Vai al contenuto

Risoluzione dei problemi

Impostazione

Il gateway non viene visualizzato come pronto per l'approvazione su ESXi

Problema

Il gateway ospitato su ESXi non mostra un pulsante "Approva" in Sophos Central dopo la distribuzione.

Cosa fare

  1. Verificare se il gateway è in grado di connettersi a questi URL. In caso contrario, autorizzarli. Se non viene specificato altrimenti, utilizzare la porta 443.

    • sophos.jfrog.io
    • \*.amazonaws.com
    • production.cloudflare.docker.com
    • \*.docker.io
    • \*.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Porta 22)
    • sentry.io
    • \*.okta.com (se si utilizza Okta come provider di identità)
  2. Assicurarsi che la versione del firmware di ESXi sia quella più recente.

  3. Accertarsi che l'ora sia impostata correttamente (GMT 0) su ESXi.

  4. Assicurarsi che il CD-ROM sia collegato. In caso contrario, disattivare la VM e ricollegarlo. Se l'operazione non riesce, ricreare la VM gateway.

  5. Eseguire un probe TCP sull’interfaccia interna:6443 per accertarsi che K3S sia in esecuzione.

  6. Se il gateway è protetto da Sophos Firewall, accedere al firewall, selezionare Diagnostica > Acquisizione pacchetto e attivare l'acquisizione dei pacchetti, oppure configurare il filtro web per vedere quali sono le richieste non riuscite. È possibile eseguire questa operazione anche su un firewall di terze parti.

Non è disponibile alcun gruppo di utenti a cui concedere l'accesso alle risorse

Problema

Quando si aggiunge una risorsa a ZTNA, non sono presenti gruppi di utenti ai quali è possibile consentire l'accesso.

Cosa fare

Verificare che ci siano gruppi di utenti nel servizio directory (Microsoft Entra ID (Azure AD) o Active Directory) e che questi gruppi siano sincronizzati in Sophos Central.

I certificati non vengono visualizzati nella pagina 'Modifica gateway'

Problema

Quando si apre la pagina Modifica gateway, non vengono visualizzati i certificati che sono stati caricati durante l'aggiunta del gateway.

Cosa fare

Questo è un comportamento atteso. Non è possibile visualizzare i certificati correnti in questa pagina.

Microsoft AD (on-premise) come provider di identità

Il test di connessione del provider di identità dà esito negativo per un utente di AD locale (on-premise), il che significa che l’utente non è in grado di accedere alle risorse.

Problema

Se l’utente di AD locale appartiene solo al gruppo primario sul server AD, la verifica del gruppo sul server ZTNA darà esito negativo e l’utente non potrà accedere alle risorse.

Cosa fare

Aggiungere l’utente ad altri gruppi di AD e configurare questi gruppi per l’accesso alle risorse su ZTNA.

Errore del server AD primario. Motivo: host non raggiungibile. Controlla la configurazione.

Problema

Il server AD primario e il gateway ZTNA non si connettono.

Cosa fare

Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.

Errore del server AD primario. Motivo: credenziali di amministrazione non valide. Controlla la configurazione.

Problema

Le impostazioni del server AD primario non sono corrette.

Cosa fare

  1. Verificare che le impostazioni DN di associazione e Password di associazione siano corrette.
  2. Verificare che la porta LDAP sia abilitata per TLS. In genere, la porta 389 viene utilizzata per stabilire connessioni LDAP non protette e la porta 636 per creare connessioni LDAP protette.
Errore del server AD primario. Motivo: configurazione della ricerca utente non valida. Controlla la configurazione.

Problema

Questo errore può essere causato da un errore di battitura nel DN di base, da errori di configurazione nelle impostazioni avanzate, o da impostazioni errate per i test o per il server AD primario.

