トラブルシューティング
セットアップ
ESXi 上のゲートウェイが、承認準備完了として表示されない
問題
ESXi でホストされているゲートウェイに対して、導入後、Sophos Central に「承認」ボタンが表示されません。
説明・対策
-
ゲートウェイが、以下の URL に接続できるかどうかを確認します。できない場合は、許可します。特に明記されていない限り、ポート 443 を使用してください。
sophos.jfrog.io
\*.amazonaws.com
production.cloudflare.docker.com
\*.docker.io
\*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com
(ポート 22)sentry.io
\*.okta.com
(Okta を IdP として使用している場合)
-
ESXi のファームウェアバージョンが最新であることを確認します。
-
ESXi で、時刻 (GMT 0) が正しく設定されていることを確認します。
-
CD-ROM が接続されていることを確認します。そうでない場合は、VM の電源をオフにして、再接続します。それに失敗した場合は、ゲートウェイ VM を再作成します。
-
内部インターフェース 6443 で TCP プローブを実行し、K3S が実行されていることを確認します。
-
ゲートウェイが Sophos Firewall の内側にある場合は、ファイアウォールにサインインし、「診断 > パケットキャプチャ」を選択してパケットキャプチャをオンにするか、Web フィルタリングを設定して、どのリクエストが失敗するかを確認します。この操作は、他社製のファイアウォールを使用している場合でも実行できます。
リソースへのアクセス許可の対象になるユーザーグループがない
問題
リソースを ZTNA に追加した際、アクセス許可の対象になるユーザーグループがありません。
説明・対策
ディレクトリサービス (Microsoft Entra ID (Azure AD) または Active Directory) にユーザーグループがあり、Sophos Central で同期されていることを確認します。
証明書が「ゲートウェイの編集」ページに表示されない
問題
「ゲートウェイの編集」ページに、ゲートウェイの追加時にアップロードした証明書が表示されません。
説明・対策
これは設計どおりの動作です。現在の証明書は、そこに表示されません。
リソースの作成時にドメイン名が検証されません。
問題
ZTNA エージェントレスリソースの作成に失敗します。表示されるメッセージ: "Domain is not validated" (ドメインが検証されていません)。これは、リソースがドメイン名ではなくゲートウェイ FQDN 名で追加されるためです。
説明・対策
リソースを作成するときは、ゲートウェイの FQDN 名ではなくドメイン名を使用してください。例えば、test123.local
の代わりに ztna.test123.local
を使用します。
Microsoft AD (オンプレミス) IdP
オンプレミス AD ユーザーの IdP 接続テストが失敗したため、ユーザーはリソースにアクセスできません。
問題
オンプレミス AD ユーザーが AD サーバーのプライマリグループにのみ属している場合、ZTNA サーバーのグループ検証は失敗し、ユーザーはリソースにアクセスできません。
説明・対策
ユーザーを他の AD グループに追加し、ZTNA 上のリソースにアクセスするようにこれらのグループを設定します。
プライマリ AD サーバーエラー。理由: ホストに到達できません。設定の確認。
問題
プライマリ AD サーバーと ZTNA ゲートウェイが接続していません。
説明・対策
プライマリ AD サーバーが ZTNA ゲートウェイから到達可能であり、そのホスト名、IP、およびポートが正しく設定されていることを確認します。
プライマリ AD サーバーエラー。理由: 管理者の認証情報が無効です。設定の確認。
問題
プライマリ AD サーバーの設定が正しくありません。
説明・対策
- 「バインドDN」と「バインドパスワード」の設定が正しいことを確認します。
- LDAP ポートが TLS 有効であることを確認します。通常、ポート 389 はセキュリティ保護されていない LDAP 接続を行うために使用され、ポート 636 はセキュリティ保護された LDAP 接続を行うために使用されます。
プライマリ AD サーバーエラー。理由:ユーザー検索設定が無効です。設定の確認。
問題
このエラーは、ベース DN の入力ミス、詳細設定の設定ス、テスト設定の誤り、プライマリ AD サーバー設定の誤りなどが原因で発生している可能性があります。
説明・対策
- 「ユーザー」と「ユーザーグループの設定が正しいことを確認します。
- テストしたユーザーが AD サーバー上に存在することを確認します。
- プライマリ AD サーバー上のユーザーのメールフィールドに有効なメールアドレスが含まれているかどうかを確認します。ユーザーに対して入力されたメールアドレスが空白または無効な場合、テスト接続は失敗します。
