Zum Inhalt

Fehlerbehebung

Einrichtung

Der Link 'Launch Stack' für das Gateway funktioniert nicht

Problem

Wenn Sie ein AWS-Gateway hinzufügen, funktioniert der Link 'Stapel starten' zu AWS nicht.

Maßnahme

Wählen Sie in den Website-Einstellungen die Option „Zulassen“ für Popup-Fenster aus. Standardmäßig werden diese blockiert.

Gateway auf ESXi wird als nicht zur Genehmigung bereit angezeigt

Problem

Auf ESXi gehostetes Gateway zeigt nach der Bereitstellung in Sophos Central keine Schaltfläche „Genehmigen“ an.

Maßnahme

  1. Prüfen Sie, ob Ihr Gateway eine Verbindung zu diesen URLs herstellen kann. Wenn das nicht möglich ist, erlauben Sie dies. Verwenden Sie Port 443, sofern nicht anders angegeben.

    • sophos.jfrog.io
    • *.amazonaws.com
    • production.cloudflare.docker.com
    • *.docker.io
    • *.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Port 22)
    • sentry.io
    • *.okta.com (Wenn Sie Okta als Identitätsanbieter verwenden)
  2. Stellen Sie sicher, dass ESXi über die neueste Firmware-Version verfügt.

  3. Stellen Sie sicher, dass die Uhrzeit in ESXi korrekt (GMT 0) eingestellt ist.

  4. Stellen Sie sicher, dass die CD-ROM verbunden ist. Ist dies nicht der Fall, schalten Sie die VM aus und schließen Sie sie wieder an. Wenn dies fehlschlägt, erstellen Sie die Gateway-VM neu.

  5. Führen Sie einen TCP-Test auf der internen Schnittstelle 6443 aus, um sicherzustellen, dass K3S ausgeführt wird.

  6. Wenn sich Ihr Gateway hinter der Sophos Firewall befindet, melden Sie sich bei der Firewall an, gehen Sie zu Diagnose > Paketerfassung und aktivieren Sie die Paketerfassung oder richten Sie eine Webfilterung ein, um zu sehen, welche Anfragen fehlschlagen. Sie können dies auch über eine Firewall eines Drittanbieters tun.

Gateway auf AWS wird als nicht zur Genehmigung bereit angezeigt

Problem

Nachdem Sie die Gateway-Einrichtung in AWS abgeschlossen haben, wird auf der Seite „Gateways“ in Sophos Central keine Schaltfläche zum Genehmigen angezeigt.

Maßnahme

Warten Sie bis zu einer Stunde, bis das Gateway verfügbar ist. Überprüfen Sie danach, ob die Stapelerstellung fehlgeschlagen ist. Gehen Sie dazu zur Liste CloudFormation-Ressourcen in der AWS-Verwaltungskonsole.

Es sind keine Benutzergruppen verfügbar, um Zugriff auf Ressourcen zu erhalten

Problem

Wenn Sie eine Ressource zu ZTNA hinzufügen, gibt es keine Benutzergruppen, denen Sie den Zugriff darauf erlauben können.

Maßnahme

Überprüfen Sie, ob Ihr Verzeichnisdienst (Azure AD oder Active Directory) Benutzergruppen enthält und ob diese in Sophos Central synchronisiert sind.

Die Zertifikate werden nicht auf der Seite 'Gateway bearbeiten' angezeigt

Problem

Wenn Sie die Seite Gateway bearbeiten öffnen, werden die Zertifikate, die Sie beim Hinzufügen des Gateways hochgeladen haben, nicht angezeigt.

Maßnahme

Dies ist so vorgesehen. Die aktuellen Zertifikate können dort nicht angezeigt werden.

ZTNA auf Endpoints

ZTNA wird auf Endpoints als 'nicht konfiguriert' angezeigt

Problem

Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Nicht konfiguriert“ angezeigt.