Cosa fare

  1. Verificare che le impostazioni per l’Utente e il Gruppo di utenti siano corrette.
  2. Verificare che l’utente con cui è stato effettuato il test sia esistente sul server AD.
  3. Controllare se il campo e-mail per l’utente sul server AD primario contiene un indirizzo e-mail valido. Se l’indirizzo e-mail inserito per un utente è vuoto o non valido, la prova di connessione darà esito negativo.
  4. Se è stato specificato un indirizzo e-mail per l’utente nelle impostazioni avanzate, verificare la connessione con l’indirizzo e-mail, anziché con il nome utente.
  5. Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.
  6. Assicurarsi che gli utenti siano membri di un altro gruppo di utenti, oltre al gruppo di utenti primario sul server AD primario.
Il Gateway ZTNA <gateway_name> ha perso la connessione al provider di identità <IDP_name_and_IP>

Problema

Il controllo di integrità del server AD primario dà esito negativo quando gli utenti cercano di accedere a un’app.

Cosa fare

  1. Verificare che l’utente sia esistente nel server AD.
  2. Se durante la configurazione di AD on-premise come provider di identità sono state utilizzate le impostazioni predefinite della configurazione avanzata, accedere con il proprio nome utente senza aggiungere il nome di dominio.
Errore interno del server. Errore di accesso: host non raggiungibile.

Cosa fare

Verificare che il server AD primario sia raggiungibile dal gateway ZTNA e che i suoi nome host, IP e porta siano stati configurati correttamente.

Errore interno del server. Errore di accesso: LDAP.

Cosa fare

Verificare che le impostazioni per l’Utente e il Gruppo di utenti siano corrette.

Errore interno del server. Errore di accesso.

Cosa fare

Controllare se i valori di posta, nome e ID impostati nella configurazione avanzata sono impostati anche sul server AD.

Il gateway ZTNA <gateway_name> non è in grado di inviare l’OTP e-mail con il server AD <SMTP_server_name_and_port_number>

Problema

Il gateway ZTNA non è in grado di connettersi al server SMTP.

Cosa fare

Se non si riceve un codice di conferma per l’MFA, controllare la configurazione del proprio server SMTP.

ZTNA sugli endpoint

ZTNA viene visualizzato come 'Non configurato' sugli endpoint

Problema

Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Non configurato".

Cosa fare

Selezionare Dispositivi > Computer (o Server). Verificare che l'agente ZTNA sia installato sul dispositivo. Se è installato, verrà visualizzato un segno di spunta verde. In caso contrario, verrà visualizzato un segno più. Cliccare per installare ZTNA.

ZTNA viene visualizzato con l'avviso 'Zero Trust Network Access: Errore' sugli endpoint

Problema

Quando si apre Sophos Endpoint su un dispositivo gestito da Sophos Central, nella pagina Stato viene visualizzato il messaggio "Zero Trust Network Access: Errore". Questo indica che si è verificato un problema di connessione.

Cosa fare

  1. Verificare che in Sophos Central sia stato configurato un criterio ZTNA.

  2. Accertarsi che l'FQDN del gateway sia risolvibile.

  3. Controllare se la configurazione dell'adattatore TAP di Sophos ha riscontrato un problema.

  4. Disattivare l’interfaccia di rete IPv6 sull’agente. Il tunnel verrà quindi creato.

Gruppi di utenti

I gruppi di utenti perdono l’accesso

Problema

Gli utenti di un gruppo di utenti di Microsoft Entra ID (Azure AD) che in precedenza avevano accesso a un’app non riescono più ad accedervi.

Causa

Se si modifica il nome di un gruppo di utenti di Microsoft Entra ID (Azure AD) a cui è stato concesso l’accesso a un’app, l’elenco Gruppi di utenti assegnati in ZTNA non verrà aggiornato in modo da riflettere la modifica. Gli utenti non potranno accedere all'app.

Cosa fare

  1. Selezionare Zero Trust Network Access > Risorse e accesso.

    Menu Risorse e accesso.

  2. Nella pagina Risorse e accesso, cercare l'app desiderata e cliccarvi sopra per modificarne i dettagli.

    Elenco Risorse.

