Risoluzione dei problemi
Impostazione
Il gateway non viene visualizzato come pronto per l'approvazione su ESXi
Problema
Il gateway ospitato su ESXi non mostra un pulsante "Approva" in Sophos Central dopo la distribuzione.
Cosa fare
-
Verificare se il gateway è in grado di connettersi a questi URL. In caso contrario, autorizzarli. Se non viene specificato altrimenti, utilizzare la porta 443.
sophos.jfrog.io
\*.amazonaws.com
production.cloudflare.docker.com
\*.docker.io
\*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com
(Porta 22)sentry.io
\*.okta.com
(se si utilizza Okta come provider di identità)
-
Assicurarsi che la versione del firmware di ESXi sia quella più recente.
-
Accertarsi che l'ora sia impostata correttamente (GMT 0) su ESXi.
-
Assicurarsi che il CD-ROM sia collegato. In caso contrario, disattivare la VM e ricollegarlo. Se l'operazione non riesce, ricreare la VM gateway.
-
Eseguire un probe TCP sull’interfaccia interna:6443 per accertarsi che K3S sia in esecuzione.
-
Se il gateway è protetto da Sophos Firewall, accedere al firewall, selezionare Diagnostica > Acquisizione pacchetto e attivare l'acquisizione dei pacchetti, oppure configurare il filtro web per vedere quali sono le richieste non riuscite. È possibile eseguire questa operazione anche su un firewall di terze parti.
Non è disponibile alcun gruppo di utenti a cui concedere l'accesso alle risorse
Problema
Quando si aggiunge una risorsa a ZTNA, non sono presenti gruppi di utenti ai quali è possibile consentire l'accesso.
Cosa fare
Verificare che ci siano gruppi di utenti nel servizio directory (Microsoft Entra ID (Azure AD) o Active Directory) e che questi gruppi siano sincronizzati in Sophos Central.
I certificati non vengono visualizzati nella pagina 'Modifica gateway'
Problema
Quando si apre la pagina Modifica gateway, non vengono visualizzati i certificati che sono stati caricati durante l'aggiunta del gateway.
Cosa fare
Questo è un comportamento atteso. Non è possibile visualizzare i certificati correnti in questa pagina.
Microsoft AD (on-premise) come provider di identità
Il test di connessione del provider di identità dà esito negativo per un utente di AD locale (on-premise), il che significa che l’utente non è in grado di accedere alle risorse.
Problema
Se l’utente di AD locale appartiene solo al gruppo primario sul server AD, la verifica del gruppo sul server ZTNA darà esito negativo e l’utente non potrà accedere alle risorse.
Cosa fare
Aggiungere l’utente ad altri gruppi di AD e configurare questi gruppi per l’accesso alle risorse su ZTNA.
Errore del server AD primario. Motivo: host non raggiungibile. Controlla la configurazione.
Problema
Il server AD primario e il gateway ZTNA non si connettono.
Cosa fare
Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.
Errore del server AD primario. Motivo: credenziali di amministrazione non valide. Controlla la configurazione.
Problema
Le impostazioni del server AD primario non sono corrette.
Cosa fare
- Verificare che le impostazioni DN di associazione e Password di associazione siano corrette.
- Verificare che la porta LDAP sia abilitata per TLS. In genere, la porta 389 viene utilizzata per stabilire connessioni LDAP non protette e la porta 636 per creare connessioni LDAP protette.
Errore del server AD primario. Motivo: configurazione della ricerca utente non valida. Controlla la configurazione.
Problema
Questo errore può essere causato da un errore di battitura nel DN di base, da errori di configurazione nelle impostazioni avanzate, o da impostazioni errate per i test o per il server AD primario.
Cosa fare
- Verificare che le impostazioni per l’Utente e il Gruppo di utenti siano corrette.
- Verificare che l’utente con cui è stato effettuato il test sia esistente sul server AD.
- Controllare se il campo e-mail per l’utente sul server AD primario contiene un indirizzo e-mail valido. Se l’indirizzo e-mail inserito per un utente è vuoto o non valido, la prova di connessione darà esito negativo.
- Se è stato specificato un indirizzo e-mail per l’utente nelle impostazioni avanzate, verificare la connessione con l’indirizzo e-mail, anziché con il nome utente.
- Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.
- Assicurarsi che gli utenti siano membri di un altro gruppo di utenti, oltre al gruppo di utenti primario sul server AD primario.
Il Gateway ZTNA <gateway_name> ha perso la connessione al provider di identità <IDP_name_and_IP>
Problema
Il controllo di integrità del server AD primario dà esito negativo quando gli utenti cercano di accedere a un’app.
