Solução de problemas

Problema

Quando você adiciona um gateway AWS, o link 'Launch stack' do AWS não funciona.

O que fazer

Nas configurações do seu site, selecione "Permitir" para as janelas pop-up. Por padrão, a configuração é "Bloquear".

Problema

O gateway hospedado no ESXi não mostra um botão "Aprovar" no Sophos Central após a implantação.

O que fazer

1. Verifique se o gateway pode se conectar a esses URLs. Se não puder, dê permissão. Use a porta 443, a menos que especificado de outra forma.

   • sophos.jfrog.io
   • \*.amazonaws.com
   • production.cloudflare.docker.com
   • \*.docker.io
   • \*.sophos.com
   • login.microsoftonline.com
   • graph.microsoft.com
   • ztna.apu.sophos.com (Porta 22)
   • sentry.io
   • \*.okta.com (se você usar o Okta como provedor de identidade)

2. Certifique-se de que o ESXi tenha a versão mais recente do firmware.

3. Certifique-se de que a hora esteja definida corretamente (GMT 0) no ESXi.

4. Confirme que o CD-ROM está anexado. Se não estiver, desligue a VM e volte a anexá-lo. Se isso falhar, recrie a VM do gateway.

5. Execute uma sondagem de TCP na interface interna:6443 para garantir que K3S esteja em execução.

6. Se o gateway estiver atrás do Sophos Firewall, entre no firewall, vá para Diagnóstico > Captura de pacotes e ative a captura de pacotes, ou configure a filtragem da Web, para ver quais solicitações apresentam falha. Você também pode fazer isso em um firewall de terceiros.

Problema

Depois de concluir a configuração do gateway no AWS, você não vê um botão Aprovar na página Gateways no Sophos Central.

O que fazer

Aguarde até uma hora para que o gateway fique disponível. Depois, verifique se há falhas na criação da pilha. Para isso, vá para a lista de recursos do CloudFormation no Painel de Controle de Gerenciamento de AWS.

Problema

Quando você adiciona um recurso ao ZTNA, não há grupos de usuários aos quais você possa dar permissão de acesso a ele.

O que fazer

Verifique se o seu serviço de diretório (Microsoft Entra ID (Azure AD) ou Active Directory) tem grupos de usuários e se eles estão sincronizados no Sophos Central.

Problema

Ao abrir a página Editar gateway, você não vê os certificados que carregou quando adicionou o gateway.

O que fazer

Isso foi projetado assim. Não é possível exibir os certificados atuais ali.

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Não configurado".

O que fazer

Vá para Dispositivos > Computadores (ou Servidores). Verifique se o agente ZTNA está instalado no dispositivo. Se estiver instalado, você verá uma marca de seleção verde. Se não estiver, você verá um sinal de mais. Clique nele para instalar o ZTNA.

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Erro". Isso indica que há um problema de conexão.

O que fazer

1. Verifique se há uma política ZTNA configurada no Sophos Central.

2. Verifique se o FQDN do gateway pode ser resolvido.

3. Verifique se a configuração do adaptador Sophos TAP falhou.

4. Desative a interface de rede IPv6 no agente. O túnel será estabelecido.

Problema

Os usuários em um grupo de usuários do Microsoft Entra ID (Azure AD) que anteriormente tinham acesso a um aplicativo não podem mais acessá-lo.

Causa

Se você alterar o nome de um grupo de usuários do Microsoft Entra ID (Azure AD) que recebeu acesso a um aplicativo, a lista Grupos de usuários atribuídos no ZTNA não é atualizada para refletir a alteração. Os usuários não conseguirão acessar o aplicativo.

O que fazer

1. Vá para Zero Trust Network Access > Recursos e acesso.

   

2. Na página Recursos e acesso, localize o aplicativo e clique nele para editar seus detalhes.

   

3. Na caixa de diálogo Editar recurso, faça o seguinte:

   1. Vá para a seção Atribuir grupos de usuários.
   2. Em Grupos de usuários disponíveis, localize o grupo de usuários renomeado e marque a caixa de seleção ao lado dele.
   3. Mova o grupo para Grupos de usuários atribuídos e marque a caixa de seleção ao lado dele.
   4. Clique em Salvar.

   

Problema

Você adicionou um usuário a um grupo de usuários permitido para um aplicativo, mas o usuário vê um erro 403 Acesso Negado.

O que fazer

Se o usuário tiver sido adicionado recentemente, peça que tente novamente mais tarde. As alterações a grupos de usuários podem levar até uma hora para entrar em vigor.