  3. Nella finestra di dialogo Modifica risorsa, svolgere le seguenti operazioni:

    1. Accedere alla sezione Assegna gruppi di utenti.
    2. In Gruppi di utenti disponibili, individuare il gruppo di utenti rinominato e selezionare la casella di controllo accanto a questo gruppo.
    3. Spostare il gruppo in Gruppi di utenti assegnati e selezionare la casella di controllo accanto a questo gruppo.
    4. Cliccare su Salva.

    Finestra di dialogo Modifica risorsa.

L’utente è stato aggiunto a un gruppo di utenti autorizzato ma non riesce ad accedere all’app

Problema

È stato aggiunto un utente a un gruppo di utenti autorizzato per un'app, ma l'utente riceve un errore 403 Accesso negato.

Cosa fare

Se è stato aggiunto di recente, consigliare all'utente di riprovare più tardi. L'implementazione delle modifiche dei gruppi di utenti può richiedere fino a un'ora.

In alternativa, se si tratta di un'app web, chiedere all'utente di accedere alla modalità in incognito o privata del browser e riprovare.

L’utente è stato rimosso da un gruppo di utenti autorizzato ma riesce comunque ad accedere all’app

Problema

L'utente è stato rimosso da un gruppo di utenti autorizzato per un'app, ma continua a essere in grado di accedervi.

Cosa fare

Controllare di nuovo più tardi. L'implementazione delle modifiche di un gruppo di utenti autorizzato può richiedere fino a un'ora.

Problemi di accesso

L’utente riceve un errore 404 Non trovato quando cerca di accedere a un’app senza agente

Problema

Quando l'utente cerca di accedere a un'app configurata per l'accesso senza agente, viene visualizzato un errore 404 Non trovato.

Cosa fare

Nelle impostazioni di gestione del DNS, procedere come segue:

  1. Verificare che sia presente un record CNAME per l'app che punta all'FQDN del gateway.

  2. Assicurarsi che non ci siano record CNAME per nessuna app a cui viene effettuato l'accesso tramite un agente ZTNA.

L’utente riceve un errore 403 Non trovato quando cerca di accedere a un’app senza agente

Problema

L'utente riceve un errore 403 Non trovato quando cerca di accedere a un'app senza agente.

Cosa fare

  1. Verificare di avere abilitato tutte le autorizzazioni API richieste per il proprio provider di identità.

    Per Azure, occorrono le seguenti autorizzazioni API Microsoft Graph:

    • Directory.Read.All (Delegata)
    • Directory.Read.All (Applicazione)
    • Group.Read.All (Delegata)
    • openID (Delegata)
    • profile (Delegata)
    • User.Read (Delegata)
    • User.Read.All (Delegata)

    Al momento è necessaria anche un’autorizzazione API Microsoft Entra ID (Azure AD): Directory.ReadWrite.All (Applicazione). Vedere Registrare l’app ZTNA.

    Per Okta:

    • okta.groups.read
    • okta.idps.read (solo se si utilizza la Sincronizzazione con AD)
  2. Verificare che il criterio ZTNA consenta l'accesso all'app.

  3. Accertarsi che l'utente si trovi in un gruppo di utenti assegnato all'app.

  4. Controllare di avere connettività di rete con il provider di identità:

    Per Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Per Okta:

    • *.okta.com
L’utente riceve un errore di richiesta upstream quando prova ad accedere a un’app senza agente

Problema

L'utente riceve un errore di richiesta upstream quando prova ad accedere a un'app senza agente.

Cosa fare

  1. Verificare che l'applicazione sia accessibile dalla rete su cui si trova il gateway ZTNA.

  2. Controllare che l'applicazione sia ancora in esecuzione.

  3. Se viene visualizzato l'indirizzo FQDN o IP interno, assicurarsi che si risolva nell'applicazione.

  4. Se si utilizza un server DNS privato, verificare che sia in esecuzione e che si risolva nell'FQDN esterno dell'applicazione.

