トラブルシューティング

問題

AWS ゲートウェイを追加しても、AWS への「スタックの起動」リンクが機能しません。

説明・対策

サイト設定で、ポップアップウィンドウに対して「許可」を選択します。デフォルトの設定は「ブロック」です。

問題

ESXi でホストされているゲートウェイに対して、導入後、Sophos Central に「承認」ボタンが表示されません。

説明・対策

1. ゲートウェイが、以下の URL に接続できるかどうかを確認します。できない場合は、許可します。特に明記されていない限り、ポート 443 を使用してください。

   • sophos.jfrog.io
   • \*.amazonaws.com
   • production.cloudflare.docker.com
   • \*.docker.io
   • \*.sophos.com
   • login.microsoftonline.com
   • graph.microsoft.com
   • ztna.apu.sophos.com (ポート 22)
   • sentry.io
   • \*.okta.com (Okta を IdP として使用している場合)

2. ESXi のファームウェアバージョンが最新であることを確認します。

3. ESXi で、時刻 (GMT 0) が正しく設定されていることを確認します。

4. CD-ROM が接続されていることを確認します。そうでない場合は、VM の電源をオフにして、再接続します。それに失敗した場合は、ゲートウェイ VM を再作成します。

5. 内部インターフェース 6443 で TCP プローブを実行し、K3S が実行されていることを確認します。

6. ゲートウェイが Sophos Firewall の内側にある場合は、ファイアウォールにサインインし、「診断 > パケットキャプチャ」を選択してパケットキャプチャをオンにするか、Web フィルタリングを設定して、どのリクエストが失敗するかを確認します。この操作は、他社製のファイアウォールを使用している場合でも実行できます。

問題

AWS でゲートウェイの設定を完了後、Sophos Central の「ゲートウェイ」ページに 「承認」ボタンが表示されません。

説明・対策

ゲートウェイが使用可能になるまで最高 1時間かかる場合があります。 その後、スタックの作成に失敗していないかどうかを確認してください。これを行うには、AWS 管理コンソールの「CloudFormation Resources」リストを参照します。

問題

リソースを ZTNA に追加した際、アクセス許可の対象になるユーザーグループがありません。

説明・対策

ディレクトリサービス (Microsoft Entra ID (Azure AD) または Active Directory) にユーザーグループがあり、Sophos Central で同期されていることを確認します。

問題

「ゲートウェイの編集」ページに、ゲートウェイの追加時にアップロードした証明書が表示されません。

説明・対策

これは設計どおりの動作です。現在の証明書は、そこに表示されません。

問題

Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: 未構成」と表示されます。

説明・対策

「デバイス > コンピュータ」(またはサーバー) を参照します。ZTNA エージェントがデバイスにインストールされているかどうかを確認します。インストールされている場合は、緑色のチェックマークが表示されます。インストールされていない場合は、プラス記号が表示されます。それをクリックして ZTNA をインストールします。

問題

Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: エラー」と表示されます。これは、接続に問題があることを示しています。

説明・対策

1. Sophos Central で ZTNA ポリシーが設定済みであることを確認します。

2. ゲートウェイ FQDN が解決することを確認します。

3. Sophos TAP アダプタの設定に失敗したかを確認します。

4. エージェントの IPv6 ネットワークインターフェースをオフにします。トンネルが確立されます。

問題

以前、アプリへのアクセス権があった Microsoft Entra ID (Azure AD) ユーザーグループのユーザーが、そのアプリにアクセスできなくなります。

原因

アプリへのアクセス権が与えられた Microsoft Entra ID (Azure AD) ユーザーグループの名前を変更しても、ZTNA の「割り当て済みユーザーグループ」リストに変更は反映されません。ユーザーはアプリにアクセスできなくなります。

説明・対策

1. 「Zero Trust Network Access > リソースとアクセス」を参照します。

   

2. 「リソースとアクセス」ページで、該当するアプリを見つけてクリックし、詳細を編集します。

   

3. 「リソースの編集」ダイアログで、次の手順を実行します。

   1. 「ユーザーグループの割り当て」セクションを参照します。
   2. 「選択可能なユーザーグループ」で、名前を変更したユーザーグループを見つけ、その横にあるチェックボックスを選択します。
   3. グループを「割り当て済みユーザーグループ」に移動し、横にあるチェックボックスを選択します。
   4. 「保存」をクリックします。

   

問題

アプリへのアクセスが許可されているユーザーグループにユーザーを追加しましたが、ユーザーに「403 アクセス拒否」エラーが表示されます。

説明・対策

ユーザーを最近追加した場合は、後で再試行するようにユーザーに依頼します。ユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。

