Fehlerbehebung
Einrichtung
Der Link 'Launch Stack' für das Gateway funktioniert nicht
Problem
Wenn Sie ein AWS-Gateway hinzufügen, funktioniert der Link 'Stapel starten' zu AWS nicht.
Maßnahme
Wählen Sie in den Website-Einstellungen die Option „Zulassen“ für Popup-Fenster aus. Standardmäßig werden diese blockiert.
Gateway auf ESXi wird als nicht zur Genehmigung bereit angezeigt
Problem
Auf ESXi gehostetes Gateway zeigt nach der Bereitstellung in Sophos Central keine Schaltfläche „Genehmigen“ an.
Maßnahme
-
Prüfen Sie, ob Ihr Gateway eine Verbindung zu diesen URLs herstellen kann. Wenn das nicht möglich ist, erlauben Sie dies. Verwenden Sie Port 443, sofern nicht anders angegeben.
- sophos.jfrog.io
- *.amazonaws.com
- production.cloudflare.docker.com
- *.docker.io
- *.sophos.com
- login.microsoftonline.com
- graph.microsoft.com
- ztna.apu.sophos.com (Port 22)
- sentry.io
- *.okta.com (Wenn Sie Okta als Identitätsanbieter verwenden)
-
Stellen Sie sicher, dass ESXi über die neueste Firmware-Version verfügt.
-
Stellen Sie sicher, dass die Uhrzeit in ESXi korrekt (GMT 0) eingestellt ist.
-
Stellen Sie sicher, dass die CD-ROM verbunden ist. Ist dies nicht der Fall, schalten Sie die VM aus und schließen Sie sie wieder an. Wenn dies fehlschlägt, erstellen Sie die Gateway-VM neu.
-
Führen Sie einen TCP-Test auf der internen Schnittstelle 6443 aus, um sicherzustellen, dass K3S ausgeführt wird.
-
Wenn sich Ihr Gateway hinter der Sophos Firewall befindet, melden Sie sich bei der Firewall an, gehen Sie zu Diagnose > Paketerfassung und aktivieren Sie die Paketerfassung oder richten Sie eine Webfilterung ein, um zu sehen, welche Anfragen fehlschlagen. Sie können dies auch über eine Firewall eines Drittanbieters tun.
Gateway auf AWS wird als nicht zur Genehmigung bereit angezeigt
Problem
Nachdem Sie die Gateway-Einrichtung in AWS abgeschlossen haben, wird auf der Seite „Gateways“ in Sophos Central keine Schaltfläche zum Genehmigen angezeigt.
Maßnahme
Warten Sie bis zu einer Stunde, bis das Gateway verfügbar ist. Überprüfen Sie danach, ob die Stapelerstellung fehlgeschlagen ist. Gehen Sie dazu zur Liste CloudFormation-Ressourcen in der AWS-Verwaltungskonsole.
Es sind keine Benutzergruppen verfügbar, um Zugriff auf Ressourcen zu erhalten
Problem
Wenn Sie eine Ressource zu ZTNA hinzufügen, gibt es keine Benutzergruppen, denen Sie den Zugriff darauf erlauben können.
Maßnahme
Überprüfen Sie, ob Ihr Verzeichnisdienst (Azure AD oder Active Directory) Benutzergruppen enthält und ob diese in Sophos Central synchronisiert sind.
Die Zertifikate werden nicht auf der Seite 'Gateway bearbeiten' angezeigt
Problem
Wenn Sie die Seite Gateway bearbeiten öffnen, werden die Zertifikate, die Sie beim Hinzufügen des Gateways hochgeladen haben, nicht angezeigt.
Maßnahme
Dies ist so vorgesehen. Die aktuellen Zertifikate können dort nicht angezeigt werden.
ZTNA auf Endpoints
ZTNA wird auf Endpoints als 'nicht konfiguriert' angezeigt
Problem
Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Nicht konfiguriert“ angezeigt.
Maßnahme
Gehen Sie zu Geräte > Computer (oder Server). Überprüfen Sie, ob der ZTNA-Agent auf dem Gerät installiert ist. Wenn er installiert ist, sehen Sie ein grünes Häkchen. Ist dies nicht der Fall, wird ein Pluszeichen angezeigt. Klicken Sie, um ZTNA zu installieren.