Cosa fare
- Verificare che l’utente sia esistente nel server AD.
- Se durante la configurazione di AD on-premise come provider di identità sono state utilizzate le impostazioni predefinite della configurazione avanzata, accedere con il proprio nome utente senza aggiungere il nome di dominio.
Errore interno del server. Errore di accesso: host non raggiungibile.
Cosa fare
Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.
Errore interno del server. Errore di accesso: LDAP.
Cosa fare
Verificare che le impostazioni per l’Utente e il Gruppo di utenti siano corrette.
Errore interno del server. Errore di accesso.
Cosa fare
Controllare se i valori di posta, nome e ID impostati nella configurazione avanzata sono impostati anche sul server AD.
Il gateway ZTNA <gateway_name> non è in grado di inviare l’OTP e-mail con il server AD <SMTP_server_name_and_port_number>
Problema
Il gateway ZTNA non è in grado di connettersi al server SMTP.
Cosa fare
Se non si riceve un codice di conferma per l’MFA, controllare la configurazione del proprio server SMTP.
ZTNA sugli endpoint
ZTNA viene visualizzato come 'Non configurato' sugli endpoint
Problema
Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Non configurato".
Cosa fare
Selezionare Dispositivi > Computer (o Server). Verificare che l'agente ZTNA sia installato sul dispositivo. Se è installato, verrà visualizzato un segno di spunta verde. In caso contrario, verrà visualizzato un segno più. Cliccare per installare ZTNA.
ZTNA viene visualizzato con l'avviso 'Zero Trust Network Access: Errore' sugli endpoint
Problema
Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Errore". Questo indica che si è verificato un problema di connessione.
Cosa fare
-
Verificare che in Sophos Central sia stato configurato un criterio ZTNA.
-
Accertarsi che l'FQDN del gateway sia risolvibile.
-
Controllare se la configurazione dell'adattatore TAP di Sophos ha riscontrato un problema.
-
Disattivare l’interfaccia di rete IPv6 sull’agente. Il tunnel verrà quindi creato.
Gruppi di utenti
I gruppi di utenti perdono l’accesso
Problema
Gli utenti di un gruppo di utenti di Microsoft Entra ID (Azure AD) che in precedenza avevano accesso a un’app non riescono più ad accedervi.
Causa
Se si modifica il nome di un gruppo di utenti di Microsoft Entra ID (Azure AD) a cui è stato concesso l’accesso a un’app, l’elenco Gruppi di utenti assegnati in ZTNA non verrà aggiornato in modo da riflettere la modifica. Gli utenti non potranno accedere all'app.
Cosa fare
-
Selezionare Zero Trust Network Access > Risorse e accesso.
-
Nella pagina Risorse e accesso, cercare l'app desiderata e cliccarvi sopra per modificarne i dettagli.
-
Nella finestra di dialogo Modifica risorsa, svolgere le seguenti operazioni:
- Accedere alla sezione Assegna gruppi di utenti.
- In Gruppi di utenti disponibili, individuare il gruppo di utenti rinominato e selezionare la casella di controllo accanto a questo gruppo.
- Spostare il gruppo in Gruppi di utenti assegnati e selezionare la casella di controllo accanto a questo gruppo.
- Cliccare su Salva.
L’utente è stato aggiunto a un gruppo di utenti autorizzato ma non riesce ad accedere all’app
Problema
È stato aggiunto un utente a un gruppo di utenti autorizzato per un'app, ma l'utente riceve un errore 403 Accesso negato.
Cosa fare
Se è stato aggiunto di recente, consigliare all'utente di riprovare più tardi. L'implementazione delle modifiche dei gruppi di utenti può richiedere fino a un'ora.
In alternativa, se si tratta di un'app web, chiedere all'utente di accedere alla modalità in incognito o privata del browser e riprovare.
L’utente è stato rimosso da un gruppo di utenti autorizzato ma riesce comunque ad accedere all’app
Problema
L'utente è stato rimosso da un gruppo di utenti autorizzato per un'app, ma continua a essere in grado di accedervi.
Cosa fare
Controllare di nuovo più tardi. L'implementazione delle modifiche di un gruppo di utenti autorizzato può richiedere fino a un'ora.
Problemi di accesso
L’utente riceve un errore 404 Non trovato quando cerca di accedere a un’app senza agente
Problema
Quando l'utente cerca di accedere a un'app configurata per l'accesso senza agente, viene visualizzato un errore 404 Non trovato.
Cosa fare
Nelle impostazioni di gestione del DNS, procedere come segue:
-
Verificare che sia presente un record CNAME per l'app che punta all'FQDN del gateway.
