Aller au contenu

Résolution des problèmes

Configuration

Le lien « Lancer la pile » de la passerelle ne fonctionne pas

Problème

Lorsque vous ajoutez une passerelle AWS, le lien « lancer la pile » vers AWS ne fonctionne pas.

Actions à mener

Dans les paramètres de votre site, sélectionnez « Autoriser » pour les fenêtres contextuelles. Le paramètre par défaut, est « Bloquer ».

La passerelle sur ESXi ne s’affiche pas comme prête à être approuvée

Problème

La passerelle hébergée sur ESXi n’affiche pas de bouton « Approuver » dans Sophos Central après le déploiement.

Actions à mener

  1. Vérifiez si votre passerelle peut se connecter à ces URL. Si ce n’est pas le cas, autorisez-les. Utiliser le port 443 sauf indication contraire.

    • sophos.jfrog.io
    • \*.amazonaws.com
    • production.cloudflare.docker.com
    • \*.docker.io
    • \*.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Port 22)
    • sentry.io
    • \*.okta.com (Si vous utilisez Okta en tant que fournisseur d’identité)
  2. Assurez-vous que la dernière version du firmware est installée sur ESXi.

  3. Assurez-vous que l’heure est correctement définie (GMT 0) sur ESXi.

  4. Assurez-vous que le CD-ROM est joint. Si ce n’est pas le cas, éteignez la machine virtuelle et reconnectez-la. Si cela échoue, recréez la VM de la passerelle.

  5. Exécutez une sonde TCP sur l’interface interne 6443 pour vous assurer que K3S est en cours d’exécution.

  6. Si votre passerelle se trouve derrière le pare-feu Sophos, connectez-vous au pare-feu, rendez-vous dans Diagnostics > Capture de paquets et activez la capture de paquets, ou configurez le filtrage Web pour voir quelles requêtes échouent. Vous pouvez également le faire sur un pare-feu tiers.

La passerelle sur AWS ne s’affiche pas comme prête à approuver

Problème

Une fois la configuration de la passerelle terminée dans AWS, vous ne voyez pas de bouton Approuver sur la page Passerelles dans Sophos Central.

Actions à mener

Prévoyez jusqu’à une heure pour que la passerelle soit disponible. Ensuite, vérifiez les échecs de création de pile. Pour ce faire, accédez à la liste Ressources CloudFormation dans la console d’administration AWS.

Aucun groupe d’utilisateurs n’est disponible pour accéder aux ressources

Problème

Lorsque vous ajoutez une ressource à ZTNA, aucun groupe d’utilisateurs ne peut y accéder.

Actions à mener

Vérifiez que des groupes d’utilisateurs sont définis dans votre service d’annuaire (Azure AD ou Active Directory) et qu’ils sont synchronisés dans Sophos Central.

Les certificats ne sont pas affichés sur la page « Modifier la passerelle »

Problème

Lorsque vous ouvrez la page Modifier la passerelle, vous ne voyez pas les certificats que vous avez téléchargés lorsque vous avez ajouté la passerelle.

Actions à mener

Ceci est normal. Il est impossible d’afficher les certificats actuels.

ZTNA sur les appareils

ZTNA s’affiche comme « Non configuré » sur les terminaux

Problème

Lorsque vous ouvrez Sophos Endpoint sur un appareil géré par Sophos Central, la page État affiche « Zero Trust Network Access : non configuré »

Actions à mener

Accédez à Appareils > Ordinateurs (ou Serveurs). Vérifiez si l’agent ZTNA est installé sur l’appareil. S’il est installé, vous verrez une coche verte. Si ce n’est pas le cas, vous verrez un signe « plus ». Cliquez dessus pour installer ZTNA.

ZTNA est affiché avec l’avertissement « Zero Trust Network Access : erreur sur les terminaux

Problème

Lorsque vous ouvrez Sophos Endpoint sur un appareil géré par Sophos Central, la page État affiche « Zero Trust Network Access : erreur ». Cela indique un problème de connexion.