Maßnahme

Gehen Sie zu Geräte > Computer (oder Server). Überprüfen Sie, ob der ZTNA-Agent auf dem Gerät installiert ist. Wenn er installiert ist, sehen Sie ein grünes Häkchen. Ist dies nicht der Fall, wird ein Pluszeichen angezeigt. Klicken Sie, um ZTNA zu installieren.

In ZTNA wird die Warnung 'Zero Trust Network Access: Fehler' auf Endpoints angezeigt

Problem

Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Error“ angezeigt. Dies weist auf ein Verbindungsproblem hin.

Maßnahme

  1. Überprüfen Sie, ob in Sophos Central eine ZTNA-Richtlinie eingerichtet wurde.

  2. Überprüfen Sie, ob der Gateway-FQDN aufgelöst werden kann.

  3. Überprüfen Sie, ob die Konfiguration des Sophos TAP-Adapters fehlgeschlagen ist.

Benutzergruppen

Benutzergruppen verlieren Zugriff

Problem

Benutzer in einer Azure AD-Benutzergruppe, die zuvor Zugriff auf eine Anwendung hatten, können nicht mehr darauf zugreifen.

Ursache

Wenn Sie den Namen einer zugewiesenen Azure AD-Benutzergruppe, die Zugriff auf eine Anwendung erhalten hat, später ändern, wird die Liste Zugewiesene Benutzergruppen in ZTNA nicht aktualisiert, um diese Änderung widerzuspiegeln. Benutzer können nicht auf die Anwendung zugreifen.

Maßnahme

  1. Gehen Sie zu Zero Trust Network Access > Ressourcen und Zugriff.

    Menü „Ressourcen und Zugriff“

  2. Suchen Sie auf der Seite Ressourcen und Zugriff nach der Anwendung und klicken Sie darauf, um die Details zu bearbeiten.

    Ressourcenliste

  3. Verfahren Sie im Dialogfeld Ressource bearbeiten wie folgt:

    1. Gehen Sie zum Abschnitt Benutzergruppen zuweisen.
    2. Suchen Sie unter Verfügbare Benutzergruppen nach der umbenannten Benutzergruppe und aktivieren Sie das Kontrollkästchen daneben.
    3. Verschieben Sie die Gruppe in Zugewiesene Benutzergruppen und aktivieren Sie das Kontrollkästchen daneben.
    4. Klicken Sie auf Speichern.

    Dialogfeld „Ressource bearbeiten“

Benutzer wurden zu einer zulässigen Benutzergruppe hinzugefügt, können aber nicht auf die Anwendung zugreifen

Problem

Sie haben einen Benutzer zu einer zulässigen Benutzergruppe für eine Anwendung hinzugefügt, der Benutzer sieht jedoch einen Fehler '403 Access Denied'.

Maßnahme

Wenn der Benutzer kürzlich hinzugefügt wurde, bitten Sie ihn, es später erneut zu versuchen. Es kann bis zu einer Stunde dauern, bis Änderungen an Benutzergruppen wirksam werden.

Wenn es sich um ein Web-Anwendung handelt, weisen Sie den Benutzer alternativ an, in den Inkognito- oder Privatmodus in seinem Browser zu wechseln und es dann erneut zu versuchen.

Benutzer wurden aus einer zulässigen Benutzergruppe entfernt, können aber trotzdem auf die Anwendung zugreifen

Problem

Sie haben den Benutzer aus einer zulässigen Benutzergruppe für eine Anwendung entfernt, aber er kann trotzdem darauf zugreifen.

Maßnahme

Später erneut prüfen. Es kann bis zu einer Stunde dauern, bis Änderungen an einer zugelassenen Benutzergruppe wirksam werden.

Zugriffsprobleme

Der Benutzer sieht einen Fehler '404 Not Found', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen

Problem

Wenn der Benutzer versucht, auf eine Anwendung zuzugreifen, die für den agentenlosen Zugriff eingerichtet wurde, wird ein Fehler '404 Not Found' angezeigt.