  5. Verificare che i numeri di porta specificati per l'app siano corretti.

L’utente è autenticato ma non riesce ad accedere a un’app che richiede un agente ZTNA

Problema

L'utente è autenticato ma non riesce ad accedere a un'app.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Assicurarsi che i certificati siano validi in heartbeat.xml.

L’utente perde l’accesso a un’app a cui ha effettuato l’accesso tramite l’agente ZTNA

Problema

In precedenza l'utente riusciva ad accedere a un'app ma non è più in grado di farlo.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Assicurarsi che i certificati siano validi in heartbeat.xml

  3. Verificare se ZTNA viene visualizzato con stato di integrità "rosso" nell'interfaccia utente di Sophos Endpoint.

L’utente non visualizza la schermata di accesso del provider di identità la prima volta che prova ad accedere alle app

Problema

Il provider di identità dovrebbe chiedere all'utente di effettuare l'accesso la prima volta che cerca di accedere alle app. Se questo non avviene, l'utente non può accedere alle app.

Cosa fare

Verificare che il dispositivo dell'utente sia in grado di contattare il gateway ZTNA.

L’utente non visualizza una finestra popup di accesso quando prova ad accedere a un’app che richiede l’agente

Problema

Quando prova ad accedere a un'app che richiede l'agente ZTNA, l'utente dovrebbe visualizzare una finestra popup che chiede di eseguire l'accesso. Se questo non avviene, non può accedere all'app.

Cosa fare

  1. Controllare se ci sono errori nei log di SNTP.

  2. Verificare le impostazioni del DNS. Il server DNS non deve avere un record CNAME per l'app.

  3. Assicurarsi che il processo dell'agente ZTNA sia in esecuzione.

L’utente può accedere a un’app, ma i link in quell’app non funzionano

Problema

L’utente può accedere a un’app, ma i link ad altre app presenti in quell’app non funzionano.

Cosa fare

Aggiungere le altre app a ZTNA, come descritto in Aggiungi risorse. Questo permette a ZTNA di concedere all’utente l’accesso quando clicca sui link.

L’utente è autenticato ma non viene reindirizzato all’app

Problema

L’utente vede la schermata di accesso e si autentica, ma non viene reindirizzato all’app a cui ha tentato di accedere.

Cosa fare

  1. Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).

    • Se il provider di identità è Microsoft Entra ID (Azure AD), l’URI di reindirizzamento è stato specificato al momento della registrazione dell’app ZTNA. Vedere Registrare l’app ZTNA.
    • Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.
  2. Se il provider di identità è Okta, verificare che la “Groups claim expression” sia stata inserita con i giusti caratteri maiuscoli e minuscoli. Questa espressione applica la distinzione tra maiuscole e minuscole.

L’utente riceve un errore 403 Accesso negato quando cerca di accedere a una risorsa interna

Problema

L’utente riceve un errore 403 Accesso negato quando cerca di accedere a una risorsa interna, ad esempio un server web interno.

Cosa fare

  1. Assicurarsi che l’utente faccia parte di un gruppo di utenti mappato alla risorsa.
  2. Assicurarsi che i gruppi di utenti mappati alla risorsa siano gruppi di utenti creati localmente e non siano stati sincronizzati dal servizio directory.
  3. Assicurarsi che la configurazione del gruppo sia corretta nelle impostazioni del servizio directory. Ad esempio, in Microsoft Entra ID (Azure AD), assicurarsi che i gruppi di utenti importati abbiano la sicurezza abilitata.
  4. Assicurarsi di attivare il criterio ZTNA in Sophos Central.
  5. Se si accede alla risorsa con l’agente ZTNA, accertarsi che lo stato di integrità di Synchronized Security del dispositivo corrisponda al criterio ZTNA. Ad esempio, ZTNA potrebbe mostrare uno stato di integrità “verde” o “giallo”.

Portale utenti di ZTNA

L’utente non riesce a visualizzare le app nel portale utenti di ZTNA

Problema

L’utente non riesce a visualizzare le app nel portale utenti di ZTNA.