Actions à mener

  1. Vérifiez qu’une stratégie ZTNA a été configurée dans Sophos Central.

  2. Vérifiez que le FQDN de la passerelle peut être résolu.

  3. Vérifiez si la configuration de l’adaptateur TAP Sophos a échoué.

Groupes d’utilisateurs

Les groupes d’utilisateurs perdent l’accès

Problème

Les membres d’un groupe d’utilisateurs Azure AD qui avaient précédemment accès à une appli ne peuvent plus y accéder.

Cause

Si vous modifiez le nom d’un groupe d’utilisateurs Azure AD qui a été autorisé à accéder à une appli, la liste des Groupes d’utilisateurs assignés dans ZTNA n’est pas mise à jour et ne reflète pas la modification. Les utilisateurs ne pourront pas accéder à l’appli.

Actions à mener

  1. Allez dans Zero Trust Network Access > Ressources & accès

    Menu Ressources & accès

  2. Sur la page Ressources & accès, trouvez l’appli puis cliquez dessus pour modifier ses informations.

    Liste des ressources

  3. Dans la boîte de dialogue Modifier la ressource, procédez de la manière suivante :

    1. Accédez à la section Assigner des groupes d’utilisateurs.
    2. Dans Groupes d’utilisateurs disponibles, cochez la case se trouvant à côté du groupe d’utilisateurs renommé.
    3. Déplacez le groupe vers Groupes d’utilisateurs assignés et cochez la case se trouvant à côté.
    4. Cliquez sur Enregistrer.

    Boîte de dialogue Éditer la ressource

Les utilisateurs ont été ajoutés à un groupe d’utilisateurs autorisé mais n’ont plus accès à l’appli

Problème

Vous avez ajouté un utilisateur à un groupe d’utilisateurs autorisé pour une appli, mais l’utilisateur reçoit un message d’erreur 403 Accès Refusé.

Actions à mener

Si l’utilisateur a été ajouté récemment, demandez-lui de réessayer ultérieurement. Les modifications des groupes d’utilisateurs peuvent prendre jusqu’à 24 heures pour être appliquées.

Sinon, s’il s’agit d’une appli Web, dites à l’utilisateur d’essayer à nouveau depuis son navigateur en mode Incognito ou privé.

Les utilisateurs ont été supprimés d’un groupe d’utilisateurs autorisé mais ont toujours accès à l’appli

Problème

Vous avez supprimé un utilisateur d’un groupe d’utilisateurs autorisé pour une appli, mais celui-ci peut toujours y accéder.

Actions à mener

Vérifiez à nouveau plus tard. Les modifications apportées au groupe d’utilisateurs autorisé peuvent prendre jusqu’à une heure.

Problèmes d’accès

L’utilisateur voit une erreur 404 Introuvable lorsqu’il tente d’accéder à une appli sans agent.

Problème

Lorsque l’utilisateur tente d’accéder à une appli configurée pour un accès sans agent, il voit une erreur 404 Introuvable.

Actions à mener

Dans vos paramètres de gestion DNS, procédez de la manière suivante :

  1. Vérifiez que l’appli qui pointe vers le FQDN de la passerelle dispose d’un enregistrement CNAME.

  2. Assurez-vous qu’il n’y ait pas d’enregistrement CNAME pour les appli accessibles via un agent ZTNA.

L’utilisateur voit une erreur 403 Accès refusé lorsqu’il tente d’accéder à une appli sans agent

Problème

L’utilisateur voit une erreur 403 Accès refusé lorsqu’il tente d’accéder à une appli sans agent.