- 詳細設定でユーザーのメールアドレスを入力した場合は、ユーザー名ではなくメールアドレスを使用して接続をテストします。
- プライマリ AD サーバーが ZTNA ゲートウェイから到達可能であり、そのホスト名、IP、およびポートが正しく設定されていることを確認します。
- ユーザーが、プライマリ AD サーバー上のプライマリ ユーザー グループに加えて、別のユーザーグループのメンバーであることを確認してください。
ZTNA ゲートウェイ <gateway_name> が <IDP_NAME_AND_IP> IDPへの接続を失いました。
問題
ユーザーがアプリケーションにアクセスしようとすると、プライマリ AD サーバーの正常性チェックが失敗します。
説明・対策
- ユーザーが AD サーバー上に存在することを確認します。
- AD オンプレミスを IdP として設定するときに、高度な設定のデフォルト設定を使用した場合は、ドメイン名を追加せずにユーザー名でサインインします。
内部サーバーエラー。ログインエラー: ホストに到達できません。
説明・対策
プライマリ AD サーバーが ZTNA ゲートウェイから到達可能であり、そのホスト名、IP、およびポートが正しく設定されていることを確認します。
内部サーバーエラー。ログインエラー: ldap。
説明・対策
「ユーザー」と「ユーザーグループの設定が正しいことを確認します。
内部サーバーエラー。ログインエラー。
説明・対策
高度な構成で設定したメール、名前、および ID の値が AD サーバーにも設定されているかどうかを確認します。
ZTNA ゲートウェイ <gateway_name> は <AD Server SMTP_server_name_and_port_number> SMTP サーバー経由でメール OTP を送信できません。
問題
ZTNA ゲートウェイは SMTP サーバーに接続できません。
説明・対策
MFA の確認コードが届かない場合は、SMTP サーバーの設定を確認してください。
エンドポイントの ZTNA
エンドポイントで ZTNA が「未設定」と表示される
問題
Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: 未構成」と表示されます。
説明・対策
「デバイス > コンピュータ」(またはサーバー) を参照します。ZTNA エージェントがデバイスにインストールされているかどうかを確認します。インストールされている場合は、緑色のチェックマークが表示されます。インストールされていない場合は、プラス記号が表示されます。それをクリックして ZTNA をインストールします。
エンドポイントで ZTNA に対して警告「Zero Trust Network Access: エラー」が表示される"
問題
Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: エラー」と表示されます。これは、接続に問題があることを示しています。
説明・対策
-
Sophos Central で ZTNA ポリシーが設定済みであることを確認します。
-
ゲートウェイ FQDN が解決することを確認します。
-
Sophos TAP アダプタの設定に失敗したかを確認します。
-
エージェントの IPv6 ネットワークインターフェースをオフにします。トンネルが確立されます。
ユーザーグループ
ユーザーグループがアクセスを失う
問題
以前、アプリへのアクセス権があった Microsoft Entra ID (Azure AD) ユーザーグループのユーザーが、そのアプリにアクセスできなくなります。
原因
アプリへのアクセス権が与えられた Microsoft Entra ID (Azure AD) ユーザーグループの名前を変更しても、ZTNA の「割り当て済みユーザーグループ」リストに変更は反映されません。ユーザーはアプリにアクセスできなくなります。
説明・対策
-
「Zero Trust Network Access > リソースとアクセス」を参照します。
-
「リソースとアクセス」ページで、該当するアプリを見つけてクリックし、詳細を編集します。
-
「リソースの編集」ダイアログで、次の手順を実行します。
- 「ユーザーグループの割り当て」セクションを参照します。
- 「選択可能なユーザーグループ」で、名前を変更したユーザーグループを見つけ、その横にあるチェックボックスを選択します。
- グループを「割り当て済みユーザーグループ」に移動し、横にあるチェックボックスを選択します。
- 「保存」をクリックします。
許可されているユーザーグループに追加されたが、ユーザーはアプリにアクセスできない
問題
アプリへのアクセスが許可されているユーザーグループにユーザーを追加しましたが、ユーザーに「403 アクセス拒否」エラーが表示されます。
説明・対策
ユーザーを最近追加した場合は、後で再試行するようにユーザーに依頼します。ユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。
