Saltar al contenido

Resolución de problemas

Configuración

No funciona el enlace 'Iniciar pila' para la puerta de enlace

Problema

Cuando se añade una puerta de enlace de AWS, el enlace 'Iniciar pila' a AWS no funciona.

Qué hacer

En la configuración del sitio, seleccione "Permitir" para las ventanas emergentes. La configuración predeterminada es "Bloquear".

La puerta de enlace en ESXi no aparece como lista para aprobar

Problema

La puerta de enlace alojada en ESXi no muestra el botón "Aprobar" en Sophos Central después del despliegue.

Qué hacer

  1. Compruebe si la puerta de enlace puede conectarse a estas URL. Si no puede, permítalas. Utilice el puerto 443 a menos que se indique lo contrario.

    • sophos.jfrog.io
    • *.amazonaws.com
    • production.cloudflare.docker.com
    • *.docker.io
    • *.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (puerto 22)
    • sentry.io
    • *.okta.com (si utiliza Okta como proveedor de identidad)
  2. Asegúrese de que ESXi tiene la última versión de firmware.

  3. Asegúrese de que la hora está configurada correctamente (GMT 0) en ESXi.

  4. Compruebe que la unidad de CD-ROM esté conectada. Si no lo está, apague el equipo virtual y vuelva a conectarlo. Si esto falla, vuelva a crear el equipo virtual de la puerta de enlace.

  5. Ejecute un sondeo TCP en la interfaz interna:6443 para asegurarse de que K3S se está ejecutando.

  6. Si su puerta de enlace está detrás de Sophos Firewall, inicie sesión en el firewall, vaya a Diagnóstico > Captura de paquetes y active la captura de paquetes, o configure el filtrado web para ver qué solicitudes fallan. Esto también puede hacerse en un firewall de terceros.

La puerta de enlace en AWS no aparece como lista para aprobar

Problema

Después de completar la configuración de la puerta de enlace en AWS, no se ve el botón Aprobar en la página Puertas de enlace de Sophos Central.

Qué hacer

Deje pasar hasta una hora para que la puerta de enlace esté disponible. Después, compruebe si ha habido errores al crear la pila. Para ello, vaya a la lista CloudFormation Resources en la Consola de administración AWS.

No hay grupos de usuarios que tengan acceso a los recursos

Problema

Cuando añade un recurso a ZTNA, no hay grupos de usuarios a los que se pueda permitir el acceso.

Qué hacer

Compruebe que el servicio de directorio (Azure AD o Active Directory) tiene grupos de usuarios y que están sincronizados en Sophos Central.

Los certificados no se muestran en la página 'Editar puerta de enlace'

Problema

Al abrir la página Editar puerta de enlace, no se ven los certificados que ha cargado cuando ha añadido la puerta de enlace.

Qué hacer

Está diseñado así. Ahí no se pueden ver los certificados actuales.

ZTNA en estaciones de trabajo

ZTNA aparece como 'No configurado' en las estaciones

Problema

Al abrir Sophos Endpoint en un dispositivo administrado por Sophos Central, la página Estado muestra "Zero Trust Network Access: No configurado".

Qué hacer

Vaya a Dispositivos > Ordenadores (o Servidores). Compruebe si el agente ZTNA está instalado en el dispositivo. Si está instalado, verá una marca de verificación verde. Si no lo está, verá un signo más. Haga clic para instalar ZTNA.

ZTNA aparece con la advertencia 'Zero Trust Network Access: Error' en las estaciones

Problema

Al abrir Sophos Endpoint en un dispositivo administrado por Sophos Central, la página Estado muestra "Zero Trust Network Access: Error". Esto indica que hay un problema de conexión.

Qué hacer

  1. Compruebe que se haya configurado una política ZTNA en Sophos Central.

  2. Compruebe que el FQDN de la puerta de enlace se puede resolver.

  3. Compruebe si ha fallado la configuración del adaptador de Sophos TAP.

Grupos de usuarios

Los grupos de usuarios dejan de tener acceso

Problema

Los usuarios de un grupo de usuarios de Azure AD que anteriormente tenían acceso a una aplicación ya no pueden acceder a ella.

Causa

Si cambia el nombre de un grupo de usuarios de Azure AD al que se ha dado acceso a una aplicación, la lista Grupos de usuarios asignados de ZTNA no se actualiza para reflejar el cambio. Los usuarios no podrán acceder a la aplicación.