Nota

Attualmente il portale non mostra le app a cui viene effettuato l’accesso tramite l’agente ZTNA. Gli utenti vedono solo le app senza agente.

Cosa fare

  1. Assicurarsi che la sicurezza sia abilitata per i gruppi di utenti che sono stati importati.

  2. Aprire Risorse e accesso e cliccare su un'app per modificarne le impostazioni.

  3. Verificare che l'utente si trovi in gruppi di utenti assegnati per le app di cui ha bisogno. Gli utenti potranno visualizzare solo le app alle quali sono autorizzati ad accedere.

  4. Controllare che l'amministratore abbia selezionato Mostra risorsa nel portale utenti quando ha aggiunto le app.

L’utente effettua l’accesso ma non può accedere al portale utenti di ZTNA

Problema

L'utente prova ad accedere al portale utenti di ZTNA e viene visualizzata la schermata di accesso del provider di identità. Quando effettua l'accesso, non si verifica il reindirizzamento al portale utenti.

Cosa fare

Verificare di aver specificato l'URI di reindirizzamento corretto nelle impostazioni del provider di identità (IdP).

Se il provider di identità è Microsoft Entra ID (Azure AD), l’URI di reindirizzamento è stato specificato al momento della registrazione dell’app ZTNA. Vedere Configurazione di un servizio directory.

Se il provider di identità è Okta, l’URI di reindirizzamento all'accesso è stato specificato quando è stata creata un'integrazione di app in Okta. Vedere le istruzioni per Okta in Configurazione di un provider di identità.

Problemi relativi al DNS

Le ricerche DNS non restituiscono risultati dopo l’installazione dell’agente ZTNA

Problema

Dopo l’installazione dell’agente ZTNA, se si utilizza nslookup per eseguire una ricerca DNS, a volte la ricerca non restituisce risultati.

Cosa fare

Specificare la scheda di rete da utilizzare per la ricerca.

L’installazione dell’agente ZTNA modifica l’adattatore TAP predefinito. Se utilizzi nslookup per eseguire una ricerca DNS, per impostazione predefinita verrà ora utilizzato l’adattatore TAP di ZTNA. Le ricerche di app che non si trovano dietro il gateway ZTNA non restituiranno risultati.

Per evitare questo problema, aggiungere il giusto adattatore al comando nslookup. Per esempio:

nslookup <FQDN-to-be-resolved><DNS-Server>

Diagnostica di ZTNA

In questa sezione vengono descritti i motivi per cui un gateway potrebbe non superare i test di diagnostica e vengono fornite le procedure da seguire per risolvere i problemi.

Diagnostica di rete

Impossibile leggere la configurazione dell’interfaccia

Cosa fare

Verificare che il file ISO scaricato da Sophos Central sia stato allegato.

L’interfaccia eth0 non ha ricevuto l’IP

Cosa fare

Verificare la configurazione dell’interfaccia di rete. Se si devono modificare le impostazioni di rete del gateway, creare una nuova istanza del gateway su Sophos Central e scaricare un nuovo file ISO.

L’interfaccia eth1 non ha ricevuto l’IP

Cosa fare

Verificare la configurazione dell’interfaccia di rete. Se si devono modificare le impostazioni di rete del gateway, creare una nuova istanza del gateway su Sophos Central e scaricare un nuovo file ISO.

Diagnostica di DNS

ZTNA Gateway non ha potuto risolvere ntp.ubuntu.com

Cosa fare

Verificare la configurazione del server DNS e assicurarsi che consenta la risoluzione del link ntp.ubuntu.com.

ZTNA Gateway non ha potuto risolvere Sophos Central

Cosa fare

Verificare la configurazione del server DNS e assicurarsi che consenta la risoluzione del link sophos.jfrog.io.

