콘텐츠로 이동

문제 해결

설정

게이트웨이에 대한 '스택 시작' 링크가 작동하지 않습니다.

문제

AWS 게이트웨이를 추가할 때 AWS에 대한 '스택 시작' 링크가 작동하지 않습니다.

해결 방법

사이트 설정에서 팝업 창에 대해 "허용"을 선택합니다. 기본적으로 설정은 "차단"입니다.

ESXi의 게이트웨이가 승인 준비 상태로 표시되지 않습니다.

문제

배포 후 ESXi에서 호스팅되는 게이트웨이가 Sophos Central에서 "승인" 버튼을 표시하지 않습니다.

해결 방법

  1. 게이트웨이가 이러한 URL에 연결할 수 있는지 확인합니다. 연결할 수 없는 경우 허용하십시오. 달리 명시되지 않은 한 포트 443을 사용합니다.

    • sophos.jfrog.io
    • *.amazonaws.com
    • production.cloudflare.docker.com
    • *.docker.io
    • * .sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com(포트 22)
    • sentry.io
    • *.okta.com(Okta를 ID 공급자로 사용하는 경우)
  2. ESXi에 최신 펌웨어 버전이 있는지 확인합니다.

  3. ESXi에 시간이 올바르게 설정(GMT 0)되어 있는지 확인합니다.

  4. CD-ROM이 연결되어 있는지 확인합니다. 연결 안 된 경우 VM 전원을 끄고 다시 연결합니다. 연결이 실패하면 게이트웨이 VM을 다시 생성합니다.

  5. 내부 인터페이스 6443에서 TCP 프로브를 실행하여 K3S가 실행 중인지 확인합니다.

  6. 게이트웨이가 Sophos Firewall 뒤에 있는 경우 방화벽에 로그인하고 진단 > 패킷 캡처로 이동한 다음 패킷 캡처를 켜거나 웹 필터링을 설정하여 어떤 요청이 실패하는지 확인합니다. 타사 방화벽에서도 이 작업을 수행할 수 있습니다.

AWS의 게이트웨이가 승인 준비 상태로 표시되지 않습니다.

문제

AWS에서 게이트웨이 설정을 완료한 후 Sophos Central의 게이트웨이 페이지에 승인 버튼이 표시되지 않습니다.

해결 방법

게이트웨이를 사용할 수 있을 때까지 최대 1시간 정도 기다립니다. 그런 다음 스택 생성 오류를 확인합니다. 이렇게 하려면 AWS Management Console의 CloudFormation Resource 목록으로 이동합니다.

리소스에 대한 액세스 권한을 부여할 수 있는 사용자 그룹이 없습니다.

문제

ZTNA에 리소스를 추가할 때 액세스를 허용할 수 있는 사용자 그룹이 없습니다.

해결 방법

디렉터리 서비스(Azure AD 또는 Active Directory)에 사용자 그룹이 있고 Sophos Central에서 동기화되었는지 확인합니다.

게이트웨이 편집' 페이지에 인증서가 표시되지 않습니다.

문제

게이트웨이 편집 페이지를 열면 게이트웨이를 추가할 때 업로드한 인증서가 표시되지 않습니다.

해결 방법

이것은 정상입니다. 게이트웨이 편집 페이지에서는 현재 인증서를 볼 수 없습니다.

엔드포인트의 ZTNA

ZTNA가 엔드포인트에서 '구성되지 않음'으로 표시됩니다.

문제

Sophos Central에 의해 관리되는 장치에서 Sophos Endpoint를 열면 상태 페이지에 "Zero Trust Network Access: 구성되지 않음"이 표시됩니다.

해결 방법

장치 > 컴퓨터(또는 서버)로 이동합니다. 장치에 ZTNA 에이전트가 설치되어 있는지 확인합니다. 설치된 경우 녹색 확인 표시가 나타납니다. 설치되지 않은 경우 더하기 기호가 나타납니다. ZTNA를 설치하려면 클릭합니다.

ZTNA가 경고 'Zero Trust Network Access: 오류'와 함께 엔드포인트에 표시됩니다.

문제

Sophos Central에 의해 관리되는 장치에서 Sophos Endpoint를 열면 상태 페이지에 "Zero Trust Network Access: 오류"가 표시됩니다. 이는 연결 문제가 있음을 나타냅니다.

해결 방법

  1. Sophos Central에 ZTNA 정책이 설정되어 있는지 확인합니다.

  2. 게이트웨이 FQDN을 확인할 수 있는지 확인합니다.

  3. Sophos TAP 어댑터 구성 실패 여부를 확인합니다.

사용자 그룹

사용자 그룹이 액세스할 수 없습니다.

문제

이전에 앱에 액세스할 수 있었던 Azure AD 사용자 그룹의 사용자가 더 이상 앱에 액세스할 수 없습니다.

원인

Azure AD 사용자 그룹의 이름을 나중에 변경하면 ZTNA의 할당된 사용자 그룹 목록이 변경 사항을 반영하도록 업데이트되지 않습니다. 사용자는 앱에 액세스할 수 없습니다.

