문제 해결

문제

AWS 게이트웨이를 추가할 때 AWS에 대한 '스택 시작' 링크가 작동하지 않습니다.

해결 방법

사이트 설정에서 팝업 창에 대해 "허용"을 선택합니다. 기본적으로 설정은 "차단"입니다.

문제

배포 후 ESXi에서 호스팅되는 게이트웨이가 Sophos Central에서 "승인" 버튼을 표시하지 않습니다.

해결 방법

1. 게이트웨이가 이러한 URL에 연결할 수 있는지 확인합니다. 연결할 수 없는 경우 허용하십시오. 달리 명시되지 않은 한 포트 443을 사용합니다.

   • sophos.jfrog.io
   • \*.amazonaws.com
   • production.cloudflare.docker.com
   • \*.docker.io
   • \*.sophos.com
   • login.microsoftonline.com
   • graph.microsoft.com
   • ztna.apu.sophos.com (포트 22)
   • sentry.io
   • \*.okta.com(Okta를 ID 공급자로 사용하는 경우)

2. ESXi에 최신 펌웨어 버전이 있는지 확인합니다.

3. ESXi에 시간이 올바르게 설정(GMT 0)되어 있는지 확인합니다.

4. CD-ROM이 연결되어 있는지 확인합니다. 연결 안 된 경우 VM 전원을 끄고 다시 연결합니다. 연결이 실패하면 게이트웨이 VM을 다시 생성합니다.

5. 내부 인터페이스 6443에서 TCP 프로브를 실행하여 K3S가 실행 중인지 확인합니다.

6. 게이트웨이가 Sophos Firewall 뒤에 있는 경우 방화벽에 로그인하고 진단 > 패킷 캡처로 이동한 다음 패킷 캡처를 켜거나 웹 필터링을 설정하여 어떤 요청이 실패하는지 확인합니다. 타사 방화벽에서도 이 작업을 수행할 수 있습니다.

문제

AWS에서 게이트웨이 설정을 완료한 후 Sophos Central의 게이트웨이 페이지에 승인 버튼이 표시되지 않습니다.

해결 방법

게이트웨이를 사용할 수 있을 때까지 최대 1시간 정도 기다립니다. 그런 다음 스택 생성 오류를 확인합니다. 이렇게 하려면 AWS Management Console의 CloudFormation Resource 목록으로 이동합니다.

문제

ZTNA에 리소스를 추가할 때 액세스를 허용할 수 있는 사용자 그룹이 없습니다.

해결 방법

디렉터리 서비스(Microsoft Entra ID(Azure AD) 또는 Active Directory)에 사용자 그룹이 있고 Sophos Central에서 동기화되었는지 확인합니다.

문제

게이트웨이 편집 페이지를 열면 게이트웨이를 추가할 때 업로드한 인증서가 표시되지 않습니다.

해결 방법

이것은 정상입니다. 게이트웨이 편집 페이지에서는 현재 인증서를 볼 수 없습니다.

문제

Sophos Central에 의해 관리되는 장치에서 Sophos Endpoint를 열면 상태 페이지에 "Zero Trust Network Access: 구성되지 않음"이 표시됩니다.

해결 방법

장치 > 컴퓨터(또는 서버)로 이동합니다. 장치에 ZTNA 에이전트가 설치되어 있는지 확인합니다. 설치된 경우 녹색 확인 표시가 나타납니다. 설치되지 않은 경우 더하기 기호가 나타납니다. ZTNA를 설치하려면 클릭합니다.

문제

Sophos Central에 의해 관리되는 장치에서 Sophos Endpoint를 열면 상태 페이지에 "Zero Trust Network Access: 오류"가 표시됩니다. 이는 연결 문제가 있음을 나타냅니다.

해결 방법

1. Sophos Central에 ZTNA 정책이 설정되어 있는지 확인합니다.

2. 게이트웨이 FQDN을 확인할 수 있는지 확인합니다.

3. Sophos TAP 어댑터 구성 실패 여부를 확인합니다.

4. 에이전트에서 IPv6 네트워크 인터페이스를 끕니다. 그러면 터널이 설정됩니다.

문제

이전에 앱에 액세스할 수 있었던 Microsoft Entra ID(Azure AD) 사용자 그룹의 사용자가 더 이상 앱에 액세스할 수 없습니다.

원인

앱에 대한 액세스 권한이 부여된 Microsoft Entra ID(Azure AD) 사용자 그룹의 이름을 변경하면 ZTNA의 할당된 사용자 그룹 목록이 변경 사항을 반영하도록 업데이트되지 않습니다. 사용자는 앱에 액세스할 수 없습니다.