Qué hacer

  1. Vaya a Zero Trust Network Access > Recursos y acceso.

    Menú Recursos y acceso

  2. En la página Recursos y acceso, busque la aplicación y haga clic en ella para ver los detalles.

    Lista de recursos

  3. En el cuadro de diálogo Editar recurso, haga lo siguiente:

    1. Vaya a la sección Asignar grupos de usuarios.
    2. En Grupos de usuarios disponibles, busque el grupo de usuarios cuyo nombre se ha cambiado y seleccione la casilla de verificación junto a él.
    3. Mueva el grupo a Grupos de usuarios asignados y seleccione la casilla de verificación junto a él.
    4. Haga clic en Guardar.

    Cuadro de diálogo Editar recurso

El usuario se ha añadido a un grupo de usuarios permitidos pero no puede acceder a la aplicación

Problema

Ha añadido un usuario a un grupo de usuarios permitidos para una aplicación, pero el usuario ve un error 403 Acceso denegado.

Qué hacer

Si el usuario se ha añadido recientemente, pídale que lo vuelva a intentar más tarde. Los cambios en los grupos de usuarios pueden tardar hasta una hora en surtir efecto.

Si se trata de una aplicación web, también puede pedirle al usuario que entre en modo Incógnito o Privado en su navegador y que lo intente de nuevo.

El usuario se ha eliminado de un grupo de usuarios permitidos pero todavía puede acceder a la aplicación

Problema

Ha eliminado un usuario de un grupo de usuarios permitidos para una aplicación, pero todavía puede acceder a ella.

Qué hacer

Vuelva a comprobarlo más tarde. Los cambios en los grupos de usuarios permitidos pueden tardar hasta una hora en surtir efecto.

Problemas de acceso

El usuario ve un error 404 No encontrado cuando intenta acceder a una aplicación sin agente

Problema

Cuando el usuario intenta acceder a una aplicación cuyo acceso se ha configurado sin agente, aparece un error 404 No encontrado.

Qué hacer

En la configuración de la administración de DNS, haga lo siguiente:

  1. Compruebe que tiene un registro CNAME para la aplicación que apunta al FQDN de la puerta de enlace.

  2. Asegúrese de no tener un registro CNAME para ninguna aplicación a la que se acceda a través de un agente ZTNA.

El usuario ve un error 403 Acceso denegado cuando intenta acceder a una aplicación sin agente

Problema

El usuario ve un error 403 Acceso denegado cuando intenta acceder a una aplicación sin agente.

Qué hacer

  1. Compruebe que ha habilitado todos los permisos de API necesarios para su proveedor de identidad.

    Para Azure, necesita estos permisos de API de Microsoft Graph:

    • Directory.Read.All (permiso delegado)
    • Directory.Read.All (permiso de la aplicación)
    • Group.Read.All (permiso delegado)
    • openID (permiso delegado)
    • profile (permiso delegado)
    • User.Read (permiso delegado)
    • User.Read.All (permiso delegado)

    Actualmente también necesita un permiso de API de Azure AD: Directory.ReadWrite.All (permiso de la aplicación). Consulte Registrar la aplicación ZTNA.

    Para Okta:

    • okta.groups.read
    • okta.idps.read (solo lo necesita si utiliza Sincronización de AD)
  2. Compruebe que la política ZTNA permite el acceso a la aplicación.

  3. Compruebe que el usuario se encuentra en un grupo de usuarios asignado para la aplicación.

  4. Compruebe que tiene conectividad de red con el proveedor de identidad:

    Para Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Para Okta:

    • *.okta.com
El usuario ve un error de solicitud de subida cuando intenta acceder a una aplicación sin agente

Problema

El usuario ve un error de solicitud de subida cuando intenta acceder a una aplicación sin agente.

Qué hacer

  1. Compruebe que la aplicación es accesible desde la red en la que se encuentra la puerta de enlace ZTNA.

  2. Compruebe que la aplicación sigue ejecutándose.

  3. Si se muestra el FQDN interno o la dirección IP interna, asegúrese de que se resuelve en la aplicación.

  4. Si utiliza un servidor DNS privado, compruebe que se está ejecutando y se resuelve en el FQDN externo de la aplicación.

  5. Compruebe que los números de puerto especificados para la aplicación son correctos.

El usuario está autenticado pero no puede acceder a una aplicación que necesita el agente ZTNA

Problema

El usuario está autenticado pero no puede acceder a una aplicación.

Qué hacer

  1. Compruebe si hay errores en los registros SNTP.

  2. Compruebe que los certificados son válidos en heartbeat.xml.

El usuario deja de tener acceso a una aplicación a la que se accede a través del agente ZTNA

Problema

El usuario podía acceder anteriormente a una aplicación pero ya no puede hacerlo.

