Solução de problemas
Configuração
O link 'Launch stack' para o gateway não funciona
Problema
Quando você adiciona um gateway AWS, o link 'Launch stack' do AWS não funciona.
O que fazer
Nas configurações do seu site, selecione "Permitir" para as janelas pop-up. Por padrão, a configuração é "Bloquear".
O gateway no ESXi não é exibido como pronto para aprovar
Problema
O gateway hospedado no ESXi não mostra um botão "Aprovar" no Sophos Central após a implantação.
O que fazer
-
Verifique se o gateway pode se conectar a esses URLs. Se não puder, dê permissão. Use a porta 443, a menos que especificado de outra forma.
sophos.jfrog.io
\*.amazonaws.com
production.cloudflare.docker.com
\*.docker.io
\*.sophos.com
login.microsoftonline.com
graph.microsoft.com
ztna.apu.sophos.com
(Porta 22)sentry.io
\*.okta.com
(se você usar o Okta como provedor de identidade)
-
Certifique-se de que o ESXi tenha a versão mais recente do firmware.
-
Certifique-se de que a hora esteja definida corretamente (GMT 0) no ESXi.
-
Confirme que o CD-ROM está anexado. Se não estiver, desligue a VM e volte a anexá-lo. Se isso falhar, recrie a VM do gateway.
-
Execute uma sondagem de TCP na interface interna:6443 para garantir que K3S esteja em execução.
-
Se o gateway estiver atrás do Sophos Firewall, entre no firewall, vá para Diagnóstico > Captura de pacotes e ative a captura de pacotes, ou configure a filtragem da Web, para ver quais solicitações apresentam falha. Você também pode fazer isso em um firewall de terceiros.
O gateway no AWS não é exibido como pronto para aprovar
Problema
Depois de concluir a configuração do gateway no AWS, você não vê um botão Aprovar na página Gateways no Sophos Central.
O que fazer
Aguarde até uma hora para que o gateway fique disponível. Depois, verifique se há falhas na criação da pilha. Para isso, vá para a lista de recursos do CloudFormation no Painel de Controle de Gerenciamento de AWS.
Nenhum grupo de usuário está disponível para ter acesso aos recursos
Problema
Quando você adiciona um recurso ao ZTNA, não há grupos de usuários aos quais você possa dar permissão de acesso a ele.
O que fazer
Verifique se o seu serviço de diretório (Microsoft Entra ID (Azure AD) ou Active Directory) tem grupos de usuários e se eles estão sincronizados no Sophos Central.
Os certificados não são mostrados na página 'Editar gateway'
Problema
Ao abrir a página Editar gateway, você não vê os certificados que carregou quando adicionou o gateway.
O que fazer
Isso foi projetado assim. Não é possível exibir os certificados atuais ali.
ZTNA em endpoints
O ZTNA é mostrado como 'Não configurado' nos endpoints
Problema
Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Não configurado".
O que fazer
Vá para Dispositivos > Computadores (ou Servidores). Verifique se o agente ZTNA está instalado no dispositivo. Se estiver instalado, você verá uma marca de seleção verde. Se não estiver, você verá um sinal de mais. Clique nele para instalar o ZTNA.
O ZTNA é mostrado com o aviso 'Zero Trust Network Access: Erro' nos endpoints
Problema
Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Erro". Isso indica que há um problema de conexão.
O que fazer
-
Verifique se há uma política ZTNA configurada no Sophos Central.
-
Verifique se o FQDN do gateway pode ser resolvido.
-
Verifique se a configuração do adaptador Sophos TAP falhou.
-
Desative a interface de rede IPv6 no agente. O túnel será estabelecido.
Grupos de usuários
Os grupos de usuários perdem o acesso
Problema
Os usuários em um grupo de usuários do Microsoft Entra ID (Azure AD) que anteriormente tinham acesso a um aplicativo não podem mais acessá-lo.
Causa
Se você alterar o nome de um grupo de usuários do Microsoft Entra ID (Azure AD) que recebeu acesso a um aplicativo, a lista Grupos de usuários atribuídos no ZTNA não é atualizada para refletir a alteração. Os usuários não conseguirão acessar o aplicativo.
O que fazer
-
Vá para Zero Trust Network Access > Recursos e acesso.
-
Na página Recursos e acesso, localize o aplicativo e clique nele para editar seus detalhes.
-
Na caixa de diálogo Editar recurso, faça o seguinte:
- Vá para a seção Atribuir grupos de usuários.