-
Assicurarsi che non ci siano record CNAME per nessuna app a cui viene effettuato l'accesso tramite un agente ZTNA.
L’utente riceve un errore 403 Non trovato quando cerca di accedere a un’app senza agente
Problema
L'utente riceve un errore 403 Non trovato quando cerca di accedere a un'app senza agente.
Cosa fare
-
Verificare di avere abilitato tutte le autorizzazioni API richieste per il proprio provider di identità.
Per Azure, occorrono le seguenti autorizzazioni API Microsoft Graph:
- Directory.Read.All (Delegata)
- Directory.Read.All (Applicazione)
- Group.Read.All (Delegata)
- openID (Delegata)
- profile (Delegata)
- User.Read (Delegata)
- User.Read.All (Delegata)
Al momento è necessaria anche un’autorizzazione API Microsoft Entra ID (Azure AD): Directory.ReadWrite.All (Applicazione). Vedere Registrare l’app ZTNA.
Per Okta:
- okta.groups.read
- okta.idps.read (solo se si utilizza la Sincronizzazione con AD)
-
Verificare che il criterio ZTNA consenta l'accesso all'app.
-
Accertarsi che l'utente si trovi in un gruppo di utenti assegnato all'app.
-
Controllare di avere connettività di rete con il provider di identità:
Per Azure:
login.microsoftonline.com
graph.microsoft.com
Per Okta:
*.okta.com
L’utente riceve un errore di richiesta upstream quando prova ad accedere a un’app senza agente
Problema
L'utente riceve un errore di richiesta upstream quando prova ad accedere a un'app senza agente.
Cosa fare
-
Verificare che l'applicazione sia accessibile dalla rete su cui si trova il gateway ZTNA.
-
Controllare che l'applicazione sia ancora in esecuzione.
-
Se viene visualizzato l'indirizzo FQDN o IP interno, assicurarsi che si risolva nell'applicazione.
-
Se si utilizza un server DNS privato, verificare che sia in esecuzione e che si risolva nell'FQDN esterno dell'applicazione.
-
Verificare che i numeri di porta specificati per l'app siano corretti.
L’utente è autenticato ma non riesce ad accedere a un’app che richiede un agente ZTNA
Problema
L'utente è autenticato ma non riesce ad accedere a un'app.
Cosa fare
-
Controllare se ci sono errori nei log di SNTP.
-
Assicurarsi che i certificati siano validi in heartbeat.xml.
L’utente perde l’accesso a un’app a cui ha effettuato l’accesso tramite l’agente ZTNA
Problema
In precedenza l'utente riusciva ad accedere a un'app ma non è più in grado di farlo.
Cosa fare
-
Controllare se ci sono errori nei log di SNTP.
-
Assicurarsi che i certificati siano validi in heartbeat.xml
-
Verificare se ZTNA viene visualizzato con stato di integrità "rosso" nell'interfaccia utente di Sophos Endpoint.
L’utente non visualizza la schermata di accesso del provider di identità la prima volta che prova ad accedere alle app
Problema
Il provider di identità dovrebbe chiedere all'utente di effettuare l'accesso la prima volta che cerca di accedere alle app. Se questo non avviene, l'utente non può accedere alle app.
Cosa fare
Verificare che il dispositivo dell'utente sia in grado di contattare il gateway ZTNA.
L’utente non visualizza una finestra popup di accesso quando prova ad accedere a un’app che richiede l’agente
Problema
Quando prova ad accedere a un'app che richiede l'agente ZTNA, l'utente dovrebbe visualizzare una finestra popup che chiede di eseguire l'accesso. Se questo non avviene, non può accedere all'app.
Cosa fare
-
Controllare se ci sono errori nei log di SNTP.
-
Verificare le impostazioni del DNS. Il server DNS non deve avere un record CNAME per l'app.
-
Assicurarsi che il processo dell'agente ZTNA sia in esecuzione.
L’utente può accedere a un’app, ma i link in quell’app non funzionano
Problema
L’utente può accedere a un’app, ma i link ad altre app presenti in quell’app non funzionano.
Cosa fare
Aggiungere le altre app a ZTNA, come descritto in Aggiungi risorse. Questo permette a ZTNA di concedere all’utente l’accesso quando clicca sui link.
L’utente è autenticato ma non viene reindirizzato all’app
Problema
L’utente vede la schermata di accesso e si autentica, ma non viene reindirizzato all’app a cui ha tentato di accedere.
Cosa fare
-
Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).