해결 방법

1. Zero Trust Network Access > 리소스 및 액세스로 이동합니다.

   

2. 리소스 및 액세스 페이지에서 앱을 찾아 클릭하여 세부 정보를 편집합니다.

   

3. 리소스 편집 대화 상자에서 다음과 같이 하십시오.

   1. 사용자 그룹 할당 섹션으로 이동합니다.
   2. 사용 가능한 사용자 그룹에서 이름이 변경된 사용자 그룹을 찾아 옆에 있는 확인란을 선택합니다.
   3. 할당된 사용자 그룹으로 이동하여 옆에 있는 확인란을 선택합니다.
   4. 저장을 클릭합니다.

   

문제

앱에 대해 허용된 사용자 그룹에 사용자를 추가했지만 사용자에게 403 액세스 거부 오류가 표시됩니다.

해결 방법

사용자가 최근에 추가된 경우 나중에 다시 시도하도록 요청합니다. 사용자 그룹에 대한 변경 사항이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

또는, 웹 앱인 경우 사용자에게 브라우저에서 익명 또는 비공개 모드로 전환한 다음 다시 시도하라고 알려줍니다.

문제

앱에 대해 허용된 사용자 그룹에서 사용자를 제거했지만 해당 사용자가 계속 액세스할 수 있습니다.

해결 방법

나중에 다시 확인합니다. 허용된 사용자 그룹에 대한 변경 사항이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

문제

사용자가 에이전트리스 액세스용으로 설정된 앱에 액세스하려고 하면 404 찾을 수 없음 오류가 표시됩니다.

해결 방법

DNS 관리 설정에서 다음과 같이 하십시오.

1. 게이트웨이의 FQDN을 가리키는 앱에 대한 CNAME 레코드가 있는지 확인합니다.

2. ZTNA 에이전트를 통해 액세스하는 앱에 대한 CNAME 레코드가 없는지 확인합니다.

문제

사용자가 에이전트리스 앱에 액세스하려고 하면 403 액세스 거부 오류가 표시됩니다.

해결 방법

1. ID 공급자에 대해 필요한 모든 API 권한을 활성화했는지 확인합니다.

   Azure의 경우 다음 Microsoft Graph API 권한이 필요합니다.

   • Directory.Read.All(위임)
   • Directory.Read.All(응용 프로그램)
   • Group.Read.All(위임)
   • openID(위임)
   • profile(위임)
   • User.Read(위임)
   • User.Read.All(위임)

   현재 Microsoft Entra ID(Azure AD) API 권한도 필요합니다. Directory.ReadWrite.All(응용 프로그램). ZTNA 앱 등록을 참조하십시오.

   Okta의 경우:

   • okta.groups.read
   • okta.idps.read(AD Sync를 사용하는 경우에만 필요)

2. ZTNA 정책이 App에 대한 액세스를 허용하는지 확인합니다.

3. 사용자가 앱에 대해 할당된 사용자 그룹에 있는지 확인합니다.

4. 네트워크가 ID 공급자에 연결되어 있는지 확인합니다.

   Azure의 경우:

   • login.microsoftonline.com
   • graph.microsoft.com

   Okta의 경우:

   • *.okta.com

문제

사용자가 에이전트리스 앱에 액세스하려고 하면 업스트림 요청 오류가 표시됩니다.

해결 방법

1. ZTNA 게이트웨이가 켜져 있는 네트워크에서 응용 프로그램에 액세스할 수 있는지 확인합니다.

2. 응용 프로그램이 여전히 실행 중인지 확인합니다.

3. 내부 FQDN 또는 IP 주소가 표시되면 앱으로 확인되는지 확인합니다.

4. 개인 DNS 서버를 사용하는 경우 서버가 실행 중이며 앱의 외부 FQDN으로 확인되는지 확인합니다.

5. 앱에 지정된 포트 번호가 올바른지 확인합니다.

문제

사용자가 인증되었지만 앱에 액세스할 수 없습니다.

해결 방법

1. SNTP 로그에 오류가 있는지 확인합니다.

2. heartbeat.xml에서 인증서가 유효한지 확인합니다.

문제

사용자가 이전에 앱에 액세스할 수 있었지만 더 이상 액세스할 수 없습니다.

해결 방법

1. SNTP 로그에 오류가 있는지 확인합니다.

2. heartbeat.xml에서 인증서가 유효한지 확인합니다.