해결 방법

  1. Zero Trust Network Access > 리소스 및 액세스로 이동합니다.

    리소스 및 액세스 메뉴

  2. 리소스 및 액세스 페이지에서 앱을 찾아 클릭하여 세부 정보를 편집합니다.

    리소스 목록

  3. 리소스 편집 대화 상자에서 다음과 같이 하십시오.

    1. 사용자 그룹 할당 섹션으로 이동합니다.
    2. 사용 가능한 사용자 그룹에서 이름이 변경된 사용자 그룹을 찾아 옆에 있는 확인란을 선택합니다.
    3. 할당된 사용자 그룹으로 이동하여 옆에 있는 확인란을 선택합니다.
    4. 저장을 클릭합니다.

    리소스 편집 대화 상자

사용자가 허용된 사용자 그룹에 추가되었지만 앱에 액세스할 수 없습니다.

문제

앱에 대해 허용된 사용자 그룹에 사용자를 추가했지만 사용자에게 403 액세스 거부 오류가 표시됩니다.

해결 방법

사용자가 최근에 추가된 경우 나중에 다시 시도하도록 요청합니다. 사용자 그룹에 대한 변경 사항이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

또는, 웹 앱인 경우 사용자에게 브라우저에서 익명 또는 비공개 모드로 전환한 다음 다시 시도하라고 알려줍니다.

사용자가 허용된 사용자 그룹에서 제거되었지만 여전히 앱에 액세스할 수 있습니다.

문제

앱에 대해 허용된 사용자 그룹에서 사용자를 제거했지만 해당 사용자가 계속 액세스할 수 있습니다.

해결 방법

나중에 다시 확인합니다. 허용된 사용자 그룹에 대한 변경 사항이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

액세스 문제

사용자가 에이전트리스 앱에 액세스하려고 할 때 404 찾을 수 없음 오류가 표시됩니다.

문제

사용자가 에이전트리스 액세스용으로 설정된 앱에 액세스하려고 하면 404 찾을 수 없음 오류가 표시됩니다.

해결 방법

DNS 관리 설정에서 다음과 같이 하십시오.

  1. 게이트웨이의 FQDN을 가리키는 앱에 대한 CNAME 레코드가 있는지 확인합니다.

  2. ZTNA 에이전트를 통해 액세스하는 앱에 대한 CNAME 레코드가 없는지 확인합니다.

사용자가 에이전트리스 앱에 액세스하려고 할 때 403 액세스 거부 오류가 표시됩니다.

문제

사용자가 에이전트리스 앱에 액세스하려고 하면 403 액세스 거부 오류가 표시됩니다.

해결 방법

  1. ID 공급자에 대해 필요한 모든 API 권한을 활성화했는지 확인합니다.

    Azure의 경우 다음 Microsoft Graph API 권한이 필요합니다.

    • Directory.Read.All(위임)
    • Directory.Read.All(응용 프로그램)
    • Group.Read.All(위임)
    • openID(위임)
    • profile(위임)
    • User.Read(위임)
    • User.Read.All(위임)

    현재 Azure AD API 권한도 필요합니다. Directory.ReadWrite.All(응용 프로그램). ZTNA 앱 등록을 참조하십시오.

    Okta의 경우:

    • okta.groups.read
    • okta.idps.read(AD Sync를 사용하는 경우에만 필요)
  2. ZTNA 정책이 App에 대한 액세스를 허용하는지 확인합니다.

  3. 사용자가 앱에 대해 할당된 사용자 그룹에 있는지 확인합니다.

  4. 네트워크가 ID 공급자에 연결되어 있는지 확인합니다.

    Azure의 경우:

    • login.microsoftonline.com
    • graph.microsoft.com

    Okta의 경우:

    • *.okta.com
사용자가 에이전트리스 앱에 액세스하려고 할 때 업스트림 요청 오류가 표시됩니다.

문제

사용자가 에이전트리스 앱에 액세스하려고 하면 업스트림 요청 오류가 표시됩니다.

해결 방법

  1. ZTNA 게이트웨이가 켜져 있는 네트워크에서 응용 프로그램에 액세스할 수 있는지 확인합니다.

  2. 응용 프로그램이 여전히 실행 중인지 확인합니다.

  3. 내부 FQDN 또는 IP 주소가 표시되면 앱으로 확인되는지 확인합니다.

  4. 개인 DNS 서버를 사용하는 경우 서버가 실행 중이며 앱의 외부 FQDN으로 확인되는지 확인합니다.

  5. 앱에 지정된 포트 번호가 올바른지 확인합니다.

사용자가 인증되었지만 ZTNA 에이전트가 필요한 앱에 액세스할 수 없습니다.

문제

사용자가 인증되었지만 앱에 액세스할 수 없습니다.

해결 방법

  1. SNTP 로그에 오류가 있는지 확인합니다.

  2. heartbeat.xml에서 인증서가 유효한지 확인합니다.

사용자가 ZTNA 에이전트를 통해 액세스한 앱에 액세스할 수 없습니다.