Actions à mener

  1. Vérifiez que vous avez activé toutes les autorisations d’API requises pour votre fournisseur d’identité.

    Pour Azure, vous avez besoin des autorisations Microsoft Graph API suivantes :

    • Directory.Read.All (Délégué)
    • Directory.Read.All (Application)
    • Group.Read.All (Délégué)
    • openID (Délégué)
    • profile (Délégué)
    • User.Read (Délégué)
    • User.Read.All (Délégué)

    Vous avez également besoin actuellement d’une autorisation API Azure AD : Directory.ReadWrite.All (Application). Voir Enregistrer l’appli ZTNA.

    Pour Okta :

    • okta.groups.read
    • okta.idps.read (uniquement si vous utilisez AD Sync)
  2. Vérifiez que la stratégie ZTNA autorise l’accès à l’appli.

  3. Vérifiez que l’utilisateur se trouve dans un groupe d’utilisateurs assigné à appli.

  4. Vérifiez que votre réseau est connecté à celui du fournisseur d’identité :

    Pour Azure :

    • login.microsoftonline.com
    • graph.microsoft.com

    Pour Okta :

    • *.okta.com
L’utilisateur voit une erreur de requête en amont lorsqu’il tente d’accéder à une appli sans agent

Problème

L’utilisateur voit une erreur de requête en amont lorsqu’il tente d’accéder à une appli sans agent.

Actions à mener

  1. Vérifiez que l’application est accessible à partir du réseau sur lequel la passerelle ZTNA est activée.

  2. Vérifiez que l’application est toujours en cours d’exécution.

  3. Si le nom de domaine complet ou l’adresse IP interne est affiché, assurez-vous qu’il ait une résolution avec l’appli.

  4. Si vous utilisez un serveur DNS privé, vérifiez qu’il est en cours d’exécution et effectuez la résolution vers le FQDN externe de l’application.

  5. Vérifiez que les numéros de port spécifiés pour l’appli sont corrects.

L’utilisateur est authentifié mais ne peut pas accéder à une appli nécessitant un agent ZTNA

Problème

L’utilisateur est authentifié mais ne peut pas accéder à l’appli.

Actions à mener

  1. Recherchez les erreurs dans les journaux SNTP.

  2. Vérifiez que les certificats sont valides dans heartbeat.xml.

L’utilisateur perd l’accès à une appli accessible via l’agent ZTNA

Problème

L’utilisateur pouvait auparavant accéder à une appli, mais ne peut plus le faire.

Actions à mener

  1. Recherchez les erreurs dans les journaux SNTP.

  2. Vérifiez que les certificats sont valides dans heartbeat.xml

  3. Vérifiez si ZTNA affiche un état de sécurité « rouge » dans l’interface utilisateur Sophos Endpoint.

L’utilisateur ne voit pas l’écran de connexion au fournisseur d’identité la première fois qu’il tente d’accéder aux applis

Problème

Le fournisseur d’identité doit inviter l’utilisateur à se connecter la première fois qu’il tente d’accéder à une appli. Si ce n’est pas le cas, l’utilisateur ne peut pas accéder à l’appli.

Actions à mener

Vérifiez que le appareil de l’utilisateur est en mesure de contacter la passerelle ZTNA.

L’utilisateur ne voit pas de fenêtre contextuelle de connexion lorsqu’il tente d’accéder à une appli qui a besoin de l’agent

Problème

L’utilisateur doit voir une fenêtre contextuelle qui l’invite à se connecter lorsqu’il tente d’accéder à une appli nécessitant l’agent ZTNA. Si ce n’est pas le cas, il ne pourra pas accéder à appli.

Actions à mener

  1. Recherchez les erreurs dans les journaux SNTP.

  2. Vérifiez les paramètres DNS. Le serveur DNS ne doit pas avoir d’enregistrement CNAME correspondant à l’appli.

  3. Vérifiez que le processus de l’agent ZTNA est en cours d’exécution.

L’utilisateur peut accéder à une appli mais les liens de cette appli ne fonctionnent pas

Problème

L’utilisateur peut accéder à une appli, mais les liens vers d’autres applis ne fonctionnent pas.

