Vai al contenuto

Risoluzione dei problemi

Impostazione

Il link 'Avvia stack' per il gateway non funziona

Problema

Quando si aggiunge un gateway AWS, il link 'Avvia stack' ad AWS non funziona.

Cosa fare

Nelle impostazioni del sito, selezionare "Consenti" per le finestre popup. L'impostazione predefinita è "Blocca".

Il gateway non viene visualizzato come pronto per l'approvazione su ESXi

Problema

Il gateway ospitato su ESXi non mostra un pulsante "Approva" in Sophos Central dopo la distribuzione.

Cosa fare

  1. Verificare se il gateway è in grado di connettersi a questi URL. In caso contrario, autorizzarli. Se non viene specificato altrimenti, utilizzare la porta 443.

    • sophos.jfrog.io
    • *.amazonaws.com
    • production.cloudflare.docker.com
    • *.docker.io
    • *.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Porta 22)
    • sentry.io
    • *.okta.com (se si utilizza Okta come provider di identità)
  2. Assicurarsi che la versione del firmware di ESXi sia quella più recente.

  3. Accertarsi che l'ora sia impostata correttamente (GMT 0) su ESXi.

  4. Verificare che il CD-ROM sia collegato. In caso contrario, disattivare la VM e ricollegarlo. Se l'operazione non riesce, ricreare la VM gateway.

  5. Eseguire un probe TCP sull'interfaccia interna:6443 per verificare che K3S sia in esecuzione.

  6. Se il gateway è protetto da Sophos Firewall, accedere al firewall, selezionare Diagnostica > Acquisizione pacchetto e attivare l'acquisizione dei pacchetti, oppure configurare il filtro web per vedere quali sono le richieste non riuscite. È possibile eseguire questa operazione anche su un firewall di terze parti.

Il gateway non viene visualizzato come pronto per l'approvazione su AWS

Problema

Dopo aver completato la configurazione del gateway in AWS, non viene visualizzato il pulsante Approva nella pagina dei Gateway in Sophos Central.

Cosa fare

Attendere fino a un'ora per permettere al gateway di diventare disponibile. Successivamente, verificare la presenza di errori nella creazione dello stack. Per farlo, accedere all'elenco delle Risorse di CloudFormation nella Console di gestione AWS.

Non è disponibile alcun gruppo di utenti a cui concedere l'accesso alle risorse

Problema

Quando si aggiunge una risorsa a ZTNA, non sono presenti gruppi di utenti ai quali è possibile consentire l'accesso.

Cosa fare

Verificare che ci siano gruppi di utenti nel servizio directory (Azure AD o Active Directory) e che questi gruppi siano sincronizzati in Sophos Central.

I certificati non vengono visualizzati nella pagina 'Modifica gateway'

Problema

Quando si apre la pagina Modifica gateway, non vengono visualizzati i certificati che sono stati caricati durante l'aggiunta del gateway.

Cosa fare

Questo è un comportamento atteso. Non è possibile visualizzare i certificati correnti in questa pagina.

ZTNA sugli endpoint

ZTNA viene visualizzato come 'Non configurato' sugli endpoint

Problema

Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Non configurato".

Cosa fare

Selezionare Dispositivi > Computer (o Server). Verificare che l'agente ZTNA sia installato sul dispositivo. Se è installato, verrà visualizzato un segno di spunta verde. In caso contrario, verrà visualizzato un segno più. Cliccare per installare ZTNA.

ZTNA viene visualizzato con l'avviso 'Zero Trust Network Access: Errore' sugli endpoint

Problema

Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Errore". Questo indica che si è verificato un problema di connessione.

Cosa fare

  1. Verificare che in Sophos Central sia stato configurato un criterio ZTNA.

  2. Accertarsi che l'FQDN del gateway sia risolvibile.

  3. Controllare se la configurazione dell'adattatore TAP di Sophos ha riscontrato un problema.

Gruppi di utenti

I gruppi di utenti perdono l'accesso

Problema

Gli utenti di un gruppo di utenti di Azure AD che in precedenza avevano accesso a un'app non riescono più ad accedervi.

Causa

Se si modifica il nome di un gruppo di utenti di Azure AD a cui è stato concesso l'accesso a un'app, l'elenco Gruppi di utenti assegnati in ZTNA non verrà aggiornato in modo da riflettere la modifica. Gli utenti non potranno accedere all'app.