また Web アプリの場合は、ブラウザでシークレットモードやプライベートモードに切り替えてから、再試行するようにユーザーに依頼します。
許可されているユーザーグループから削除したが、ユーザーは引き続きアプリにアクセスできる
問題
アプリへのアクセスが許可されているユーザーグループからユーザーを削除しましたが、ユーザーは引き続きそのアプリにアクセスできます。
説明・対策
後でもう一度確認してください。許可されているユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。
アクセスに関する問題
ユーザーがエージェントレスアプリにアクセスしようとすると、「404 見つかりません」エラーが表示される
問題
エージェントレスアクセス用に設定されたアプリにユーザーがアクセスしようとすると、「404 見つかりません」エラーが表示されます。
説明・対策
DNS の管理設定で、次の手順を実行します。
-
ゲートウェイの FQDN を指定する、アプリの CNAME レコードがあることを確認します。
-
ZTNA エージェント経由でアクセスするアプリの CNAME レコードがないことを確認します。
ユーザーがエージェントレスアプリにアクセスしようとすると、「403 アクセス拒否」エラーが表示されます。
問題
ユーザーがエージェントレスアプリにアクセスしようとすると、「403 アクセス拒否」エラーが表示されます。
説明・対策
-
IdP で必要な API のアクセス許可すべてが有効化されていることを確認します。
Azure では、次の Microsoft Graph API のアクセス許可が必要です。
- Directory.Read.All (委任済み)
- Directory.Read.All (アプリケーション)
- Group.Read.All (委任済み)
- openID (委任済み)
- profile (委任済み)
- User.Read (委任済み)
- User.Read.All (委任済み)
現在、Microsoft Entra ID (Azure AD) API のアクセス許可も必要です: Directory.ReadWrite.All (アプリケーション)。詳細は、ZTNA アプリの登録を参照してください。
Okta の場合:
- okta.groups.read
- okta.idps.read (AD Sync を使用している場合はこれのみ必要です)
-
ZTNA ポリシーで、アプリへのアクセスが許可されていることを確認します。
-
ユーザーが、アプリの割り当て済みユーザーグループに属していることを確認します。
-
IdP へのネットワーク接続があることを確認します。
Azure の場合:
login.microsoftonline.com
graph.microsoft.com
Okta の場合:
*.okta.com
ユーザーがエージェントレスアプリにアクセスしようとすると、アップストリームのリクエストエラーが表示されます。
問題
ユーザーがエージェントレスアプリにアクセスしようとすると、アップストリームのリクエストエラーが表示されます。
説明・対策
-
アプリケーションに、ZTNA ゲートウェイのあるネットワークからアクセスできることを確認します。
-
アプリケーションがまだ実行中であることを確認します。
-
内部 FQDN や IP アドレスが表示される場合は、アプリに解決することを確認します。
-
プライベート DNS サーバーを使用する場合は、サーバーが稼働中であり、アプリの外部 FQDN に解決することを確認します。
-
アプリに対して指定されたポート番号が正しいことを確認します。
ユーザーが認証されているが、ZTNA エージェントを必要とするアプリにアクセスできない
問題
ユーザーが認証されているが、アプリにアクセスできません。
説明・対策
-
SNTP ログにエラーがないかどうかを確認します。
-
heartbeat.xml で、証明書が有効であることを確認します。
ユーザーが、ZTNA エージェント経由でアクセスするアプリへのアクセスを失う
問題
ユーザーが、これまでアクセス可能だったアプリにアクセスできなくなりました。
説明・対策
-
SNTP ログにエラーがないかどうかを確認します。
-
heartbeat.xml で、証明書が有効であることを確認します。
-
Sophos Endpoint UI で、ZTNA のセキュリティ状態が「赤」になっているかどうかを確認します。
ユーザーがはじめてアプリにアクセスする際、IdP サインイン画面が表示されない
問題
ユーザーがはじめてアプリにアクセスする際に、サインインを求める IdP のプロンプトが表示されるはずです。表示されない場合、ユーザーはアプリにアクセスできません。
説明・対策
ユーザーのデバイスが、ZTNA ゲートウェイに接続できることを確認します。
エージェントを必要とするアプリにアクセスする際、ユーザーに対してサインインポップアップが表示されない
問題
ZTNA エージェントを必要とするアプリにアクセスする際、サインインを求めるポップアップがユーザーに対して表示されるはずです。表示されない場合、アプリにアクセスできません。