Actions à mener

Ajoutez les autres applis à ZTNA comme décrit dans Ajouter les ressources. Ceci permet à ZTNA d’accorder l’accès à l’utilisateur lorsqu’il clique sur les liens.

L’utilisateur est authentifié mais n’est pas redirigé vers l’appli

Problème

L’utilisateur voit l’écran de connexion et est authentifié, mais n’est pas redirigé vers l’appli à laquelle il a tenté d’accéder.

Actions à mener

Vérifiez que vous avez spécifié la bonne URI de redirection dans les paramètres du fournisseur d’identité (IdP).

Si le fournisseur d’identité est Azure AD, vous avez spécifié l’URI de redirection lorsque vous avez enregistré l’appli ZTNA. Voir Enregistrer l’appli ZTNA.

Si Okta est le fournisseur d’identité, vous avez spécifié l’URI de redirection de connexion lorsque vous avez créé une intégration d’appli dans Okta. Voir les instructions d’Okta sur PlaceholderTextDoNotTranslate .

Portail utilisateur ZTNA

L’utilisateur ne peut pas voir les applis dans le portail utilisateur ZTNA

Problème

L’utilisateur ne peut pas voir de applis dans le portail utilisateur ZTNA.

Remarque

Actuellement, le portail n’affiche pas les applis accessibles via l’agent ZTNA. Les utilisateurs ne voient que les applis sans agent.

Actions à mener

  1. Allez dans Ressources et accès et cliquez sur une appli pour modifier ses paramètres.

  2. Vérifiez que l’utilisateur se trouve dans les groupes d’utilisateurs assignés au applis dont il a besoin. Les utilisateurs ne peuvent voir que les applis auxquels ils sont autorisés à accéder.

  3. Vérifiez que l’administrateur a sélectionné Afficher la ressource dans le portail utilisateur lorsqu’il a ajouté l’appli.

L’utilisateur se connecte mais n’a pas accès au portail utilisateur ZTNA

Problème

L’utilisateur tente d’accéder au portail utilisateur ZTNA et l’écran de connexion du fournisseur d’identité s’affiche. Une fois connecté, il n’est pas renvoyé au portail utilisateur.

Actions à mener

Vérifiez que vous avez spécifié la bonne URI de redirection dans les paramètres du fournisseur d’identité (IdP).

Si le fournisseur d’identité est Azure AD, vous avez spécifié l’URI de redirection lorsque vous avez enregistré l’appli ZTNA. Voir Configurer le service d’annuaire.

Si Okta est le fournisseur d’identité, vous avez spécifié l’URI de redirection de connexion lorsque vous avez créé une intégration d’appli dans Okta. Voir les instructions d’Okta sur PlaceholderTextDoNotTranslate .

Problèmes DNS

Les recherches DNS échouent après l’installation de l’agent ZTNA

Problème

Une fois l’agent ZTNA installé, si vous utilisez nslookup pour effectuer une recherche DNS, il échoue parfois.

Actions à mener

Indiquez la carte réseau à utiliser pour la recherche.

L’installation de l’agent ZTNA modifie l’adaptateur TAP par défaut. Si vous utilisez nslookup pour effectuer une recherche DNS, il utilise maintenant l’adaptateur TAP ZTNA par défaut. Les recherches d’applis qui ne sont pas derrière la passerelle ZTNA échoueront.

Pour éviter ce problème, ajoutez l’adaptateur approprié à votre commande nslookup. Par exemple :

nslookup <FQDN-to-be-resolved><DNS-Server>

Diagnostic ZTNA

Cette section décrit les raisons pour lesquelles une passerelle peut échouer aux tests de diagnostic et les étapes à suivre pour résoudre le problème.

Diagnostics réseau

Impossible de lire la configuration de l’interface

Actions à mener

Vérifiez que le fichier ISO téléchargé depuis Sophos Central est joint.