- Se il provider di identità è Microsoft Entra ID (Azure AD), l’URI di reindirizzamento è stato specificato al momento della registrazione dell’app ZTNA. Vedere Registrare l’app ZTNA.
- Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.
-
Se il provider di identità è Okta, verificare che la “Groups claim expression” sia stata inserita con i giusti caratteri maiuscoli e minuscoli. Questa espressione applica la distinzione tra maiuscole e minuscole.
L’utente riceve un errore 403 Accesso negato quando cerca di accedere a una risorsa interna
Problema
L’utente riceve un errore 403 Accesso negato quando cerca di accedere a una risorsa interna, ad esempio un server web interno.
Cosa fare
- Assicurarsi che l’utente faccia parte di un gruppo di utenti mappato alla risorsa.
- Assicurarsi che i gruppi di utenti mappati alla risorsa siano gruppi di utenti creati localmente e non siano stati sincronizzati dal servizio directory.
- Assicurarsi che la configurazione del gruppo sia corretta nelle impostazioni del servizio directory. Ad esempio, in Microsoft Entra ID (Azure AD), assicurarsi che i gruppi di utenti importati abbiano la sicurezza abilitata.
- Assicurarsi di attivare il criterio ZTNA in Sophos Central.
- Se si accede alla risorsa con l’agente ZTNA, accertarsi che lo stato di integrità di Synchronized Security del dispositivo corrisponda al criterio ZTNA. Ad esempio, ZTNA potrebbe mostrare uno stato di integrità “verde” o “giallo”.
Portale utenti di ZTNA
L’utente non riesce a visualizzare le app nel portale utenti di ZTNA
Problema
L’utente non riesce a visualizzare le app nel portale utenti di ZTNA.
Nota
Attualmente il portale non mostra le app a cui viene effettuato l’accesso tramite l’agente ZTNA. Gli utenti vedono solo le app senza agente.
Cosa fare
-
Assicurarsi che la sicurezza sia abilitata per i gruppi di utenti che sono stati importati.
-
Aprire Risorse e accesso e cliccare su un'app per modificarne le impostazioni.
-
Verificare che l'utente si trovi in gruppi di utenti assegnati per le app di cui ha bisogno. Gli utenti potranno visualizzare solo le app alle quali sono autorizzati ad accedere.
-
Controllare che l'amministratore abbia selezionato Mostra risorsa nel portale utenti quando ha aggiunto le app.
L’utente effettua l’accesso ma non può accedere al portale utenti di ZTNA
Problema
L'utente prova ad accedere al portale utenti di ZTNA e viene visualizzata la schermata di accesso del provider di identità. Quando effettua l'accesso, non si verifica il reindirizzamento al portale utenti.
Cosa fare
Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).
Se il provider di identità è Microsoft Entra ID (Azure AD), l’URI di reindirizzamento è stato specificato al momento della registrazione dell’app ZTNA. Vedere Configurazione di un servizio directory.
Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.
Problemi relativi al DNS
Le ricerche DNS non restituiscono risultati dopo l’installazione dell’agente ZTNA
Problema
Dopo l’installazione dell’agente ZTNA, se si utilizza nslookup
per eseguire una ricerca DNS, a volte la ricerca non restituisce risultati.
Cosa fare
Specificare la scheda di rete da utilizzare per la ricerca.
L’installazione dell’agente ZTNA modifica l’adattatore TAP predefinito. Se utilizzi nslookup
per eseguire una ricerca DNS, per impostazione predefinita verrà ora utilizzato l’adattatore TAP di ZTNA. Le ricerche di app che non si trovano dietro il gateway ZTNA non restituiranno risultati.
Per evitare questo problema, aggiungere il giusto adattatore al comando nslookup
. Per esempio:
nslookup <FQDN-to-be-resolved><DNS-Server>
Diagnostica di ZTNA
In questa sezione vengono descritti i motivi per cui un gateway potrebbe non superare i test di diagnostica e vengono fornite le procedure da seguire per risolvere i problemi.
Diagnostica di rete
Impossibile leggere la configurazione dell’interfaccia
Cosa fare
Verificare che il file ISO scaricato da Sophos Central sia stato allegato.
L’interfaccia eth0 non ha ricevuto l’IP
Cosa fare
Verificare la configurazione dell’interfaccia di rete. Se si devono modificare le impostazioni di rete del gateway, creare una nuova istanza del gateway su Sophos Central e scaricare un nuovo file ISO.
L’interfaccia eth1 non ha ricevuto l’IP
Cosa fare
Verificare la configurazione dell’interfaccia di rete. Se si devono modificare le impostazioni di rete del gateway, creare una nuova istanza del gateway su Sophos Central e scaricare un nuovo file ISO.