3. Sophos Endpoint UI에서 ZTNA가 "RED" 상태로 표시되는지 확인합니다.

문제

IDP는 사용자가 앱에 처음으로 액세스하려고 할 때 로그인하라는 메시지를 표시합니다. 그렇지 않으면 사용자가 앱에 액세스할 수 없습니다.

해결 방법

사용자의 장치가 ZTNA 게이트웨이에 연결할 수 있는지 확인합니다.

문제

사용자가 ZTNA 에이전트가 필요한 앱에 액세스하려고 하면 로그인하라는 팝업이 표시되어야 합니다. 그렇지 않으면 앱에 액세스할 수 없습니다.

해결 방법

1. SNTP 로그에 오류가 있는지 확인합니다.

2. DNS 설정을 확인합니다. DNS 서버에 앱에 대한 CNAME 레코드가 없어야 합니다.

3. ZTNA 에이전트 프로세스가 실행 중인지 확인합니다.

문제

사용자가 앱에 액세스할 수 있지만 다른 앱에 대한 링크가 작동하지 않습니다.

해결 방법

리소스 추가에 설명된 대로 ZTNA에 다른 앱을 추가합니다. 그러면 사용자가 링크를 클릭할 때 ZTNA에서 액세스 권한을 부여할 수 있습니다.

문제

사용자가 로그인 화면을 확인하고 인증되었지만 액세스하려는 앱으로 리디렉션되지 않습니다.

해결 방법

1. IdP(ID 공급자) 설정에 올바른 리디렉션 URI를 지정했는지 확인합니다.

   • Microsoft Entra ID(Azure AD)가 IdP인 경우, ZTNA 앱을 등록할 때 리디렉션 URI를 지정했습니다. ZTNA 앱 등록을 참조하십시오.
   • Okta가 IdP인 경우 Okta에서 앱 통합을 생성할 때 로그인 리디렉션 URI를 지정했습니다. ID 공급자 설정에서 Okta 지침을 참조하십시오.

2. Okta가 IDP인 경우 "그룹 클레임 표현식"을 올바른 대/소문자로 입력했는지 확인합니다. 이 표현식은 대/소문자를 구분합니다.

문제

사용자가 내부 웹서버와 같은 내부 리소스에 액세스하려고 하면 403 액세스 거부 오류가 표시됩니다.

해결 방법

1. 사용자가 리소스에 매핑된 사용자 그룹의 일부인지 확인합니다.
2. 리소스에 매핑된 사용자 그룹이 로컬에서 생성된 사용자 그룹이고 디렉터리 서비스에서 동기화되지 않았는지 확인합니다.
3. 디렉터리 서비스 설정에서 그룹 구성이 올바른지 확인합니다. 예를 들어 Microsoft Entra ID(Azure AD)에서 가져온 사용자 그룹에 보안이 설정되어 있는지 확인합니다.
4. Sophos Central에서 ZTNA 정책을 사용하도록 설정합니다.
5. ZTNA 에이전트를 사용하여 리소스에 액세스하는 경우 장치의 동기화된 보안 상태가 ZTNA 정책과 일치하는지 확인합니다. 예를 들어, ZTNA는 "녹색" 또는 "노란색" 상태를 표시할 수 있습니다.

문제

사용자가 ZTNA 사용자 포털에서 앱을 볼 수 없습니다.

해결 방법

1. 가져온 사용자 그룹에 보안이 설정되어 있는지 확인합니다.

2. 리소스 및 액세스로 이동하고 앱을 클릭하여 설정을 편집합니다.

3. 사용자가 자신에게 필요한 앱에 대해 할당된 사용자 그룹에 있는지 확인합니다. 사용자는 액세스가 승인된 앱만 볼 수 있습니다.

4. 관리자가 앱을 추가할 때 사용자 포털에 리소스 표시를 선택했는지 확인합니다.

문제

사용자가 ZTNA 사용자 포털에 액세스하려고 하면 ID 공급자의 로그인 화면이 표시됩니다. 로그인한 후에 사용자 포털로 돌아가지 않습니다.

해결 방법

IdP(ID 공급자) 설정에 올바른 리디렉션 URI를 지정했는지 확인합니다.

Microsoft Entra ID(Azure AD)가 IdP인 경우, ZTNA 앱을 등록할 때 리디렉션 URI를 지정했습니다. 디렉터리 서비스 설정을 참조하십시오.

