コンテンツにスキップ

トラブルシューティング

セットアップ

ゲートウェイの「スタックの起動」リンクが機能しない

問題

AWS ゲートウェイを追加しても、AWS への「スタックの起動」リンクが機能しません。

説明・対策

サイト設定で、ポップアップウィンドウに対して「許可」を選択します。デフォルトの設定は「ブロック」です。

ESXi 上のゲートウェイが、承認準備完了として表示されない

問題

ESXi でホストされているゲートウェイに対して、導入後、Sophos Central に「承認」ボタンが表示されません。

説明・対策

  1. ゲートウェイが、以下の URL に接続できるかどうかを確認します。できない場合は、許可します。特に明記されていない限り、ポート 443 を使用してください。

  2. sophos.jfrog.io

  3. \*.amazonaws.com
  4. production.cloudflare.docker.com
  5. \*.docker.io
  6. \*.sophos.com
  7. login.microsoftonline.com
  8. graph.microsoft.com
  9. ztna.apu.sophos.com (ポート 22)
  10. sentry.io
  11. \*.okta.com (Okta を IdP として使用している場合)

  12. ESXi のファームウェアバージョンが最新であることを確認します。

  13. ESXi で、時刻 (GMT 0) が正しく設定されていることを確認します。

  14. CD-ROM が接続されていることを確認します。そうでない場合は、VM の電源をオフにして、再接続します。それに失敗した場合は、ゲートウェイ VM を再作成します。

  15. 内部インターフェース 6443 で TCP プローブを実行し、K3S が実行されていることを確認します。

  16. ゲートウェイが Sophos Firewall の内側にある場合は、ファイアウォールにサインインし、「診断 > パケットキャプチャ」を選択してパケットキャプチャをオンにするか、Web フィルタリングを設定して、どのリクエストが失敗するかを確認します。この操作は、他社製のファイアウォールを使用している場合でも実行できます。

AWS 上のゲートウェイが承認準備完了として表示されない

問題

AWS でゲートウェイの設定を完了後、Sophos Central の「ゲートウェイ」ページに 「承認」ボタンが表示されません。

説明・対策

ゲートウェイが使用可能になるまで最高 1時間かかる場合があります。 その後、スタックの作成に失敗していないかどうかを確認してください。これを行うには、AWS 管理コンソールの「CloudFormation Resources」リストを参照します。

リソースへのアクセス許可の対象になるユーザーグループがない

問題

リソースを ZTNA に追加した際、アクセス許可の対象になるユーザーグループがありません。

説明・対策

ディレクトリサービス (Azure AD または Active Directory) にユーザーグループがあり、Sophos Central で同期されていることを確認します。

証明書が「ゲートウェイの編集」ページに表示されない

問題

ゲートウェイの編集」ページに、ゲートウェイの追加時にアップロードした証明書が表示されません。

説明・対策

これは設計どおりの動作です。現在の証明書は、そこに表示されません。

エンドポイントの ZTNA

エンドポイントで ZTNA が「未設定」と表示される

問題

Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: 未設定」と表示されます。

説明・対策

デバイス > コンピュータ」(またはサーバー) を参照します。ZTNA エージェントがデバイスにインストールされているかどうかを確認します。インストールされている場合は、緑色のチェックマークが表示されます。インストールされていない場合は、プラス記号が表示されます。それをクリックして ZTNA をインストールします。

エンドポイントで ZTNA に対して警告「Zero Trust Network Access: エラー」が表示される

問題

Sophos Central の管理下にあるデバイスで Sophos Endpoint を開くと、「ステータス」ページに「Zero Trust Network Access: エラー」と表示されます。これは、接続に問題があることを示しています。

説明・対策

  1. Sophos Central で ZTNA ポリシーが設定済みであることを確認します。

  2. ゲートウェイ FQDN が解決することを確認します。

  3. Sophos TAP アダプタの設定に失敗したかを確認します。

ユーザーグループ

ユーザーグループがアクセスを失う

問題

以前、アプリへのアクセス権があった Azure AD ユーザーグループのユーザーが、そのアプリにアクセスできなくなります。

原因

アプリへのアクセス権が与えられた Azure AD ユーザーグループの名前を変更しても、ZTNA の「割り当て済みユーザーグループ」リストに変更は反映されません。ユーザーはアプリにアクセスできなくなります。