説明・対策
-
SNTP ログにエラーがないかどうかを確認します。
-
DNS の設定を確認します。DNS サーバーに、アプリの CNAME レコードがないようにしてください。
-
ZTNA エージェントのプロセスが実行中であることを確認します。
ユーザーはアプリにアクセスできるが、アプリ内のリンクは機能しない
問題
ユーザーはアプリにアクセスできますが、アプリ内にある他のアプリへのリンクは機能しません。
説明・対策
リソースの追加の説明に従って、他のアプリを ZTNA に追加します。これによって、ユーザーがリンクにクリックすると、ZTNA によってアクセスが許可されます。
ユーザーは認証されるが、アプリにリダイレクトされない
問題
ユーザーにはサインイン画面が表示され、認証されますが、アクセスしようとしたアプリにリダイレクトされません。
説明・対策
-
IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。
- Microsoft Entra ID (Azure AD) が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ZTNA アプリの登録を参照してください。
- Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定の「Okta」の手順を参照してください。
-
Okta が IdP の場合は、"Groups claim expression" に正しい大文字と小文字が入力されていることを確認します。この式では、大文字と小文字が区別されます。
ユーザーが内部リソースにアクセスしようとすると、「403 アクセス拒否」エラーが表示される
問題
ユーザーが内部 Web サーバーなどの内部リソースにアクセスしようとすると、403 アクセス拒否エラーが表示されます。
説明・対策
- ユーザーが'リソースにマップされたユーザーグループの一部であることを確認します
- ディレクトリサービス設定でグループ設定が正しいことを確認します。たとえば、Microsoft Entra ID (Azure AD) では、インポートしたユーザーグループにセキュリティが有効に設定されていることを確認します。
- Sophos Central で ZTNA ポリシーをオンにします。
ZTNA ユーザーポータル
ZTNA ユーザーポータルでユーザーがアプリを表示できない
問題
ZTNA ユーザーポータルで、ユーザーがアプリを表示できません。
注
現在、ポータルには ZTNA エージェント経由でアクセスされるアプリは表示されません。ユーザーには、エージェントレスアプリのみが表示されます。
説明・対策
-
インポートしたユーザーグループでセキュリティが有効になっていることを確認します。
-
「リソースとアクセス」を参照し、アプリをクリックして設定を編集します。
-
ユーザーが、該当するアプリの割り当て済みユーザーグループに属していることを確認します。ユーザーは、アクセスが許可されているアプリのみを表示できます。
-
アプリを追加した際に、管理者が「ユーザーポータルにリソースを表示する」を選択したことを確認します。
ユーザーはサインインされるが、ZTNA ユーザーポータルへのアクセス権が与えられない
問題
ユーザーが ZTNA ユーザーポータルにアクセスする際、IdP のサインイン画面が表示されます。サインイン後、ユーザーポータルの画面に戻りません。
説明・対策
IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。
Microsoft Entra ID (Azure AD) が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ディレクトリサービスの設定を参照してください。
Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定の Okta の手順を参照してください。
DNS に関する問題
ZTNA エージェントをインストール後、DNS ルックアップに失敗する
問題
ZTNAエージェントをインストール後、nslookup
を使用して DNS ルックアップを実行すると、失敗することがあります。
説明・対策
ルックアップで使用するネットワークアダプタを指定します。
ZTNA エージェントをインストールすると、デフォルトの TAP アダプタが変更されます。nslookup
を使用して DNS ルックアップを実行している場合、デフォルトで ZTNA TAP アダプタが使用されるようになります。ZTNA ゲートウェイの内側にないアプリの検索は失敗します。
この問題を回避するには、nslookup
コマンドに正しいアダプタを追加してください。例:
nslookup <FQDN-to-be-resolved><DNS-Server>
ZTNA 診断
このセクションでは、ゲートウェイが診断テストに失敗する理由と、問題を解決するために実行できる手順について説明します。