Como alternativa, se for um aplicativo Web, peça ao usuário para entrar no modo Incógnito ou Privado no navegador e tentar novamente.

Problema

Você removeu o usuário de um grupo de usuários permitido para um aplicativo, mas ele ainda pode acessá-lo.

O que fazer

Verifique novamente mais tarde. As alterações ao grupo de usuários permitido podem levar até uma hora para entrar em vigor.

Problema

Quando o usuário tenta acessar um aplicativo que foi configurado para acesso sem agente, ele vê um erro 404 Não Encontrado.

O que fazer

Nas suas configurações de gerenciamento de DNS, faça o seguinte:

1. Verifique se você tem um registro CNAME para o aplicativo que aponta para o FQDN do gateway.

2. Certifique-se de não ter um registro CNAME para nenhum aplicativo que é acessado por meio de um agente ZTNA.

Problema

O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente.

O que fazer

1. Verifique se você ativou todas as Permissões de API necessárias para o seu provedor de identidade.

   Para o Azure, você precisa destas permissões de API do Microsoft Graph:

   • Directory.Read.All (delegada)
   • Directory.Read.All (aplicativo)
   • Group.Read.All (delegada)
   • openID (delegada)
   • profile (delegada)
   • User.Read (delegada)
   • User.Read.All (delegada)

   Atualmente, você também precisa de uma permissão da API do Microsoft Entra ID (Azure AD): Directory.ReadWrite.All (aplicativo). Consulte Registrar o aplicativo ZTNA.

   Para Okta:

   • okta.groups.read
   • okta.idps.read (Você só precisa disto se usar AD Sync)

2. Verifique se a política ZTNA permite acesso ao aplicativo.

3. Verifique se o usuário está em um grupo de usuários atribuído para o aplicativo.

4. Verifique se você tem conectividade de rede ao provedor de identidade:

   Para Azure:

   • login.microsoftonline.com
   • graph.microsoft.com

   Para Okta:

   • *.okta.com

Problema

O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente.

O que fazer

1. Verifique se o aplicativo está acessível a partir da rede em que o gateway ZTNA está.

2. Verifique se o aplicativo ainda está em execução.

3. Se o FQDN interno ou o endereço IP for exibido, certifique-se de que ele seja resolvido para o aplicativo.

4. Se você usar um servidor DNS privado, verifique se ele está em execução e se resolve para o FQDN externo do aplicativo.

5. Verifique se os números de porta especificados para o aplicativo estão corretos.

Problema

O usuário é autenticado, mas não consegue acessar um aplicativo.

O que fazer

1. Verifique os logs SNTP para ver se há erros.

2. Verifique se os certificados são válidos em heartbeat.xml.

Problema

O usuário podia acessar um aplicativo anteriormente, mas não pode mais.

O que fazer

1. Verifique os logs SNTP para ver se há erros.

2. Verifique se os certificados são válidos em heartbeat.xml

3. Verifique se o ZTNA é mostrado com o status de integridade "vermelho" na IU do Sophos Endpoint.

Problema

O IDP deveria solicitar ao usuário que inicie uma sessão na primeira vez que tenta acessar aplicativos. Se isso não está acontecendo, o usuário não pode acessar os aplicativos.

O que fazer

Verifique se o dispositivo do usuário pode contatar o gateway ZTNA.

Problema

O usuário deveria ver um navegador pop-up que solicita o início de sessão quando tenta acessar um aplicativo que precisa do agente ZTNA. Caso contrário, ele não pode acessar o aplicativo.

O que fazer

1. Verifique os logs SNTP para ver se há erros.

2. Verifique as configurações de DNS. O servidor DNS não deve ter um registro CNAME para o aplicativo.

3. Verifique se o processo do agente ZTNA está em execução.

Problema

O usuário pode acessar um aplicativo, mas links para outros aplicativos não funcionam.

O que fazer

Adicione os outros aplicativos ao ZTNA, conforme descrito em Adicionar recursos. Isso permite que o ZTNA dê acesso ao usuário quando ele clicar nos links.

Problema

O usuário vê a tela de login e é autenticado, mas não é redirecionado para o aplicativo que tentou acessar.

O que fazer

1. Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

   • Se o Microsoft Entra ID (Azure AD) for o provedor de identidade (IdP), você especificou o URI de redirecionamento ao registrar o aplicativo ZTNA. Consulte Registrar o aplicativo ZTNA.
   • Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

2. Se Okta for o IdP, verifique se você inseriu "Groups claim expression" com a capitalização correta. Essa expressão diferencia maiúsculas de minúsculas.