Cosa fare

  1. Selezionare Zero Trust Network Access > Risorse e accesso.

    Menu Risorse e accesso

  2. Nella pagina Risorse e accesso, cercare l'app desiderata e cliccarvi sopra per modificarne i dettagli.

    Elenco Risorse

  3. Nella finestra di dialogo Modifica risorsa, svolgere le seguenti operazioni:

    1. Accedere alla sezione Assegna gruppi di utenti.
    2. In Gruppi di utenti disponibili, individuare il gruppo di utenti rinominato e selezionare la casella di controllo accanto a questo gruppo.
    3. Spostare il gruppo in Gruppi di utenti assegnati e selezionare la casella di controllo accanto a questo gruppo.
    4. Cliccare su Salva.

    Finestra di dialogo Modifica risorsa

L'utente è stato aggiunto a un gruppo di utenti autorizzato ma non riesce ad accedere all'app

Problema

È stato aggiunto un utente a un gruppo di utenti autorizzato per un'app, ma l'utente riceve un errore 403 Accesso negato.

Cosa fare

Se è stato aggiunto di recente, consigliare all'utente di riprovare più tardi. L'implementazione delle modifiche dei gruppi di utenti può richiedere fino a un'ora.

In alternativa, se si tratta di un'app web, chiedere all'utente di accedere alla modalità in incognito o privata del browser e riprovare.

L'utente è stato rimosso da un gruppo di utenti autorizzato ma riesce comunque ad accedere all'app

Problema

L'utente è stato rimosso da un gruppo di utenti autorizzato per un'app, ma continua a essere in grado di accedervi.

Cosa fare

Controllare di nuovo più tardi. L'implementazione delle modifiche di un gruppo di utenti autorizzato può richiedere fino a un'ora.

Problemi di accesso

L’utente riceve un errore 404 Non trovato quando cerca di accedere a un’app senza agente.

Problema

Quando l'utente cerca di accedere a un'app configurata per l'accesso senza agente, viene visualizzato un errore 404 Non trovato.

Cosa fare

Nelle impostazioni di gestione del DNS, procedere come segue:

  1. Verificare che sia presente un record CNAME per l'app che punta all'FQDN del gateway.

  2. Assicurarsi che non ci siano record CNAME per nessuna app a cui viene effettuato l'accesso tramite un agente ZTNA.

L'utente riceve un errore 403 Accesso negato quando cerca di accedere a un'app senza agente

Problema

L'utente riceve un errore 403 Non trovato quando cerca di accedere a un'app senza agente.

Cosa fare

  1. Verificare di avere abilitato tutte le autorizzazioni API richieste per il proprio provider di identità.

    Per Azure, occorrono le seguenti autorizzazioni API Microsoft Graph:

    • Directory.Read.All (Delegata)
    • Directory.Read.All (Applicazione)
    • Group.Read.All (Delegata)
    • openID (Delegata)
    • profile (Delegata)
    • User.Read (Delegata)
    • User.Read.All (Delegata)

    Al momento è necessaria anche un’autorizzazione API Azure AD: Directory.ReadWrite.All (Applicazione). Vedere Registrare l’app ZTNA.

    Per Okta:

    • okta.groups.read
    • okta.idps.read (solo se si utilizza la Sincronizzazione con AD)
  2. Verificare che il criterio ZTNA consenta l'accesso all'app.

  3. Accertarsi che l'utente si trovi in un gruppo di utenti assegnato all'app.

  4. Controllare di avere connettività di rete con il provider di identità:

    Per Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Per Okta:

    • *.okta.com
L'utente riceve un errore di richiesta upstream quando prova ad accedere a un'app senza agente

Problema

L'utente riceve un errore di richiesta upstream quando prova ad accedere a un'app senza agente.

Cosa fare

  1. Verificare che l'applicazione sia accessibile dalla rete su cui si trova il gateway ZTNA.

  2. Controllare che l'applicazione sia ancora in esecuzione.

  3. Se viene visualizzato l'indirizzo FQDN o IP interno, assicurarsi che si risolva nell'applicazione.

  4. Se si utilizza un server DNS privato, verificare che sia in esecuzione e che si risolva nell'FQDN esterno dell'applicazione.