Diagnostica di DNS
ZTNA Gateway non ha potuto risolvere ntp.ubuntu.com
Cosa fare
Verificare la configurazione del server DNS e assicurarsi che consenta la risoluzione del link ntp.ubuntu.com
.
ZTNA Gateway non ha potuto risolvere Sophos Central
Cosa fare
Verificare la configurazione del server DNS e assicurarsi che consenta la risoluzione del link sophos.jfrog.io
.
Diagnostica della connettività di rete
Impossibile contattare ntp.ubuntu.com
sulla porta 123
Cosa fare
Verificare la configurazione dell’interfaccia di rete. Se ntp.ubuntu.com
non è raggiungibile, i servizi ZTNA non si avvieranno.
Impossibile contattare sophos.jfrog.io
sulla porta 443
Cosa fare
Assicurarsi che tutti gli URL menzionati nei requisiti di ZTNA siano stati autorizzati: Siti Web autorizzati.
Diagnostica dei servizi Sophos
Nota
Quando si riscontra un errore durante la diagnostica dei servizi Sophos, attendere 5-10 minuti ed eseguire di nuovo la diagnostica. Se si verifica lo stesso errore, riavviare il gateway. Se l’errore persiste anche dopo aver svolto entrambe le operazioni, contattare il Supporto tecnico Sophos.
Il servizio Kubernetes non è in esecuzione
Cosa fare
L’avvio del servizio potrebbe richiedere fino a 10 minuti dopo l’avvio del gateway. Se dopo 10 minuti il servizio non si avvia, procedere come indicato di seguito.
Assicurarsi che l’ora sul gateway sia sincronizzata con l’ora in Kubernetes. Accertarsi inoltre che il fuso orario sia UTC.
Verificare che il gateway sia connesso a internet.
Se si configura il cluster di gateway in modalità DHCP, controllare che gli indirizzi IP dei propri gateway non siano stati modificati.
Se la piattaforma gateway è VMware ESXi, assicurarsi che il CD-ROM sia collegato all’istanza della VM al momento dell’avvio.
Verificare che almeno la metà dei nodi nel proprio cluster di gateway sia attiva.
Se anche dopo tutto questo il servizio non si avvia, contattare il Supporto Sophos per richiedere assistenza.
Il pod Redis non è in esecuzione
Cosa fare
Contattare il Supporto tecnico Sophos per ricevere ulteriore assistenza.
I pod del cluster non sono in stato di esecuzione
Cosa fare
Contattare il Supporto tecnico Sophos per ricevere ulteriore assistenza.
Il gateway non è registrato a Sophos Central
Cosa fare
Verificare la connessione a Sophos Central.
Impossibile trovare i dettagli del Gateway
Cosa fare
Accertarsi che il gateway sia stato registrato correttamente e controllare la connessione a Sophos Central.
Attendi che il Gateway effettui la registrazione e si connetta a Sophos Central
Cosa fare
Approvare il gateway in Sophos Central.
Il gateway non può essere gestito da Sophos Central perché i servizi non sono in esecuzione. Error: <cloud agent name>: crashloopback off <node number>: pending
Cosa fare
Controllare l’ISO mappato quando si avvia il gateway. Assicurarsi di utilizzare l’ISO più recente e distribuire nuovamente il gateway.
Impossibile risolvere l’FQDN di Sophos Central
Cosa fare
Verificare che le impostazioni del firewall siano aggiornate, in modo che l’URL dinamico visualizzato possa essere risolto.
Nota
Gli URL dinamici (ad esempio: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) vengono generati in base all’area geografica in cui si trova l’account dell’utente. L’URL dinamico viene visualizzato nel messaggio di errore della console del gateway.
Impossibile stabilire la connessione all’URL dinamico di Sophos Central sulla porta 443
Cosa fare
Verificare la connessione a Sophos Central.
Nota
Gli URL dinamici (ad esempio: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) vengono generati in base all’area geografica in cui si trova l’account dell’utente. L’URL dinamico viene visualizzato nel messaggio di errore della console del gateway.
Diagnostica degli errori relativi agli orari
L’ora del cluster Kubernetes e l’ora locale hanno più di 60 secondi di differenza
Cosa fare
Verificare le impostazioni sulla piattaforma gateway. L’incongruenza temporale causa problemi di connettività.
L’ora NTP e l’ora locale hanno più di 60 secondi di differenza
Cosa fare
Verificare le impostazioni sulla piattaforma gateway. L’incongruenza temporale causa problemi di connettività.