Okta가 IdP인 경우 Okta에서 앱 통합을 생성할 때 로그인 리디렉션 URI를 지정했습니다. ID 공급자 설정에서 Okta 지침을 참조하십시오.

문제

ZTNA 에이전트를 설치한 후에 nslookup를 사용하여 DNS 조회를 수행하는 경우 간혹 실패합니다.

해결 방법

조회에 사용할 네트워크 어댑터를 지정합니다.

ZTNA 에이전트를 설치하면 기본 TAP 어댑터가 변경됩니다. nslookup를 사용하여 DNS 조회를 수행하는 경우 기본적으로 ZTNA TAP 어댑터가 사용됩니다. ZTNA 게이트웨이 뒤에 있지 않은 앱의 조회는 실패합니다.

이 문제를 방지하려면 nslookup 명령에 올바른 어댑터를 추가하십시오. 예:

nslookup <FQDN-to-be-resolved><DNS-Server>

해결 방법

Sophos Central에서 다운로드한 ISO 파일이 첨부되어 있는지 확인합니다.

해결 방법

네트워크 인터페이스 구성을 확인합니다. 게이트웨이의 네트워크 설정을 편집해야 하는 경우 Sophos Central에서 게이트웨이의 새 인스턴스를 만들고 새 ISO 파일을 다운로드합니다.

해결 방법

네트워크 인터페이스 구성을 확인합니다. 게이트웨이의 네트워크 설정을 편집해야 하는 경우 Sophos Central에서 게이트웨이의 새 인스턴스를 만들고 새 ISO 파일을 다운로드합니다.

해결 방법

DNS 서버 구성을 확인하고 ntp.ubuntu.com이(가) 확인될 수 있는지 확인합니다.

해결 방법

DNS 서버 구성을 확인하고 sophos.jfrog.io이(가) 확인될 수 있는지 확인합니다.

해결 방법

네트워크 인터페이스 구성을 확인합니다. ntp.ubuntu.com에 연결할 수 없는 경우 ZTNA 서비스가 시작되지 않습니다.

해결 방법

ZTNA 요구 사항에 언급된 모든 URL이 허용되는지 확인합니다. 허용된 웹 사이트.

해결 방법

게이트웨이가 시작된 후 서비스가 시작되기까지 최대 10분이 소요될 수 있습니다. 10분 후에도 서비스가 시작되지 않으면 아래 단계를 따르십시오.

게이트웨이의 시간이 Kubernetes의 시간과 동기화되는지 확인합니다. 또한 표준 시간대가 UTC인지 확인합니다.

게이트웨이가 인터넷에 연결할 수 있는지 확인합니다.

게이트웨이 클러스터를 DHCP 모드로 구성하는 경우 게이트웨이의 IP 주소가 변경되지 않았는지 확인합니다.

게이트웨이 플랫폼이 VMware ESXi인 경우 시작할 때 CD-ROM이 VM 인스턴스에 연결되어 있는지 확인합니다.

게이트웨이 클러스터의 노드 중 절반 이상이 활성 상태인지 확인합니다.

여전히 서비스가 시작되지 않으면 Sophos 지원 팀에 문의하여 도움을 요청하십시오.

해결 방법

Sophos 지원팀에 문의하여 추가 지원을 받으십시오.

해결 방법

Sophos 지원팀에 문의하여 추가 지원을 받으십시오.

해결 방법

Sophos Central에 대한 연결을 확인합니다.

해결 방법

게이트웨이가 성공적으로 등록되었는지 확인하고 Sophos Central에 대한 연결을 확인하십시오.

해결 방법

Sophos Central에서 게이트웨이를 승인합니다.

해결 방법

게이트웨이를 부팅할 때 매핑된 ISO를 확인합니다. 최신 ISO가 사용되었는지 확인하고 게이트웨이를 다시 배포합니다.

해결 방법

표시된 동적 URL이 확인되도록 방화벽 설정이 업데이트되었는지 확인합니다.

해결 방법

Sophos Central에 대한 연결을 확인합니다.

해결 방법

게이트웨이 플랫폼에서 설정을 확인합니다. 시간 불일치로 인해 연결 문제가 발생합니다.

해결 방법

게이트웨이 플랫폼에서 설정을 확인합니다. 시간 불일치로 인해 연결 문제가 발생합니다.

해결 방법

게이트웨이 클러스터의 이름은 64자 이하여야 합니다. AWS는 클러스터 이름을 64자로 제한합니다.

새 스택을 만들기 전에 이전에 생성한 스택 중 실패한 상태인 스택을 모두 지워야 합니다.