Diagnostica della connettività di rete

Impossibile contattare ntp.ubuntu.com sulla porta 123

Cosa fare

Verificare la configurazione dell’interfaccia di rete. Se ntp.ubuntu.com non è raggiungibile, i servizi ZTNA non si avvieranno.

Impossibile contattare sophos.jfrog.io sulla porta 443

Cosa fare

Assicurarsi che tutti gli URL menzionati nei requisiti di ZTNA siano stati autorizzati: Siti Web autorizzati.

Diagnostica dei servizi Sophos

Nota

Quando si riscontra un errore durante la diagnostica dei servizi Sophos, attendere 5-10 minuti ed eseguire di nuovo la diagnostica. Se si verifica lo stesso errore, riavviare il gateway. Se l’errore persiste anche dopo aver svolto entrambe le operazioni, contattare il Supporto tecnico Sophos.

Il servizio Kubernetes non è in esecuzione

Cosa fare

L’avvio del servizio potrebbe richiedere fino a 10 minuti dopo l’avvio del gateway. Se dopo 10 minuti il servizio non si avvia, procedere come indicato di seguito.

Assicurarsi che l’ora sul gateway sia sincronizzata con l’ora in Kubernetes. Accertarsi inoltre che il fuso orario sia UTC.

Verificare che il gateway sia connesso a internet.

Se si configura il cluster di gateway in modalità DHCP, controllare che gli indirizzi IP dei propri gateway non siano stati modificati.

Se la piattaforma gateway è VMware ESXi, assicurarsi che il CD-ROM sia collegato all’istanza della VM al momento dell’avvio.

Verificare che almeno la metà dei nodi nel proprio cluster di gateway sia attiva.

Se anche dopo tutto questo il servizio non si avvia, contattare il Supporto Sophos per richiedere assistenza.

Il pod Redis non è in esecuzione

Cosa fare

Contattare il Supporto tecnico Sophos per ricevere ulteriore assistenza.

I pod del cluster non sono in stato di esecuzione

Cosa fare

Contattare il Supporto tecnico Sophos per ricevere ulteriore assistenza.

Il gateway non è registrato a Sophos Central

Cosa fare

Verificare la connessione a Sophos Central.

Impossibile trovare i dettagli del Gateway

Cosa fare

Accertarsi che il gateway sia stato registrato correttamente e controllare la connessione a Sophos Central.

Attendi che il Gateway effettui la registrazione e si connetta a Sophos Central

Cosa fare

Approvare il gateway in Sophos Central.

Il gateway non può essere gestito da Sophos Central perché i servizi non sono in esecuzione. Error: <cloud agent name>: crashloopback off <node number>: pending

Cosa fare

Controllare l’ISO mappato quando si avvia il gateway. Assicurarsi di utilizzare l’ISO più recente e distribuire nuovamente il gateway.

Impossibile risolvere l’FQDN di Sophos Central

Cosa fare

Verificare che le impostazioni del firewall siano aggiornate, in modo che l’URL dinamico visualizzato possa essere risolto.

Nota

Gli URL dinamici (ad esempio: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) vengono generati in base all’area geografica in cui si trova l’account dell’utente. L’URL dinamico viene visualizzato nel messaggio di errore della console del gateway.

Impossibile stabilire la connessione all’URL dinamico di Sophos Central sulla porta 443

Cosa fare

Verificare la connessione a Sophos Central.

Nota

Gli URL dinamici (ad esempio: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) vengono generati in base all’area geografica in cui si trova l’account dell’utente. L’URL dinamico viene visualizzato nel messaggio di errore della console del gateway.

Diagnostica degli errori relativi agli orari

L’ora del cluster Kubernetes e l’ora locale hanno più di 60 secondi di differenza

Cosa fare

Verificare le impostazioni sulla piattaforma gateway. L’incongruenza temporale causa problemi di connettività.

L’ora NTP e l’ora locale hanno più di 60 secondi di differenza

Cosa fare

Verificare le impostazioni sulla piattaforma gateway. L’incongruenza temporale causa problemi di connettività.