Problema

O usuário vê um erro 403 Acesso Negado quando tenta acessar um recurso interno, por exemplo, um servidor da web interno.

O que fazer

1. Certifique-se de que o usuário faça parte de um grupo de usuários mapeado para o recurso.
2. Certifique-se de que os grupos de usuários mapeados para o recurso sejam grupos de usuários criados localmente e não sincronizados a partir do serviço de diretório.
3. Certifique-se de que a configuração do grupo esteja correta nas definições do serviço de diretório. Por exemplo, no Microsoft Entra ID (Azure AD), certifique-se de que seus grupos de usuários importados estejam habilitados para segurança.
4. Certifique-se de ativar a política de ZTNA no Sophos Central.
5. Se você estiver acessando o recurso com o agente ZTNA, verifique se o status de integridade de segurança sincronizado do dispositivo corresponde à política de ZTNA. Por exemplo, o ZTNA pode mostrar um status de integridade "verde" ou "amarelo".

Problema

O usuário não pode ver nenhum aplicativo no portal do usuário ZTNA.

O que fazer

1. Verifique se os grupos de usuários importados têm a segurança habilitada.

2. Vá para Recursos e acesso e clique em um aplicativo para editar suas configurações.

3. Verifique se o usuário está em grupos de usuários atribuídos para os aplicativos necessários. Os usuários só podem ver os aplicativos que estão autorizados a acessar.

4. Verifique se o administrador selecionou Exibir recurso no portal do usuário quando adicionou os aplicativos.

Problema

O usuário tenta acessar o portal do usuário ZTNA e vê a tela de início de sessão do provedor de identidade. Após o início de sessão, ele não é retornado ao portal do usuário.

O que fazer

Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

Se o Microsoft Entra ID (Azure AD) for o provedor de identidade, você especificou o URI de redirecionamento quando registrou o aplicativo ZTNA. Consulte Configurar serviço de diretório.

Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

Problema

Depois de instalar o agente ZTNA, se você usar nslookup para fazer uma pesquisa de DNS, às vezes ocorrem falhas.

O que fazer

Especifique o adaptador de rede para a pesquisa a ser usado.

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão.

Para evitar esse problema, adicione o adaptador correto ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

O que fazer

Verifique se o arquivo ISO baixado do Sophos Central está anexado.

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que ntp.ubuntu.com pode ser resolvido.

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que sophos.jfrog.io pode ser resolvido.

O que fazer

Verifique a configuração da interface de rede. Se não for possível acessar ntp.ubuntu.com, os serviços ZTNA não serão iniciados.

O que fazer

Certifique-se de que todas as URLs mencionadas nos requisitos ZTNA sejam permitidas: Sites da Web Permitidos.

O que fazer

Pode levar até 10 minutos para que o serviço seja iniciado após iniciar o gateway. Siga as etapas abaixo se o serviço não iniciar após 10 minutos.

Certifique-se de que a hora no gateway esteja sincronizada com a hora no Kubernetes. Além disso, certifique-se de que o fuso horário seja UTC.

Certifique-se de que o gateway possa se conectar à Internet.

Se você configurar seu cluster de gateway no modo DHCP, certifique-se de que os endereços IP de seus gateways não tenham sido alterados.

Se a plataforma do gateway for VMware ESXi, certifique-se de que o CD-ROM esteja conectado à instância da VM quando você iniciá-la.

Certifique-se de que pelo menos metade dos nós do cluster do gateway estejam ativos.

Se o serviço ainda assim não iniciar, entre em contato com o Suporte da Sophos para obter ajuda.

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

O que fazer

Verifique a conectividade ao Sophos Central.

O que fazer

Verifique se o gateway foi registrado com sucesso e verifique a conectividade com o Sophos Central.

O que fazer

Aprove o gateway no Sophos Central.

O que fazer

Verifique o ISO que é mapeado ao reinicializar o gateway. Certifique-se de que o ISO mais recente seja usado e implante novamente o gateway.

O que fazer

Verifique se as configurações do firewall estão atualizadas para garantir que a URL dinâmica exibida seja resolvida.

O que fazer

Verifique a conectividade ao Sophos Central.

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.

O que fazer

Certifique-se de que o nome do cluster de gateway tem 64 caracteres ou menos. A AWS restringe o nome do cluster a 64 caracteres.

Certifique-se de eliminar todas as pilhas criadas anteriormente que apresentam estado de falha antes de criar uma nova pilha.