- Em Grupos de usuários disponíveis, localize o grupo de usuários renomeado e marque a caixa de seleção ao lado dele.
- Mova o grupo para Grupos de usuários atribuídos e marque a caixa de seleção ao lado dele.
- Clique em Salvar.
O usuário foi adicionado a um grupo de usuários permitido, mas não pode acessar o aplicativo
Problema
Você adicionou um usuário a um grupo de usuários permitido para um aplicativo, mas o usuário vê um erro 403 Acesso Negado.
O que fazer
Se o usuário tiver sido adicionado recentemente, peça que tente novamente mais tarde. As alterações a grupos de usuários podem levar até uma hora para entrar em vigor.
Como alternativa, se for um aplicativo Web, peça ao usuário para entrar no modo Incógnito ou Privado no navegador e tentar novamente.
O usuário foi removido de um grupo de usuários permitido, mas continua podendo acessar o aplicativo
Problema
Você removeu o usuário de um grupo de usuários permitido para um aplicativo, mas ele ainda pode acessá-lo.
O que fazer
Verifique novamente mais tarde. As alterações ao grupo de usuários permitido podem levar até uma hora para entrar em vigor.
Problemas de acesso
O usuário vê um erro 404 Não Encontrado quando tenta acessar um aplicativo sem agente
Problema
Quando o usuário tenta acessar um aplicativo que foi configurado para acesso sem agente, ele vê um erro 404 Não Encontrado.
O que fazer
Nas suas configurações de gerenciamento de DNS, faça o seguinte:
-
Verifique se você tem um registro CNAME para o aplicativo que aponta para o FQDN do gateway.
-
Certifique-se de não ter um registro CNAME para nenhum aplicativo que é acessado por meio de um agente ZTNA.
O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente
Problema
O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente.
O que fazer
-
Verifique se você ativou todas as Permissões de API necessárias para o seu provedor de identidade.
Para o Azure, você precisa destas permissões de API do Microsoft Graph:
- Directory.Read.All (delegada)
- Directory.Read.All (aplicativo)
- Group.Read.All (delegada)
- openID (delegada)
- profile (delegada)
- User.Read (delegada)
- User.Read.All (delegada)
Atualmente, você também precisa de uma permissão da API do Microsoft Entra ID (Azure AD): Directory.ReadWrite.All (aplicativo). Consulte Registrar o aplicativo ZTNA.
Para Okta:
- okta.groups.read
- okta.idps.read (Você só precisa disto se usar AD Sync)
-
Verifique se a política ZTNA permite acesso ao aplicativo.
-
Verifique se o usuário está em um grupo de usuários atribuído para o aplicativo.
-
Verifique se você tem conectividade de rede ao provedor de identidade:
Para Azure:
login.microsoftonline.com
graph.microsoft.com
Para Okta:
*.okta.com
O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente
Problema
O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente.
O que fazer
-
Verifique se o aplicativo está acessível a partir da rede em que o gateway ZTNA está.
-
Verifique se o aplicativo ainda está em execução.
-
Se o FQDN interno ou o endereço IP for exibido, certifique-se de que ele seja resolvido para o aplicativo.
-
Se você usar um servidor DNS privado, verifique se ele está em execução e se resolve para o FQDN externo do aplicativo.
-
Verifique se os números de porta especificados para o aplicativo estão corretos.
O usuário é autenticado, mas não consegue acessar um aplicativo que precisa do agente ZTNA
Problema
O usuário é autenticado, mas não consegue acessar um aplicativo.
O que fazer
-
Verifique os logs SNTP para ver se há erros.
-
Verifique se os certificados são válidos em heartbeat.xml.
O usuário perde o acesso a um aplicativo acessado por meio do agente ZTNA
Problema
O usuário podia acessar um aplicativo anteriormente, mas não pode mais.
O que fazer
-
Verifique os logs SNTP para ver se há erros.
-
Verifique se os certificados são válidos em heartbeat.xml
-
Verifique se o ZTNA é mostrado com o status de integridade "vermelho" na IU do Sophos Endpoint.
O usuário não vê a tela de início de sessão do IDP na primeira vez que tenta acessar os aplicativos
Problema
O IDP deveria solicitar ao usuário que inicie uma sessão na primeira vez que tenta acessar aplicativos. Se isso não está acontecendo, o usuário não pode acessar os aplicativos.
O que fazer
Verifique se o dispositivo do usuário pode contatar o gateway ZTNA.