説明・対策

  1. Zero Trust Network Access > リソースとアクセス」を参照します。

「リソースとアクセス」メニュー

  1. リソースとアクセス」ページで、該当するアプリを見つけてクリックし、詳細を編集します。

リソースリスト

  1. リソースの編集」ダイアログで、次の手順を実行します。

  2. ユーザーグループの割り当て」セクションを参照します。

  3. 選択可能なユーザーグループ」で、名前を変更したユーザーグループを見つけ、その横にあるチェックボックスを選択します。
  4. グループを「割り当て済みユーザーグループ」に移動し、横にあるチェックボックスを選択します。
  5. 保存」をクリックします。

「リソースの編集」ダイアログ

許可されているユーザーグループに追加されたが、ユーザーはアプリにアクセスできない

問題

アプリへのアクセスが許可されているユーザーグループにユーザーを追加しましたが、ユーザーに「403 アクセス拒否」エラーが表示されます。

説明・対策

ユーザーを最近追加した場合は、後で再試行するようにユーザーに依頼します。ユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。

また Web アプリの場合は、ブラウザでシークレットモードやプライベートモードに切り替えてから、再試行するようにユーザーに依頼します。

許可されているユーザーグループから削除したが、ユーザーは引き続きアプリにアクセスできる

問題

アプリへのアクセスが許可されているユーザーグループからユーザーを削除しましたが、ユーザーは引き続きそのアプリにアクセスできます。

説明・対策

後でもう一度確認してください。許可されているユーザーグループへの変更が有効になるまでに、最長 1時間かかる場合があります。

アクセスに関する問題

ユーザーがエージェントレスアプリにアクセスしようとすると、「404 見つかりません」エラーが表示される

問題

エージェントレスアクセス用に設定されたアプリにユーザーがアクセスしようとすると、「404 見つかりません」エラーが表示されます。

説明・対策

DNS の管理設定で、次の手順を実行します。

  1. ゲートウェイの FQDN を指定する、アプリの CNAME レコードがあることを確認します。

  2. ZTNA エージェント経由でアクセスするアプリの CNAME レコードがないことを確認します。

ユーザーがエージェントレスアプリにアクセスしようとすると、「403 アクセス拒否」エラーが表示される

問題

ユーザーがエージェントレスアプリにアクセスしようとすると、「403 アクセス拒否」エラーが表示されます。

説明・対策

  1. IdP で必要な API のアクセス許可すべてが有効化されていることを確認します。

Azure では、次の Microsoft Graph API のアクセス許可が必要です。

  • Directory.Read.All (委任済み)
  • Directory.Read.All (アプリケーション)
  • Group.Read.All (委任済み)
  • openID (委任済み)
  • profile (委任済み)
  • User.Read (委任済み)
  • User.Read.All (委任済み)

現在、Azure AD API のアクセス許可も必要です: Directory.ReadWrite.All (アプリケーション)。詳細は、ZTNA アプリの登録を参照してください。

Okta の場合:

  • okta.groups.read
  • okta.idps.read (AD Sync を使用している場合はこれのみ必要です)

  • ZTNA ポリシーで、アプリへのアクセスが許可されていることを確認します。

  • ユーザーが、アプリの割り当て済みユーザーグループに属していることを確認します。

  • IdP へのネットワーク接続があることを確認します。

Azure の場合:

  • login.microsoftonline.com
  • graph.microsoft.com

Okta の場合:

  • *.okta.com
ユーザーがエージェントレスアプリにアクセスしようとすると、アップストリームのリクエストエラーが表示される

問題

ユーザーがエージェントレスアプリにアクセスしようとすると、アップストリームのリクエストエラーが表示されます。

説明・対策

  1. アプリケーションに、ZTNA ゲートウェイのあるネットワークからアクセスできることを確認します。

  2. アプリケーションがまだ実行中であることを確認します。

  3. 内部 FQDN や IP アドレスが表示される場合は、アプリに解決することを確認します。

  4. プライベート DNS サーバーを使用する場合は、サーバーが稼働中であり、アプリの外部 FQDN に解決することを確認します。

  5. アプリに対して指定されたポート番号が正しいことを確認します。

ユーザーが認証されているが、ZTNA エージェントを必要とするアプリにアクセスできない

問題

ユーザーが認証されているが、アプリにアクセスできません。

説明・対策

  1. SNTP ログにエラーがないかどうかを確認します。

  2. heartbeat.xml で、証明書が有効であることを確認します。

ユーザーが、ZTNA エージェント経由でアクセスするアプリへのアクセスを失う

問題

ユーザーが、これまでアクセス可能だったアプリにアクセスできなくなりました。

説明・対策

  1. SNTP ログにエラーがないかどうかを確認します。

  2. heartbeat.xml で、証明書が有効であることを確認します。

  3. Sophos Endpoint UI で、ZTNA のセキュリティ状態が「赤」になっているかどうかを確認します。

ユーザーがはじめてアプリにアクセスする際、IdP サインイン画面が表示されない

問題

ユーザーがはじめてアプリにアクセスする際に、サインインを求める IdP のプロンプトが表示されるはずです。表示されない場合、ユーザーはアプリにアクセスできません。

説明・対策

ユーザーのデバイスが、ZTNA ゲートウェイに接続できることを確認します。

エージェントを必要とするアプリにアクセスする際、ユーザーに対してサインインポップアップが表示されない

問題

ZTNA エージェントを必要とするアプリにアクセスする際、サインインを求めるポップアップがユーザーに対して表示されるはずです。表示されない場合、アプリにアクセスできません。

説明・対策

  1. SNTP ログにエラーがないかどうかを確認します。

  2. DNS の設定を確認します。DNS サーバーに、アプリの CNAME レコードがないようにしてください。

  3. ZTNA エージェントのプロセスが実行中であることを確認します。

ユーザーはアプリにアクセスできるが、アプリ内のリンクは機能しない

問題

ユーザーはアプリにアクセスできますが、アプリ内にある他のアプリへのリンクは機能しません。

説明・対策

リソースの追加の説明に従って、他のアプリを ZTNA に追加します。これによって、ユーザーがリンクにクリックすると、ZTNA によってアクセスが許可されます。

ユーザーは認証されるが、アプリにリダイレクトされない

問題

ユーザーにはサインイン画面が表示され、認証されますが、アクセスしようとしたアプリにリダイレクトされません。

説明・対策

IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。

Azure AD が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ZTNA アプリの登録を参照してください。

Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定Okta の手順を参照してください。

ZTNA ユーザーポータル

ZTNA ユーザーポータルでユーザーがアプリを表示できない

問題

ZTNA ユーザーポータルで、ユーザーがアプリを表示できません。

現在、ポータルには ZTNA エージェント経由でアクセスされるアプリは表示されません。ユーザーには、エージェントレスアプリのみが表示されます。

説明・対策

  1. リソースとアクセス」を参照し、アプリをクリックして設定を編集します。

  2. ユーザーが、該当するアプリの割り当て済みユーザーグループに属していることを確認します。ユーザーは、アクセスが許可されているアプリのみを表示できます。

  3. アプリを追加した際に、管理者が「ユーザーポータルにリソースを表示する」を選択したことを確認します。

ユーザーはサインインされるが、ZTNA ユーザーポータルへのアクセス権が与えられない

問題

ユーザーが ZTNA ユーザーポータルにアクセスする際、IdP のサインイン画面が表示されます。サインイン後、ユーザーポータルの画面に戻りません。

説明・対策

IdP (ID プロバイダ) の設定で、リダイレクト URI が正しく指定されていることを確認します。

Azure AD が IdP の場合、ZTNA アプリを登録した際に「リダイレクト URI」を指定しました。詳細は、ディレクトリサービスの設定を参照してください。

Okta が IdP の場合、Okta でアプリ統合を作成した際に、「Sign-in redirect URI」を指定しました。詳細は、IdP の設定の Okta の手順を参照してください。