Maßnahme

Gehen Sie in den DNS-Verwaltungseinstellungen wie folgt vor:

  1. Überprüfen Sie, ob Sie über einen CNAME-Datensatz für die Anwendung verfügen, der auf den FQDN des Gateways verweist.

  2. Stellen Sie sicher, dass Sie keinen CNAME-Datensatz für Anwendungen haben, auf die über einen ZTNA-Agenten zugegriffen wird.

Der Benutzer sieht einen Fehler '403 Access Denied', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen

Problem

Der Benutzer sieht einen Fehler '403 Access Denied', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.

Maßnahme

  1. Überprüfen Sie, ob Sie alle erforderlichen API-Berechtigungen für Ihren Identitätsanbieter aktiviert haben.

    Für Azure benötigen Sie die folgenden Microsoft Graph API-Berechtigungen:

    • Directory.Read.All (Delegiert)
    • Directory.Read.All (Anwendung)
    • Group.Read.All (Delegiert)
    • openID (Delegiert)
    • profile (Delegiert)
    • User.Read (Delegiert)
    • User.Read.All (Delegiert)

    Derzeit benötigen Sie auch eine Azure AD API-Berechtigung: Directory.ReadWrite.All (Anwendung). Siehe Registrieren Sie die ZTNA-Anwendung.

    Für Okta:

    • okta.groups.read
    • okta.idps.read (Sie benötigen dies nur, wenn Sie AD Sync verwenden.)
  2. Überprüfen Sie, ob die ZTNA-Richtlinie den Zugriff auf die Anwendung zulässt.

  3. Überprüfen Sie, ob sich der Benutzer in einer zugewiesenen Benutzergruppe für die Anwendung befindet.

  4. Stellen Sie sicher, dass Sie eine Netzwerkverbindung zum Identitätsanbieter haben:

    Für Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Für Okta:

    • *.okta.com
der Benutzer sieht einen Fehler bei der Upstream-Anforderung, wenn er versucht, auf ein agentenloses App zuzugreifen

Problem

Der Benutzer sieht einen Fehler bei der Upstream-Anforderung, wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.

Maßnahme

  1. Überprüfen Sie, ob über das Netzwerk, in dem das ZTNA-Gateway aktiviert ist, auf die Anwendung zugegriffen werden kann.

  2. Überprüfen Sie, ob die Anwendung noch ausgeführt wird.

  3. Wenn der interne FQDN oder die IP-Adresse angezeigt wird, stellen Sie sicher, dass er zur Anwendung aufgelöst wird.

  4. Wenn Sie einen privaten DNS-Server verwenden, überprüfen Sie, ob er ausgeführt wird und zum externen FQDN der Anwendung aufgelöst wird.

  5. Überprüfen Sie, ob die für die Anwendung angegebenen Portnummern korrekt sind.

Benutzer ist authentifiziert, kann aber nicht auf eine Anwendung zugreifen, die einen ZTNA-Agenten benötigt

Problem

Der Benutzer ist authentifiziert, kann aber nicht auf eine Anwendung zugreifen.

Maßnahme

  1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

  2. Prüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind.

Benutzer verliert Zugriff auf eine Anwendung, auf die über ZTNA-Agent zugegriffen wird

Problem

Der Benutzer konnte zuvor auf eine Anwendung zugreifen, kann dies jedoch nicht mehr tun.

Maßnahme

  1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

  2. Überprüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind

  3. Prüfen Sie, ob ZTNA in der Sophos Endpoint-Benutzeroberfläche mit „rotem“ Sicherheitszustand angezeigt wird.

Der Benutzer sieht den IDP-Anmeldebildschirm beim ersten Zugriff auf Anwendungen nicht

Problem

Der IDP sollte den Benutzer beim ersten Versuch, auf Anwendungen zuzugreifen, zur Anmeldung auffordern. Wenn dies nicht der Fall ist, kann der Benutzer nicht auf Anwendungen zugreifen.

Maßnahme

Überprüfen Sie, ob das Gerät des Benutzers mit dem ZTNA-Gateway in Verbindung treten kann.