In ZTNA wird die Warnung 'Zero Trust Network Access: Fehler' auf Endpoints angezeigt
Problem
Wenn Sie Sophos Endpoint auf einem von Sophos Central verwalteten Gerät öffnen, wird auf der Statusseite „Zero Trust Network Access: Error“ angezeigt. Dies weist auf ein Verbindungsproblem hin.
Maßnahme
-
Überprüfen Sie, ob in Sophos Central eine ZTNA-Richtlinie eingerichtet wurde.
-
Überprüfen Sie, ob der Gateway-FQDN aufgelöst werden kann.
-
Überprüfen Sie, ob die Konfiguration des Sophos TAP-Adapters fehlgeschlagen ist.
Benutzergruppen
Benutzergruppen verlieren Zugriff
Problem
Benutzer in einer Azure AD-Benutzergruppe, die zuvor Zugriff auf eine Anwendung hatten, können nicht mehr darauf zugreifen.
Ursache
Wenn Sie den Namen einer zugewiesenen Azure AD-Benutzergruppe, die Zugriff auf eine Anwendung erhalten hat, später ändern, wird die Liste Zugewiesene Benutzergruppen in ZTNA nicht aktualisiert, um diese Änderung widerzuspiegeln. Benutzer können nicht auf die Anwendung zugreifen.
Maßnahme
-
Gehen Sie zu Zero Trust Network Access > Ressourcen und Zugriff.
-
Suchen Sie auf der Seite Ressourcen und Zugriff nach der Anwendung und klicken Sie darauf, um die Details zu bearbeiten.
-
Verfahren Sie im Dialogfeld Ressource bearbeiten wie folgt:
- Gehen Sie zum Abschnitt Benutzergruppen zuweisen.
- Suchen Sie unter Verfügbare Benutzergruppen nach der umbenannten Benutzergruppe und aktivieren Sie das Kontrollkästchen daneben.
- Verschieben Sie die Gruppe in Zugewiesene Benutzergruppen und aktivieren Sie das Kontrollkästchen daneben.
- Klicken Sie auf Speichern.
Benutzer wurden zu einer zulässigen Benutzergruppe hinzugefügt, können aber nicht auf die Anwendung zugreifen
Problem
Sie haben einen Benutzer zu einer zulässigen Benutzergruppe für eine Anwendung hinzugefügt, der Benutzer sieht jedoch einen Fehler '403 Access Denied'.
Maßnahme
Wenn der Benutzer kürzlich hinzugefügt wurde, bitten Sie ihn, es später erneut zu versuchen. Es kann bis zu einer Stunde dauern, bis Änderungen an Benutzergruppen wirksam werden.
Wenn es sich um ein Web-Anwendung handelt, weisen Sie den Benutzer alternativ an, in den Inkognito- oder Privatmodus in seinem Browser zu wechseln und es dann erneut zu versuchen.
Benutzer wurden aus einer zulässigen Benutzergruppe entfernt, können aber trotzdem auf die Anwendung zugreifen
Problem
Sie haben den Benutzer aus einer zulässigen Benutzergruppe für eine Anwendung entfernt, aber er kann trotzdem darauf zugreifen.
Maßnahme
Später erneut prüfen. Es kann bis zu einer Stunde dauern, bis Änderungen an einer zugelassenen Benutzergruppe wirksam werden.
Zugriffsprobleme
Der Benutzer sieht einen Fehler '404 Not Found', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen
Problem
Wenn der Benutzer versucht, auf eine Anwendung zuzugreifen, die für den agentenlosen Zugriff eingerichtet wurde, wird ein Fehler '404 Not Found' angezeigt.
Maßnahme
Gehen Sie in den DNS-Verwaltungseinstellungen wie folgt vor:
-
Überprüfen Sie, ob Sie über einen CNAME-Datensatz für die Anwendung verfügen, der auf den FQDN des Gateways verweist.
-
Stellen Sie sicher, dass Sie keinen CNAME-Datensatz für Anwendungen haben, auf die über einen ZTNA-Agenten zugegriffen wird.
