eine Nichtübereinstimmung der Zeit führt zu Verbindungsproblemen.

Maßnahme

Überprüfen Sie die Einstellungen auf der Gateway-Plattform. Eine Nichtübereinstimmung der Zeit führt zu Verbindungsproblemen.