Der Benutzer sieht kein Popup-Fenster für die Anmeldung, wenn er versucht, auf eine Anwendung zuzugreifen, die den Agenten benötigt

Problem

Der Benutzer sollte eine Popup-Meldung sehen, die ihn zur Anmeldung auffordert, wenn er versucht, auf eine Anwendung zuzugreifen, die den ZTNA-Agenten benötigt. Andernfalls können er nicht auf die Anwendung zugreifen.

Maßnahme

  1. Überprüfen Sie die SNTP-Protokolle auf Fehler.

  2. Überprüfen Sie die DNS-Einstellungen. Der DNS-Server darf keinen CNAME-Eintrag für die Anwendung haben.

  3. Überprüfen Sie, ob der ZTNA-Agent-Prozess ausgeführt wird.

Der Benutzer kann auf eine Anwendung zugreifen, aber Links in der Anwendung funktionieren nicht.

Problem

Der Benutzer kann auf eine App zugreifen, aber Links zu anderen Apps funktionieren nicht.

Maßnahme

Fügen Sie die anderen Anwendungen zu ZTNA hinzu, wie in Ressourcen hinzufügen beschrieben. Dadurch kann ZTNA dem Benutzer Zugriff gewähren, wenn er auf die Links klickt.

Benutzer ist authentifiziert, wird aber nicht zur Anwendung weitergeleitet

Problem

Der Benutzer sieht den Anmeldebildschirm und wird authentifiziert, wird jedoch nicht zu der Anwendung weitergeleitet, auf die er zugreifen möchte.

Maßnahme

Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.

Wenn Azure AD der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Registrieren Sie die ZTNA-Anwendung.

Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.

ZTNA-Benutzerportal

Benutzer kann Anwendungen im ZTNA-Benutzerportal nicht sehen

Problem

Der Benutzer kann keine Anwendungen im ZTNA-Benutzerportal sehen.

Hinweis

Derzeit zeigt das Portal keine Anwendungen an, auf die über den ZTNA-Agenten zugegriffen wird. Benutzer sehen nur agentenlose Anwendungen.

Maßnahme

  1. Gehen Sie zu Ressourcen und Zugriff und klicken Sie auf eine Anwendung, um deren Einstellungen zu bearbeiten.

  2. Überprüfen Sie, ob sich der Benutzer in den zugewiesenen Benutzergruppen für die benötigten Anwendungen befindet. Benutzer können nur Anwendungen sehen, auf die sie zugreifen dürfen.

  3. Überprüfen Sie, ob der Administrator beim Hinzufügen der Anwendungen die Option Ressource im Benutzerportal anzeigen ausgewählt hat.

Benutzer meldet sich an, erhält aber keinen Zugriff auf das ZTNA-Benutzerportal

Problem

Der Benutzer versucht, auf das ZTNA-Benutzerportal zuzugreifen und es wird der Anmeldebildschirm des Identitätsanbieters angezeigt. Nach der Anmeldung wird er nicht mehr zum Benutzerportal zurückgeschickt.

Maßnahme

Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.

Wenn Azure AD der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Verzeichnisdienst einrichten.

Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.

DNS-Probleme

DNS-Abfragen schlagen nach der Installation des ZTNA-Agenten fehl

Problem

Wenn Sie nach der Installation des ZTNA-Agenten eine DNS-Abfrage mit nslookup durchführen, schlägt diese mitunter fehl.

Maßnahme

Geben Sie den zu verwendenden Netzwerkadapter an.

Durch die Installation des ZTNA-Agenten wird der Standard-TAP-Adapter geändert. Wenn Sie eine DNS-Suche mit nslookup durchführen, wird jetzt standardmäßig der ZTNA-TAP-Adapter verwendet. Die Suche nach Anwendungen, die sich nicht hinter dem ZTNA-Gateway befinden, schlägt fehl.

Um dieses Problem zu vermeiden, fügen Sie dem nslookup-Befehl den richtigen Adapter hinzu. Beispielsweise:

nslookup <FQDN-to-be-resolved><DNS-Server>