Der Benutzer sieht einen Fehler '403 Access Denied', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen
Problem
Der Benutzer sieht einen Fehler '403 Access Denied', wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.
Maßnahme
-
Überprüfen Sie, ob Sie alle erforderlichen API-Berechtigungen für Ihren Identitätsanbieter aktiviert haben.
Für Azure benötigen Sie die folgenden Microsoft Graph API-Berechtigungen:
- Directory.Read.All (Delegiert)
- Directory.Read.All (Anwendung)
- Group.Read.All (Delegiert)
- openID (Delegiert)
- profile (Delegiert)
- User.Read (Delegiert)
- User.Read.All (Delegiert)
Derzeit benötigen Sie auch eine Azure AD API-Berechtigung: Directory.ReadWrite.All (Anwendung). Siehe Registrieren Sie die ZTNA-Anwendung.
Für Okta:
- okta.groups.read
- okta.idps.read (Sie benötigen dies nur, wenn Sie AD Sync verwenden.)
-
Überprüfen Sie, ob die ZTNA-Richtlinie den Zugriff auf die Anwendung zulässt.
-
Überprüfen Sie, ob sich der Benutzer in einer zugewiesenen Benutzergruppe für die Anwendung befindet.
-
Stellen Sie sicher, dass Sie eine Netzwerkverbindung zum Identitätsanbieter haben:
Für Azure:
- login.microsoftonline.com
- graph.microsoft.com
Für Okta:
- *.okta.com
der Benutzer sieht einen Fehler bei der Upstream-Anforderung, wenn er versucht, auf ein agentenloses App zuzugreifen
Problem
Der Benutzer sieht einen Fehler bei der Upstream-Anforderung, wenn er versucht, auf eine agentenlose Anwendung zuzugreifen.
Maßnahme
-
Überprüfen Sie, ob über das Netzwerk, in dem das ZTNA-Gateway aktiviert ist, auf die Anwendung zugegriffen werden kann.
-
Überprüfen Sie, ob die Anwendung noch ausgeführt wird.
-
Wenn der interne FQDN oder die IP-Adresse angezeigt wird, stellen Sie sicher, dass er zur Anwendung aufgelöst wird.
-
Wenn Sie einen privaten DNS-Server verwenden, überprüfen Sie, ob er ausgeführt wird und zum externen FQDN der Anwendung aufgelöst wird.
-
Überprüfen Sie, ob die für die Anwendung angegebenen Portnummern korrekt sind.
Benutzer ist authentifiziert, kann aber nicht auf eine Anwendung zugreifen, die einen ZTNA-Agenten benötigt
Problem
Der Benutzer ist authentifiziert, kann aber nicht auf eine Anwendung zugreifen.
Maßnahme
-
Überprüfen Sie die SNTP-Protokolle auf Fehler.
-
Prüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind.
Benutzer verliert Zugriff auf eine Anwendung, auf die über ZTNA-Agent zugegriffen wird
Problem
Der Benutzer konnte zuvor auf eine Anwendung zugreifen, kann dies jedoch nicht mehr tun.
Maßnahme
-
Überprüfen Sie die SNTP-Protokolle auf Fehler.
-
Überprüfen Sie, ob die Zertifikate in heartbeat.xml gültig sind
-
Prüfen Sie, ob ZTNA in der Sophos Endpoint-Benutzeroberfläche mit „rotem“ Sicherheitszustand angezeigt wird.
Der Benutzer sieht den IDP-Anmeldebildschirm beim ersten Zugriff auf Anwendungen nicht
Problem
Der IDP sollte den Benutzer beim ersten Versuch, auf Anwendungen zuzugreifen, zur Anmeldung auffordern. Wenn dies nicht der Fall ist, kann der Benutzer nicht auf Anwendungen zugreifen.
Maßnahme
Überprüfen Sie, ob das Gerät des Benutzers mit dem ZTNA-Gateway in Verbindung treten kann.
Der Benutzer sieht kein Popup-Fenster für die Anmeldung, wenn er versucht, auf eine Anwendung zuzugreifen, die den Agenten benötigt
Problem
Der Benutzer sollte eine Popup-Meldung sehen, die ihn zur Anmeldung auffordert, wenn er versucht, auf eine Anwendung zuzugreifen, die den ZTNA-Agenten benötigt. Andernfalls können er nicht auf die Anwendung zugreifen.