ネットワーク診断
インターフェース設定を読み取れない
説明・対策
Sophos Central からダウンロードした ISO ファイルが添付されていることを確認します。
インターフェース eth0 が IP を受信しなかった
説明・対策
ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。
インターフェース eth1 が IP を受信しなかった
説明・対策
ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。
DNS 診断
ZTNA ゲートウェイが ntp.ubuntu.com
を解決できなかった
説明・対策
DNS サーバーの設定を確認し、ntp.ubuntu.com
を解決できることを確認します。
ZTNA ゲートウェイが Sophos Central を解決できなかった
説明・対策
DNS サーバーの設定を確認し、sophos.jfrog.io
を解決できることを確認します。
ネットワーク接続診断
ポート 123 で ntp.ubuntu.com
との接続に失敗した
説明・対策
ネットワークインターフェースの設定を確認します。ntp.ubuntu.com
に到達できない場合、ZTNA サービスは開始されません。
ソフォスサービス診断
注
ソフォスサービス診断でエラーが発生した場合は、5~10分待ってから診断を再実行します。同じエラーが発生した場合は、ゲートウェイを再起動してください。両方の手順を実行した後も同じエラーが発生する場合は、ソフォスサポートにお問い合わせください。
Kubernetes のサービスが実行されていません
説明・対策
ゲートウェイの起動後、サービスが開始されるまでに最長 10分かかる場合があります。10分経ってもサービスが開始されない場合は、次の手順に従ってください。
ゲートウェイの時刻が Kubernetes の時刻と同期されていることを確認します。また、タイムゾーンが UTC であることを確認します。
ゲートウェイがインターネットに接続できることを確認します。
ゲートウェイクラスターを DHCP モードで構成する場合は、ゲートウェイの IP アドレスが変更されていないことを確認します。
ゲートウェイプラットフォームが VMware ESXi の場合は、起動時に CD-ROM が VM インスタンスに接続されていることを確認します。
ゲートウェイクラスター内の少なくとも半分のノードがアクティブであることを確認します。
それでもサービスが開始されない場合は、ソフォスサポートにお問い合わせください。
Redis Pod が稼働していない
説明・対策
詳細はソフォスサポートにお問い合わせください。
クラスタポッドが実行状態にない
説明・対策
詳細はソフォスサポートにお問い合わせください。
ゲートウェイが Sophos Central に登録されていない
説明・対策
Sophos Central への接続を確認します。
ゲートウェイの詳細が見つからない
説明・対策
ゲートウェイが正常に登録されたことを確認し、Sophos Central への接続を確認します。
ゲートウェイが Sophos Central に登録して接続するまで待機してください
説明・対策
Sophos Centralでゲートウェイを承認します。
サービスが実行されていないため、ゲートウェイを Sophos Central で管理できません。Error: <cloud agent name>: crashloopback off <node number>: pending
説明・対策
ゲートウェイの起動時にマップされた ISO を確認します。最新の ISO が使用されていることを確認し、ゲートウェイを再導入します。
Sophos Central FQDN を解決できない
説明・対策
ファイアウォール設定が更新され、表示される動的 URL が解決されることを確認します。
注
動的 URL (例: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) は、ユーザーのアカウントが存在する地域に基づいて生成されます。動的 URL は、ゲートウェイコンソールのエラーメッセージに表示されます。
ポート 443 で Sophos Central 動的 URL に接続できない
説明・対策
Sophos Central への接続を確認します。
注
動的 URL (例: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) は、ユーザーのアカウントが存在する地域に基づいて生成されます。動的 URL は、ゲートウェイコンソールのエラーメッセージに表示されます。
時刻診断
Kubernetes クラスタ時刻と現地時間の差が 60秒を超えている
説明・対策
ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。
NTP 時刻と現地時間の差が 60秒を超えている
説明・対策
ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。