문제

사용자가 이전에 앱에 액세스할 수 있었지만 더 이상 액세스할 수 없습니다.

해결 방법

  1. SNTP 로그에 오류가 있는지 확인합니다.

  2. heartbeat.xml에서 인증서가 유효한지 확인합니다.

  3. Sophos Endpoint UI에서 ZTNA가 "RED" 상태로 표시되는지 확인합니다.

사용자가 앱에 처음 액세스하려고 할 때 IDP 로그인 화면을 볼 수 없습니다.

문제

IDP는 사용자가 앱에 처음으로 액세스하려고 할 때 로그인하라는 메시지를 표시합니다. 그렇지 않으면 사용자가 앱에 액세스할 수 없습니다.

해결 방법

사용자의 장치가 ZTNA 게이트웨이에 연결할 수 있는지 확인합니다.

사용자가 에이전트가 필요한 앱에 액세스하려고 할 때 로그인 팝업이 표시되지 않습니다.

문제

사용자가 ZTNA 에이전트가 필요한 앱에 액세스하려고 하면 로그인하라는 팝업이 표시되어야 합니다. 그렇지 않으면 앱에 액세스할 수 없습니다.

해결 방법

  1. SNTP 로그에 오류가 있는지 확인합니다.

  2. DNS 설정을 확인합니다. DNS 서버에 앱에 대한 CNAME 레코드가 없어야 합니다.

  3. ZTNA 에이전트 프로세스가 실행 중인지 확인합니다.

사용자가 앱에 액세스할 수 있지만 해당 앱의 링크가 작동하지 않습니다.

문제

사용자가 앱에 액세스할 수 있지만 다른 앱에 대한 링크가 작동하지 않습니다.

해결 방법

리소스 추가에 설명된 대로 ZTNA에 다른 앱을 추가합니다. 그러면 사용자가 링크를 클릭할 때 ZTNA에서 액세스 권한을 부여할 수 있습니다.

사용자가 인증되었지만 앱으로 리디렉션되지 않습니다.

문제

사용자가 로그인 화면을 확인하고 인증되었지만 액세스하려는 앱으로 리디렉션되지 않습니다.

해결 방법

IdP(ID 공급자) 설정에 올바른 리디렉션 URI를 지정했는지 확인합니다.

Azure AD가 IdP인 경우, ZTNA 앱을 등록할 때 리디렉션 URI를 지정했습니다. ZTNA 앱 등록을 참조하십시오.

Okta가 IdP인 경우 Okta에서 앱 통합을 생성할 때 로그인 리디렉션 URI를 지정했습니다. ID 공급자 설정에서 Okta 지침을 참조하십시오.

ZTNA 사용자 포털

사용자가 ZTNA 사용자 포털에서 앱을 볼 수 없습니다.

문제

사용자가 ZTNA 사용자 포털에서 앱을 볼 수 없습니다.

참고

현재 포털에는 ZTNA 에이전트를 통해 액세스하는 앱이 표시되지 않습니다. 사용자는 에이전트리스 앱만 볼 수 있습니다.

해결 방법

  1. 리소스 및 액세스로 이동하고 앱을 클릭하여 설정을 편집합니다.

  2. 사용자가 자신에게 필요한 앱에 대해 할당된 사용자 그룹에 있는지 확인합니다. 사용자는 액세스가 승인된 앱만 볼 수 있습니다.

  3. 관리자가 앱을 추가할 때 사용자 포털에 리소스 표시를 선택했는지 확인합니다.

사용자가 로그인했지만 ZTNA 사용자 포털에 대한 액세스 권한이 없습니다.

문제

사용자가 ZTNA 사용자 포털에 액세스하려고 하면 ID 공급자의 로그인 화면이 표시됩니다. 로그인한 후에 사용자 포털로 돌아가지 않습니다.

해결 방법

IdP(ID 공급자) 설정에 올바른 리디렉션 URI를 지정했는지 확인합니다.

Azure AD가 IdP인 경우, ZTNA 앱을 등록할 때 리디렉션 URI를 지정했습니다. 디렉터리 서비스 설정을 참조하십시오.

Okta가 IdP인 경우 Okta에서 앱 통합을 생성할 때 로그인 리디렉션 URI를 지정했습니다. ID 공급자 설정에서 Okta 지침을 참조하십시오.

DNS 문제

ZTNA 에이전트를 설치한 후 DNS 조회에 실패했습니다.

문제

ZTNA 에이전트를 설치한 후에 nslookup를 사용하여 DNS 조회를 수행하는 경우 간혹 실패합니다.

해결 방법

조회에 사용할 네트워크 어댑터를 지정합니다.

ZTNA 에이전트를 설치하면 기본 TAP 어댑터가 변경됩니다. nslookup를 사용하여 DNS 조회를 수행하는 경우 기본적으로 ZTNA TAP 어댑터가 사용됩니다. ZTNA 게이트웨이 뒤에 있지 않은 앱의 조회는 실패합니다.

이 문제를 방지하려면 nslookup 명령에 올바른 어댑터를 추가하십시오. 예:

nslookup <FQDN-to-be-resolved><DNS-Server>