Maßnahme
-
Überprüfen Sie die SNTP-Protokolle auf Fehler.
-
Überprüfen Sie die DNS-Einstellungen. Der DNS-Server darf keinen CNAME-Eintrag für die Anwendung haben.
-
Überprüfen Sie, ob der ZTNA-Agent-Prozess ausgeführt wird.
Der Benutzer kann auf eine Anwendung zugreifen, aber Links in der Anwendung funktionieren nicht.
Problem
Der Benutzer kann auf eine App zugreifen, aber Links zu anderen Apps funktionieren nicht.
Maßnahme
Fügen Sie die anderen Anwendungen zu ZTNA hinzu, wie in Ressourcen hinzufügen beschrieben. Dadurch kann ZTNA dem Benutzer Zugriff gewähren, wenn er auf die Links klickt.
Benutzer ist authentifiziert, wird aber nicht zur Anwendung weitergeleitet
Problem
Der Benutzer sieht den Anmeldebildschirm und wird authentifiziert, wird jedoch nicht zu der Anwendung weitergeleitet, auf die er zugreifen möchte.
Maßnahme
Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.
Wenn Azure AD der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Registrieren Sie die ZTNA-Anwendung.
Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.
ZTNA-Benutzerportal
Benutzer kann Anwendungen im ZTNA-Benutzerportal nicht sehen
Problem
Der Benutzer kann keine Anwendungen im ZTNA-Benutzerportal sehen.
Hinweis
Derzeit zeigt das Portal keine Anwendungen an, auf die über den ZTNA-Agenten zugegriffen wird. Benutzer sehen nur agentenlose Anwendungen.
Maßnahme
-
Gehen Sie zu Ressourcen und Zugriff und klicken Sie auf eine Anwendung, um deren Einstellungen zu bearbeiten.
-
Überprüfen Sie, ob sich der Benutzer in den zugewiesenen Benutzergruppen für die benötigten Anwendungen befindet. Benutzer können nur Anwendungen sehen, auf die sie zugreifen dürfen.
-
Überprüfen Sie, ob der Administrator beim Hinzufügen der Anwendungen die Option Ressource im Benutzerportal anzeigen ausgewählt hat.
Benutzer meldet sich an, erhält aber keinen Zugriff auf das ZTNA-Benutzerportal
Problem
Der Benutzer versucht, auf das ZTNA-Benutzerportal zuzugreifen und es wird der Anmeldebildschirm des Identitätsanbieters angezeigt. Nach der Anmeldung wird er nicht mehr zum Benutzerportal zurückgeschickt.
Maßnahme
Überprüfen Sie, ob Sie in den Einstellungen des Identitätsanbieters (IdP) die richtige Umleitungs-URL angegeben haben.
Wenn Azure AD der Identitätsanbieter ist, haben Sie bei der Registrierung der ZTNA-Anwendung die Umleitungs-URL angegeben. Siehe Verzeichnisdienst einrichten.
Wenn Okta der Identitätsanbieter ist, haben Sie die URL für die Anmeldeumleitung beim Erstellen einer Anwendungs-Integration in Okta festgelegt. Siehe die Okta-Anweisungen unter Identitätsanbieter einrichten.
DNS-Probleme
DNS-Abfragen schlagen nach der Installation des ZTNA-Agenten fehl
Problem
Wenn Sie nach der Installation des ZTNA-Agenten eine DNS-Abfrage mit nslookup
durchführen, schlägt diese mitunter fehl.
Maßnahme
Geben Sie den zu verwendenden Netzwerkadapter an.
Durch die Installation des ZTNA-Agenten wird der Standard-TAP-Adapter geändert. Wenn Sie eine DNS-Suche mit nslookup
durchführen, wird jetzt standardmäßig der ZTNA-TAP-Adapter verwendet. Die Suche nach Anwendungen, die sich nicht hinter dem ZTNA-Gateway befinden, schlägt fehl.
Um dieses Problem zu vermeiden, fügen Sie dem nslookup
-Befehl den richtigen Adapter hinzu. Beispielsweise:
nslookup <FQDN-to-be-resolved><DNS-Server>