O usuário não vê uma janela pop-up de início de sessão quando tenta acessar um aplicativo que precisa do agente
Problema
O usuário deveria ver um navegador pop-up que solicita o início de sessão quando tenta acessar um aplicativo que precisa do agente ZTNA. Caso contrário, ele não pode acessar o aplicativo.
O que fazer
-
Verifique os logs SNTP para ver se há erros.
-
Verifique as configurações de DNS. O servidor DNS não deve ter um registro CNAME para o aplicativo.
-
Verifique se o processo do agente ZTNA está em execução.
O usuário pode acessar um aplicativo, mas os links no aplicativo não funcionam
Problema
O usuário pode acessar um aplicativo, mas links para outros aplicativos não funcionam.
O que fazer
Adicione os outros aplicativos ao ZTNA, conforme descrito em Adicionar recursos. Isso permite que o ZTNA dê acesso ao usuário quando ele clicar nos links.
O usuário é autenticado, mas não é redirecionado para o aplicativo
Problema
O usuário vê a tela de login e é autenticado, mas não é redirecionado para o aplicativo que tentou acessar.
O que fazer
-
Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.
- Se o Microsoft Entra ID (Azure AD) for o provedor de identidade (IdP), você especificou o URI de redirecionamento ao registrar o aplicativo ZTNA. Consulte Registrar o aplicativo ZTNA.
- Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.
-
Se Okta for o IdP, verifique se você inseriu "Groups claim expression" com a capitalização correta. Essa expressão diferencia maiúsculas de minúsculas.
O usuário vê um erro 403 Acesso Negado quando tenta acessar um recurso interno
Problema
O usuário vê um erro 403 Acesso Negado quando tenta acessar um recurso interno, por exemplo, um servidor da web interno.
O que fazer
- Certifique-se de que o usuário faça parte de um grupo de usuários mapeado para o recurso.
- Certifique-se de que os grupos de usuários mapeados para o recurso sejam grupos de usuários criados localmente e não sincronizados a partir do serviço de diretório.
- Certifique-se de que a configuração do grupo esteja correta nas definições do serviço de diretório. Por exemplo, no Microsoft Entra ID (Azure AD), certifique-se de que seus grupos de usuários importados estejam habilitados para segurança.
- Certifique-se de ativar a política de ZTNA no Sophos Central.
- Se você estiver acessando o recurso com o agente ZTNA, verifique se o status de integridade de segurança sincronizado do dispositivo corresponde à política de ZTNA. Por exemplo, o ZTNA pode mostrar um status de integridade "verde" ou "amarelo".
Portal do usuário ZTNA
O usuário não pode ver os aplicativos no portal do usuário ZTNA
Problema
O usuário não pode ver nenhum aplicativo no portal do usuário ZTNA.
Nota
Atualmente, o portal não mostra aplicativos que são acessados por meio do agente ZTNA. Os usuários veem apenas aplicativos sem agente.
O que fazer
-
Verifique se os grupos de usuários importados têm a segurança habilitada.
-
Vá para Recursos e acesso e clique em um aplicativo para editar suas configurações.
-
Verifique se o usuário está em grupos de usuários atribuídos para os aplicativos necessários. Os usuários só podem ver os aplicativos que estão autorizados a acessar.
-
Verifique se o administrador selecionou Exibir recurso no portal do usuário quando adicionou os aplicativos.
O usuário inicia uma sessão, mas não recebe acesso ao portal do usuário ZTNA
Problema
O usuário tenta acessar o portal do usuário ZTNA e vê a tela de início de sessão do provedor de identidade. Após o início de sessão, ele não é retornado ao portal do usuário.
O que fazer
Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.
Se o Microsoft Entra ID (Azure AD) for o provedor de identidade, você especificou o URI de redirecionamento quando registrou o aplicativo ZTNA. Consulte Configurar serviço de diretório.
Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.
Problemas de DNS
As pesquisas de DNS falham após a instalação do agente ZTNA
Problema
Depois de instalar o agente ZTNA, se você usar nslookup
para fazer uma pesquisa de DNS, às vezes ocorrem falhas.
O que fazer
Especifique o adaptador de rede para a pesquisa a ser usado.
A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup
para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão.
Para evitar esse problema, adicione o adaptador correto ao seu comando nslookup
. Por exemplo:
nslookup <FQDN-to-be-resolved><DNS-Server>
Diagnóstico ZTNA
Esta seção descreve os motivos pelos quais um gateway pode falhar nos testes de diagnóstico e as etapas que você pode seguir para corrigir o problema.