また Web アプリの場合は、ブラウザでシークレットモードやプライベートモードに切り替えてから、再試行するようにユーザーに依頼します。

問題

アプリへのアクセスが許可されているユーザーグループからユーザーを削除しましたが、ユーザーは引き続きそのアプリにアクセスできます。

説明・対策

後でもう一度確認してください。許可されているユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。

問題

エージェントレスアクセス用に設定されたアプリにユーザーがアクセスしようとすると、「404 見つかりません」エラーが表示されます。

説明・対策

DNS の管理設定で、次の手順を実行します。

1. ゲートウェイの FQDN を指定する、アプリの CNAME レコードがあることを確認します。

2. ZTNA エージェント経由でアクセスするアプリの CNAME レコードがないことを確認します。

問題

ユーザーがエージェントレスアプリにアクセスしようとすると、「403 アクセス拒否」エラーが表示されます。

説明・対策

1. IdP で必要な API のアクセス許可すべてが有効化されていることを確認します。

   Azure では、次の Microsoft Graph API のアクセス許可が必要です。

   • Directory.Read.All (委任済み)
   • Directory.Read.All (アプリケーション)
   • Group.Read.All (委任済み)
   • openID (委任済み)
   • profile (委任済み)
   • User.Read (委任済み)
   • User.Read.All (委任済み)

   現在、Microsoft Entra ID (Azure AD) API のアクセス許可も必要です: Directory.ReadWrite.All (アプリケーション)。詳細は、ZTNA アプリの登録を参照してください。

   Okta の場合:

   • okta.groups.read
   • okta.idps.read (AD Sync を使用している場合はこれのみ必要です)

2. ZTNA ポリシーで、アプリへのアクセスが許可されていることを確認します。

3. ユーザーが、アプリの割り当て済みユーザーグループに属していることを確認します。

4. IdP へのネットワーク接続があることを確認します。

   Azure の場合:

   • login.microsoftonline.com
   • graph.microsoft.com

   Okta の場合:

   • *.okta.com

問題

ユーザーがエージェントレスアプリにアクセスしようとすると、アップストリームのリクエストエラーが表示されます。

説明・対策

1. アプリケーションに、ZTNA ゲートウェイのあるネットワークからアクセスできることを確認します。

2. アプリケーションがまだ実行中であることを確認します。

3. 内部 FQDN や IP アドレスが表示される場合は、アプリに解決することを確認します。

4. プライベート DNS サーバーを使用する場合は、サーバーが稼働中であり、アプリの外部 FQDN に解決することを確認します。

5. アプリに対して指定されたポート番号が正しいことを確認します。

問題

ユーザーが認証されているが、アプリにアクセスできません。

説明・対策

1. SNTP ログにエラーがないかどうかを確認します。

2. heartbeat.xml で、証明書が有効であることを確認します。

問題

ユーザーが、これまでアクセス可能だったアプリにアクセスできなくなりました。

説明・対策

1. SNTP ログにエラーがないかどうかを確認します。

2. heartbeat.xml で、証明書が有効であることを確認します。

3. Sophos Endpoint UI で、ZTNA のセキュリティ状態が「赤」になっているかどうかを確認します。

問題

ユーザーがはじめてアプリにアクセスする際に、サインインを求める IdP のプロンプトが表示されるはずです。表示されない場合、ユーザーはアプリにアクセスできません。

説明・対策

ユーザーのデバイスが、ZTNA ゲートウェイに接続できることを確認します。

問題

ZTNA エージェントを必要とするアプリにアクセスする際、サインインを求めるポップアップがユーザーに対して表示されるはずです。表示されない場合、アプリにアクセスできません。

説明・対策

1. SNTP ログにエラーがないかどうかを確認します。

2. DNS の設定を確認します。DNS サーバーに、アプリの CNAME レコードがないようにしてください。

3. ZTNA エージェントのプロセスが実行中であることを確認します。

問題

ユーザーはアプリにアクセスできますが、アプリ内にある他のアプリへのリンクは機能しません。

説明・対策

リソースの追加の説明に従って、他のアプリを ZTNA に追加します。これによって、ユーザーがリンクにクリックすると、ZTNA によってアクセスが許可されます。

問題

ユーザーにはサインイン画面が表示され、認証されますが、アクセスしようとしたアプリにリダイレクトされません。

説明・対策

1. IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。

   • Microsoft Entra ID (Azure AD) が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ZTNA アプリの登録を参照してください。
   • Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定の「Okta」の手順を参照してください。