  5. Verificare che i numeri di porta specificati per l'app siano corretti.

L'utente è autenticato ma non riesce ad accedere a un'app che richiede un agente ZTNA

Problema

L'utente è autenticato ma non riesce ad accedere a un'app.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Assicurarsi che i certificati siano validi in heartbeat.xml.

L'utente perde l'accesso a un'app a cui ha effettuato l'accesso tramite l'agente ZTNA

Problema

In precedenza l'utente riusciva ad accedere a un'app ma non è più in grado di farlo.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Assicurarsi che i certificati siano validi in heartbeat.xml

  3. Verificare se ZTNA viene visualizzato con stato di integrità "rosso" nell'interfaccia utente di Sophos Endpoint.

L'utente non visualizza la schermata di accesso del provider di identità la prima volta che prova ad accedere alle app

Problema

Il provider di identità dovrebbe chiedere all'utente di effettuare l'accesso la prima volta che cerca di accedere alle app. Se questo non avviene, l'utente non può accedere alle app.

Cosa fare

Verificare che il dispositivo dell'utente sia in grado di contattare il gateway ZTNA.

L'utente non visualizza una finestra popup di accesso quando prova ad accedere a un'app che richiede l'agente

Problema

Quando prova ad accedere a un'app che richiede l'agente ZTNA, l'utente dovrebbe visualizzare una finestra popup che chiede di eseguire l'accesso. Se questo non avviene, non può accedere all'app.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Verificare le impostazioni del DNS. Il server DNS non deve avere un record CNAME per l'app.

  3. Assicurarsi che il processo dell'agente ZTNA sia in esecuzione.

L’utente può accedere a un’app, ma i link in quell’app non funzionano

Problema

L’utente può accedere a un’app, ma i link ad altre app presenti in quell’app non funzionano.

Cosa fare

Aggiungere le altre app a ZTNA, come descritto in Aggiungi risorse. Questo permette a ZTNA di concedere all’utente l’accesso quando clicca sui link.

L’utente è autenticato ma non viene reindirizzato all’app

Problema

L’utente vede la schermata di accesso e si autentica, ma non viene reindirizzato all’app a cui ha tentato di accedere.

Cosa fare

Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).

Se il provider di identità è Azure AD, l’URI di reindirizzamento è stato specificato al momento della registrazione dell'app ZTNA. Vedere Registrare l’app ZTNA.

Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.

Portale utenti di ZTNA

L'utente non riesce a visualizzare le app nel portale utenti di ZTNA

Problema

L’utente non riesce a visualizzare le app nel portale utenti di ZTNA.

Nota

Attualmente il portale non mostra le app a cui viene effettuato l’accesso tramite l’agente ZTNA. Gli utenti vedono solo le app senza agente.

Cosa fare

  1. Aprire Risorse e accesso e cliccare su un'app per modificarne le impostazioni.

  2. Verificare che l'utente si trovi in gruppi di utenti assegnati per le app di cui ha bisogno. Gli utenti potranno visualizzare solo le app alle quali sono autorizzati ad accedere.

  3. Controllare che l'amministratore abbia selezionato Mostra risorsa nel portale utenti quando ha aggiunto le app.

L'utente effettua l'accesso ma non può accedere al portale utenti di ZTNA

Problema

L'utente prova ad accedere al portale utenti di ZTNA e viene visualizzata la schermata di accesso del provider di identità. Quando effettua l'accesso, non si verifica il reindirizzamento al portale utenti.

Cosa fare

Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).

Se il provider di identità è Azure AD, l’URI di reindirizzamento è stato specificato al momento della registrazione dell'app ZTNA. Vedere Configurazione di un servizio directory.

Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.

Problemi relativi al DNS

Le ricerche DNS non restituiscono risultati dopo l’installazione dell’agente ZTNA

Problema

Dopo l’installazione dell’agente ZTNA, se si utilizza nslookup per eseguire una ricerca DNS, a volte la ricerca non restituisce risultati.

Cosa fare

Specificare la scheda di rete da utilizzare per la ricerca.

L’installazione dell’agente ZTNA modifica l’adattatore TAP predefinito. Se si esegue una ricerca DNS con nslookup, per impostazione predefinita verrà ora utilizzato l’adattatore TAP di ZTNA. Le ricerche di app che non si trovano dietro il gateway ZTNA non restituiranno risultati.

Per evitare questo problema, aggiungere il giusto adattatore al comando nslookup. Per esempio:

nslookup <FQDN-to-be-resolved><DNS-Server>