L’interface eth0 n’a pas reçu d’adresse IP

Actions à mener

Vérifiez la configuration de l’interface réseau. Si vous devez modifier les paramètres réseau de la passerelle, créez une nouvelle instance de la passerelle sur Sophos Central et téléchargez un nouveau fichier ISO.

L’interface eth1 n’a pas reçu d’adresse IP

Actions à mener

Vérifiez la configuration de l’interface réseau. Si vous devez modifier les paramètres réseau de la passerelle, créez une nouvelle instance de la passerelle sur Sophos Central et téléchargez un nouveau fichier ISO.

Diagnostic DNS

La passerelle ZTNA n’a pas pu résoudre ntp.ubuntu.com

Actions à mener

Vérifiez la configuration de votre serveur DNS et assurez-vous que ntp.ubuntu.com peut être résolu.

La passerelle ZTNA n’a pas pu résoudre Sophos Central

Actions à mener

Vérifiez la configuration de votre serveur DNS et assurez-vous que sophos.jfrog.io peut être résolu.

Diagnostic de connectivité réseau

Impossible de contacter ntp.ubuntu.com sur le port 123

Actions à mener

Vérifiez la configuration de l’interface réseau. Si ntp.ubuntu.com est inaccessible, les services ZTNA ne démarreront pas.

Impossible de contacter sophos.jfrog.io sur le port 443

Actions à mener

Assurez-vous que toutes les URL mentionnées dans les conditions requises de ZTNA sont autorisées : Sites Web autorisés.

Diagnostic des services Sophos

Remarque

Lorsque vous rencontrez des erreurs de diagnostic des services Sophos, attendez 5 à 10 minutes, puis exécutez à nouveau le diagnostic. Si la même erreur se produit, redémarrez la passerelle. Si la même erreur se produit après les deux étapes, contactez le support Sophos.

Le service Kubernetes ne fonctionne pas

Actions à mener

Contactez le support Sophos pour obtenir plus d’assistance.

Le module Redis ne fonctionne pas

Actions à mener

Contactez le support Sophos pour obtenir plus d’assistance.

Les modules du cluster ne fonctionnent pas

Actions à mener

Contactez le support Sophos pour obtenir plus d’assistance.

La passerelle n’est pas enregistrée dans Sophos Central

Actions à mener

Vérifiez la connectivité à Sophos Central.

Impossible de trouver les détails de la passerelle

Actions à mener

Vérifiez que la passerelle a bien été enregistrée et vérifiez la connectivité à Sophos Central.

Veuillez patienter jusqu’à ce que la passerelle s’enregistre et se connecte à Sophos Central

Actions à mener

Approuvez la passerelle sur Sophos Central.

Impossible de résoudre le nom de domaine complet (FQDN) de Sophos Central

Actions à mener

Vérifiez que les paramètres du pare-feu sont mis à jour pour vous assurer que l’URL dynamique affichée est résolue.

Remarque

Les URL dynamiques (par exemple : https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) sont générées en fonction de la région où se trouve le compte de l’utilisateur. L’URL dynamique est affichée dans le message d’erreur de la console de la passerelle.

Impossible de se connecter à l’URL dynamique Sophos Central sur le port 443

Actions à mener

Vérifiez la connectivité à Sophos Central.

Remarque

Les URL dynamiques (par exemple : https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) sont générées en fonction de la région où se trouve le compte de l’utilisateur. L’URL dynamique est affichée dans le message d’erreur de la console de la passerelle.

Diagnostics de temps

L’heure du cluster Kubernetes et l’heure locale ont une différence supérieure à 60 secondes

Actions à mener

Vérifiez les paramètres sur la plate-forme de passerelle. Un décalage horaire entraîne des problèmes de connectivité.

L’heure NTP et l’heure locale ont une différence supérieure à 60 secondes

Actions à mener

Vérifiez les paramètres sur la plate-forme de passerelle. Un décalage horaire entraîne des problèmes de connectivité.