2. Okta が IdP の場合は、"Groups claim expression" に正しい大文字と小文字が入力されていることを確認します。この式では、大文字と小文字が区別されます。

問題

ユーザーが内部 Web サーバーなどの内部リソースにアクセスしようとすると、403 アクセス拒否エラーが表示されます。

説明・対策

1. ユーザーが'リソースにマップされたユーザーグループの一部であることを確認します
2. リソースにマップされたユーザーグループがローカルに作成されたユーザーグループであり、ディレクトリサービスから同期されていないことを確認します。
3. ディレクトリサービス設定でグループ設定が正しいことを確認します。たとえば、Microsoft Entra ID (Azure AD) では、インポートしたユーザーグループにセキュリティが有効に設定されていることを確認します。
4. Sophos Central で ZTNA ポリシーをオンにします。
5. ZTNA エージェントを使用してリソースにアクセスする場合は、デバイスの同期済みセキュリティ状態が ZTNA ポリシーと一致していることを確認してください。たとえば、ZTNA は「緑」または「黄」のセキュリティ状態を表示する場合があります。

問題

ZTNA ユーザーポータルで、ユーザーがアプリを表示できません。

説明・対策

1. インポートしたユーザーグループでセキュリティが有効になっていることを確認します。

2. 「リソースとアクセス」を参照し、アプリをクリックして設定を編集します。

3. ユーザーが、該当するアプリの割り当て済みユーザーグループに属していることを確認します。ユーザーは、アクセスが許可されているアプリのみを表示できます。

4. アプリを追加した際に、管理者が「ユーザーポータルにリソースを表示する」を選択したことを確認します。

問題

ユーザーが ZTNA ユーザーポータルにアクセスする際、IdP のサインイン画面が表示されます。サインイン後、ユーザーポータルの画面に戻りません。

説明・対策

IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。

Microsoft Entra ID (Azure AD) が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ディレクトリサービスの設定を参照してください。

Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定の Okta の手順を参照してください。

問題

ZTNAエージェントをインストール後、nslookup を使用して DNS ルックアップを実行すると、失敗することがあります。

説明・対策

ルックアップで使用するネットワークアダプタを指定します。

ZTNA エージェントをインストールすると、デフォルトの TAP アダプタが変更されます。nslookup を使用して DNS ルックアップを実行している場合、デフォルトで ZTNA TAP アダプタが使用されるようになります。ZTNA ゲートウェイの内側にないアプリの検索は失敗します。

この問題を回避するには、nslookup コマンドに正しいアダプタを追加してください。例:

nslookup <FQDN-to-be-resolved><DNS-Server>

説明・対策

Sophos Central からダウンロードした ISO ファイルが添付されていることを確認します。

説明・対策

ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。

説明・対策

ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。

説明・対策

DNS サーバーの設定を確認し、ntp.ubuntu.com を解決できることを確認します。

説明・対策

DNS サーバーの設定を確認し、sophos.jfrog.io を解決できることを確認します。

説明・対策

ネットワークインターフェースの設定を確認します。ntp.ubuntu.com に到達できない場合、ZTNA サービスは開始されません。

説明・対策

ZTNA 要件に記載されているすべての URL が許可されていることを確認します。許可されている Web サイト。

説明・対策

ゲートウェイの起動後、サービスが開始されるまでに最長 10分かかる場合があります。10分経ってもサービスが開始されない場合は、次の手順に従ってください。

ゲートウェイの時刻が Kubernetes の時刻と同期されていることを確認します。また、タイムゾーンが UTC であることを確認します。

ゲートウェイがインターネットに接続できることを確認します。

ゲートウェイクラスターを DHCP モードで構成する場合は、ゲートウェイの IP アドレスが変更されていないことを確認します。

ゲートウェイプラットフォームが VMware ESXi の場合は、起動時に CD-ROM が VM インスタンスに接続されていることを確認します。

ゲートウェイクラスター内の少なくとも半分のノードがアクティブであることを確認します。

それでもサービスが開始されない場合は、ソフォスサポートにお問い合わせください。

説明・対策

詳細はソフォスサポートにお問い合わせください。

説明・対策

詳細はソフォスサポートにお問い合わせください。

説明・対策

Sophos Central への接続を確認します。

説明・対策

ゲートウェイが正常に登録されたことを確認し、Sophos Central への接続を確認します。

説明・対策

Sophos Centralでゲートウェイを承認します。

説明・対策

ゲートウェイの起動時にマップされた ISO を確認します。最新の ISO が使用されていることを確認し、ゲートウェイを再導入します。

説明・対策

ファイアウォール設定が更新され、表示される動的 URL が解決されることを確認します。

説明・対策

Sophos Central への接続を確認します。

説明・対策

ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。

説明・対策

ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。

説明・対策

ゲートウェイクラスタの名前が、64文字以下であることを確認します。AWS のクラスタ名は、最大 64文字に制限されています。

新しいスタックを作成する前に、以前に作成し、失敗した状態にあるスタックすべてをクリアするようにしてください。