Diagnóstico da rede
Não é possível ler a configuração da interface
O que fazer
Verifique se o arquivo ISO baixado do Sophos Central está anexado.
A interface eth0 não recebeu o IP
O que fazer
Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.
A interface eth1 não recebeu o IP
O que fazer
Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.
Diagnóstico DNS
O Gateway ZTNA não conseguiu resolver ntp.ubuntu.com
O que fazer
Verifique a configuração do seu servidor DNS e certifique-se de que ntp.ubuntu.com
pode ser resolvido.
O Gateway ZTNA não conseguiu resolver o Sophos Central
O que fazer
Verifique a configuração do seu servidor DNS e certifique-se de que sophos.jfrog.io
pode ser resolvido.
Diagnóstico de conectividade de rede
Falha ao contatar ntp.ubuntu.com
na porta 123
O que fazer
Verifique a configuração da interface de rede. Se não for possível acessar ntp.ubuntu.com
, os serviços ZTNA não serão iniciados.
Falha ao contatar sophos.jfrog.io
na porta 443
O que fazer
Certifique-se de que todas as URLs mencionadas nos requisitos ZTNA sejam permitidas: Sites da Web Permitidos.
Diagnóstico de serviços da Sophos
Nota
Se encontrar erros no diagnóstico de serviços da Sophos, aguarde de 5 a 10 minutos e execute o diagnóstico novamente. Se o mesmo erro for encontrado, reinicie o gateway. Se o mesmo erro ocorrer após seguir essas duas etapas, entre em contato com o suporte da Sophos.
O serviço Kubernetes não está em execução
O que fazer
Pode levar até 10 minutos para que o serviço seja iniciado após iniciar o gateway. Siga as etapas abaixo se o serviço não iniciar após 10 minutos.
Certifique-se de que a hora no gateway esteja sincronizada com a hora no Kubernetes. Além disso, certifique-se de que o fuso horário seja UTC.
Certifique-se de que o gateway possa se conectar à Internet.
Se você configurar seu cluster de gateway no modo DHCP, certifique-se de que os endereços IP de seus gateways não tenham sido alterados.
Se a plataforma do gateway for VMware ESXi, certifique-se de que o CD-ROM esteja conectado à instância da VM quando você iniciá-la.
Certifique-se de que pelo menos metade dos nós do cluster do gateway estejam ativos.
Se o serviço ainda assim não iniciar, entre em contato com o Suporte da Sophos para obter ajuda.
O Redis Pod não está em execução
O que fazer
Entre em contato com o Suporte da Sophos para obter mais ajuda.
Os pods do cluster não estão em estado de execução
O que fazer
Entre em contato com o Suporte da Sophos para obter mais ajuda.
O gateway não está registrado no Sophos Central
O que fazer
Verifique a conectividade ao Sophos Central.
Falha ao localizar detalhes do gateway
O que fazer
Verifique se o gateway foi registrado com sucesso e verifique a conectividade com o Sophos Central.
Aguarde até que o gateway se registre e se conecte ao Sophos Central
O que fazer
Aprove o gateway no Sophos Central.
O gateway não pode ser gerenciado pelo Sophos Central porque os serviços não estão em execução. Error: <cloud agent name>: crashloopback off <node number>: pending
O que fazer
Verifique o ISO que é mapeado ao reinicializar o gateway. Certifique-se de que o ISO mais recente seja usado e implante novamente o gateway.
Não é possível resolver o FQDN do Sophos Central
O que fazer
Verifique se as configurações do firewall estão atualizadas para garantir que a URL dinâmica exibida seja resolvida.
Nota
URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.
Não é possível se conectar à URL dinâmica do Sophos Central na porta 443
O que fazer
Verifique a conectividade ao Sophos Central.
Nota
URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com
) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.
Diagnóstico de hora
O horário no cluster de Kubernetes e o horário local têm uma diferença maior do que 60 segundos
O que fazer
Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.
O horário do NTP e o horário local têm uma diferença maior do que 60 segundos
O que fazer
Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.
Diagnóstico da AWS
A criação do gateway ZTNA na AWS falha com o status Create_Failed
.
O que fazer
Certifique-se de que o nome do cluster de gateway tem 64 caracteres ou menos. A AWS restringe o nome do cluster a 64 caracteres.
Certifique-se de eliminar todas as pilhas criadas anteriormente que apresentam estado de falha antes de criar uma nova pilha.