Qué hacer

  1. Compruebe si hay errores en los registros SNTP.

  2. Compruebe que los certificados son válidos en heartbeat.xml.

  3. Compruebe si ZTNA tiene un estado de seguridad de color rojo en la interfaz de usuario de Sophos Endpoint.

El usuario no ve la pantalla de inicio de sesión del IDP la primera vez que intenta acceder a las aplicaciones

Problema

El IDP debería pedir al usuario que inicie sesión la primera vez que intente acceder a las aplicaciones. Si no, el usuario no podrá acceder a las aplicaciones.

Qué hacer

Compruebe que el dispositivo del usuario puede ponerse en contacto con la puerta de enlace ZTNA.

El usuario no ve una ventana emergente de inicio de sesión cuando intenta acceder a una aplicación que necesita el agente

Problema

El usuario debería ver una ventana emergente que le pide que inicie sesión cuando intenta acceder a una aplicación que necesita el agente ZTNA. Si no aparece, no puede acceder a la aplicación.

Qué hacer

  1. Compruebe si hay errores en los registros SNTP.

  2. Compruebe la configuración de DNS. El servidor DNS no debe tener un registro CNAME para la aplicación.

  3. Compruebe que el proceso del agente ZTNA se está ejecutando.

El usuario puede acceder a una aplicación pero los enlaces en esa aplicación no funcionan

Problema

El usuario puede acceder a una aplicación pero los enlaces a otras aplicaciones no funcionan.

Qué hacer

Añada las otras aplicaciones a ZTNA como se describe en Añadir recursos. Esto permite a ZTNA dar acceso al usuario cuando hace clic en los enlaces.

El usuario se autentica pero no es redirigido a la aplicación

Problema

El usuario ve la pantalla de inicio de sesión y se autentica, pero no es redirigido a la aplicación a la que intentó acceder.

Qué hacer

Compruebe que ha especificado el URI de redirección correcto en la configuración del proveedor de identidad (IdP).

Si el proveedor de identidad es Azure AD, especificó el URI de redirección al registrar la aplicación ZTNA. Consulte Registrar la aplicación ZTNA.

Si el proveedor de identidad es Okta, especificó el Sign-in redirect URI al crear una integración de aplicaciones en Okta. Consulte las instrucciones de Okta en Configurar un proveedor de identidad.

Portal de usuario de ZTNA

El usuario no puede ver las aplicaciones en el portal de usuario de ZTNA

Problema

El usuario no puede ver ninguna aplicación en el portal de usuario de ZTNA.

Nota

Actualmente, el portal no muestra las aplicaciones a las que se accede a través del agente ZTNA. Los usuarios solo ven las aplicaciones sin agente.

Qué hacer

  1. Vaya a Recursos y acceso y haga clic en una aplicación para editar su configuración.

  2. Compruebe que el usuario está en los grupos de usuarios asignados para las aplicaciones que necesita. Los usuarios solo pueden ver las aplicaciones a las que están autorizados a acceder.

  3. Compruebe que el administrador haya seleccionado Mostrar el recurso en el portal del usuario cuando añadió las aplicaciones.

El usuario inicia sesión pero no se le da acceso al portal de usuario de ZTNA

Problema

El usuario intenta acceder al portal de usuario de ZTNA y se muestra la pantalla de inicio de sesión del proveedor de identidad. Después de iniciar sesión, no se le devuelve al portal de usuario.

Qué hacer

Compruebe que ha especificado el URI de redirección correcto en la configuración del proveedor de identidad (IdP).

Si el proveedor de identidad es Azure AD, especificó el URI de redirección al registrar la aplicación ZTNA. Consulte Configurar servicio de directorio.

Si el proveedor de identidad es Okta, especificó el Sign-in redirect URI al crear una integración de aplicaciones en Okta. Consulte las instrucciones de Okta en Configurar un proveedor de identidad.

Problemas de DNS

Las búsquedas de DNS fallan después de instalar el agente ZTNA

Problema

Después de instalar el agente ZTNA, si se utiliza nslookup para hacer una búsqueda de DNS, a veces falla.

Qué hacer

Especifique el adaptador de red que se debe usar la búsqueda.

La instalación del agente ZTNA cambia el adaptador TAP predeterminado. Si utiliza nslookup para realizar una búsqueda de DNS, ahora utiliza el adaptador TAP de ZTNA de forma predeterminada. Las búsquedas de aplicaciones que no están detrás de la puerta de enlace ZTNA fallarán.

Para evitar este problema, añada el adaptador correcto al comando nslookup. Por ejemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>