DNS に関する問題

ZTNA エージェントをインストール後、DNS ルックアップに失敗する

問題

ZTNAエージェントをインストール後、nslookup を使用して DNS ルックアップを実行すると、失敗することがあります。

説明・対策

ルックアップで使用するネットワークアダプタを指定します。

ZTNA エージェントをインストールすると、デフォルトの TAP アダプタが変更されます。nslookup を使用して DNS ルックアップを実行している場合、デフォルトで ZTNA TAP アダプタが使用されるようになります。ZTNA ゲートウェイの内側にないアプリの検索は失敗します。

この問題を回避するには、nslookup コマンドに正しいアダプタを追加してください。例:

nslookup <FQDN-to-be-resolved><DNS-Server>

ZTNA 診断

このセクションでは、ゲートウェイが診断テストに失敗する理由と、問題を解決するために実行できる手順について説明します。

ネットワーク診断

インターフェース設定を読み取れない

説明・対策

Sophos Central からダウンロードした ISO ファイルが添付されていることを確認します。

インターフェース eth0 が IP を受信しなかった

説明・対策

ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。

インターフェース eth1 が IP を受信しなかった

説明・対策

ネットワークインターフェースの設定を確認します。ゲートウェイのネットワーク設定を編集する必要がある場合は、ゲートウェイの新しいインスタンスを Sophos Central で作成し、新しい ISOファイルをダウンロードします。

DNS 診断

ZTNA ゲートウェイが ntp.ubuntu.com を解決できなかった

説明・対策

DNS サーバーの設定を確認し、ntp.ubuntu.com を解決できることを確認します。

ZTNA ゲートウェイが Sophos Central を解決できなかった

説明・対策

DNS サーバーの設定を確認し、sophos.jfrog.io を解決できることを確認します。

ネットワーク接続診断

ポート 123 で ntp.ubuntu.com との接続に失敗した

説明・対策

ネットワークインターフェースの設定を確認します。ntp.ubuntu.com に到達できない場合、ZTNA サービスは開始されません。

ポート 443 で sophos.jfrog.io との接続に失敗した

説明・対策

ZTNA 要件に記載されているすべての URL が許可されていることを確認します。許可する Web サイト

ソフォスサービス診断

ソフォスサービス診断でエラーが発生した場合は、5~10分待ってから診断を再実行します。同じエラーが発生した場合は、ゲートウェイを再起動してください。両方の手順を実行した後も同じエラーが発生する場合は、ソフォスサポートにお問い合わせください。

Kubernetes サービスが稼働していない

説明・対策

詳細はソフォスサポートにお問い合わせください。

Redis Pod が稼働していない

説明・対策

詳細はソフォスサポートにお問い合わせください。

クラスタポッドが実行状態にない

説明・対策

詳細はソフォスサポートにお問い合わせください。

ゲートウェイが Sophos Central に登録されていない

説明・対策

Sophos Central への接続を確認します。

ゲートウェイの詳細が見つからない

説明・対策

ゲートウェイが正常に登録されたことを確認し、Sophos Central への接続を確認します。

ゲートウェイが Sophos Central に登録して接続するまで待機してください

説明・対策

Sophos Centralでゲートウェイを承認します。

Sophos Central FQDN を解決できない

説明・対策

ファイアウォール設定が更新され、表示される動的 URL が解決されることを確認します。

動的 URL (例: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) は、ユーザーのアカウントが存在する地域に基づいて生成されます。動的 URL は、ゲートウェイコンソールのエラーメッセージに表示されます。

ポート 443 で Sophos Central 動的 URL に接続できない

説明・対策

Sophos Central への接続を確認します。

動的 URL (例: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) は、ユーザーのアカウントが存在する地域に基づいて生成されます。動的 URL は、ゲートウェイコンソールのエラーメッセージに表示されます。

時刻診断

Kubernetes クラスタ時刻と現地時間の差が 60秒を超えている

説明・対策

ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。

NTP 時刻と現地時間の差が 60秒を超えている

説明・対策

ゲートウェイプラットフォームの設定を確認します。時間の不一致は、接続の問題につながります。