Pular para o conteúdo

Solução de problemas

Configuração

O gateway no ESXi não é exibido como pronto para aprovar

Problema

O gateway hospedado no ESXi não mostra um botão "Aprovar" no Sophos Central após a implantação.

O que fazer

  1. Verifique se o gateway pode se conectar a esses URLs. Se não puder, dê permissão. Use a porta 443, a menos que especificado de outra forma.

    • sophos.jfrog.io
    • \*.amazonaws.com
    • production.cloudflare.docker.com
    • \*.docker.io
    • \*.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Porta 22)
    • sentry.io
    • \*.okta.com (se você usar o Okta como provedor de identidade)

  2. Certifique-se de que o ESXi tenha a versão mais recente do firmware.

  3. Certifique-se de que a hora esteja definida corretamente (GMT 0) no ESXi.

  4. Confirme que o CD-ROM está anexado. Se não estiver, desligue a VM e volte a anexá-lo. Se isso falhar, recrie a VM do gateway.

  5. Execute uma sondagem de TCP na interface interna:6443 para garantir que K3S esteja em execução.

  6. Se o gateway estiver atrás do Sophos Firewall, entre no firewall, vá para Diagnóstico > Captura de pacotes e ative a captura de pacotes, ou configure a filtragem da Web, para ver quais solicitações apresentam falha. Você também pode fazer isso em um firewall de terceiros.

Nenhum grupo de usuário está disponível para ter acesso aos recursos

Problema

Quando você adiciona um recurso ao ZTNA, não há grupos de usuários aos quais você possa dar permissão de acesso a ele.

O que fazer

Verifique se o seu serviço de diretório (Microsoft Entra ID (Azure AD) ou Active Directory) tem grupos de usuários e se eles estão sincronizados no Sophos Central.

Os certificados não são mostrados na página 'Editar gateway'

Problema

Ao abrir a página Editar gateway, você não vê os certificados que carregou quando adicionou o gateway.

O que fazer

Isso foi projetado assim. Não é possível exibir os certificados atuais ali.

O nome de domínio não é validado quando você cria recursos.

Problema

A criação de recursos sem agente ZTNA falha. A mensagem apresentada é: "O domínio não está validado". Isso ocorre porque os recursos são adicionados com o nome FQDN do gateway em vez do nome do domínio.

O que fazer

Ao criar recursos, use o nome de domínio, não o nome FQDN do gateway. Por exemplo, use test123.local em vez de ztna.test123.local.

Provedor de identidade Microsoft AD (no local)

O teste de conexão IdP falha para um usuário do AD no local, o que significa que o usuário não pode acessar recursos.

Problema

Se o usuário do AD no local pertencer apenas ao grupo primário no servidor de AD, a verificação de grupo no servidor ZTNA falhará e o usuário não poderá acessar recursos.

O que fazer

Adicione o usuário a outros grupos do AD e configure esses grupos para acessar recursos no ZTNA.

Erro de servidor de AD primário. Causa: host inacessível. Verificar configuração.

Problema

O servidor de AD primário e o gateway ZTNA não estão se conectando.

O que fazer

Verifique se o servidor de AD primário está acessível a partir do gateway ZTNA e se você configurou corretamente o nome do host, o IP e a porta.

Erro de servidor de AD primário. Causa: credenciais de administrador inválidas. Verificar configuração.

Problema

As configurações do servidor de AD primário não estão corretas.

O que fazer

  1. Verifique se as configurações de Bind DN e Bind Password estão corretas.
  2. Verifique se a porta LDAP está habilitada para TLS. Normalmente, a porta 389 é usada para fazer conexões LDAP não seguras e a porta 636 é usada para fazer conexões LDAP seguras.
Erro de servidor de AD primário. Causa: configuração de pesquisa de usuário inválida. Verificar configuração.

Problema

Este erro pode ser causado por um erro de digitação no DN de Base, configurações avançadas mal configuradas, configurações de teste incorretas ou configurações incorretas do servidor de AD primário.

O que fazer

  1. Verifique se as configurações de Usuário e Grupo de Usuário estão corretas.
  2. Verifique se o usuário com o qual você testou existe no servidor de AD.
  3. Verifique se o campo de e-mail do usuário no servidor de AD primário contém um endereço de e-mail válido. Se o endereço de e-mail digitado para um usuário estiver em branco ou for inválido, a conexão de teste falhará.
  4. Se você inseriu um endereço de e-mail para o seu usuário nas configurações avançadas, teste a conexão com o endereço de e-mail em vez do nome de usuário.
  5. Verifique se o servidor de AD primário está acessível a partir do gateway ZTNA e se você configurou corretamente o nome do host, o IP e a porta.
  6. Certifique-se de que seus usuários sejam membros de outro grupo de usuários, além do grupo de usuários primário no servidor de AD primário.
O gateway ZTNA <gateway_name> perdeu a conexão com o IDP <IDP_name_and_IP>

Problema

A verificação de integridade do servidor de AD primário falha quando os usuários tentam acessar um aplicativo.

O que fazer

  1. Verifique se o usuário existe no servidor de AD.
  2. Se você usou as configurações padrão avançadas ao configurar o AD no local como seu IdP, entre com seu nome de usuário sem adicionar o nome de domínio.
Erro interno de servidor. Erro de login: host inacessível.

O que fazer

Verifique se o servidor de AD primário está acessível a partir do gateway ZTNA e se você configurou corretamente o nome do host, o IP e a porta.

Erro interno de servidor. Erro de login: ldap.

O que fazer

Verifique se as configurações de Usuário e Grupo de Usuário estão corretas.

Erro interno de servidor. Erro de login.

O que fazer

Verifique se os valores de e-mail, nome e ID definidos na configuração avançada também estão definidos no servidor de AD.

O gateway ZTNA <gateway_name> não é capaz de enviar OTP por e-mail pelo servidor de AD <SMTP_server_name_and_port_number>

Problema

O gateway ZTNA não pode se conectar ao servidor SMTP.

O que fazer

Se você não receber um código de confirmação da MFA, verifique a configuração do servidor SMTP.

ZTNA em endpoints

O ZTNA é mostrado como 'Não configurado' nos endpoints

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Não configurado".

O que fazer

Vá para Dispositivos > Computadores (ou Servidores). Verifique se o agente ZTNA está instalado no dispositivo. Se estiver instalado, você verá uma marca de seleção verde. Se não estiver, você verá um sinal de mais. Clique nele para instalar o ZTNA.

O ZTNA é mostrado com o aviso 'Zero Trust Network Access: Erro' nos endpoints

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Erro". Isso indica que há um problema de conexão.

O que fazer

  1. Verifique se há uma política ZTNA configurada no Sophos Central.

  2. Verifique se o FQDN do gateway pode ser resolvido.

  3. Verifique se a configuração do adaptador Sophos TAP falhou.

  4. Desative a interface de rede IPv6 no agente. O túnel será estabelecido.

Grupos de usuários

Os grupos de usuários perdem o acesso

Problema

Os usuários em um grupo de usuários do Microsoft Entra ID (Azure AD) que anteriormente tinham acesso a um aplicativo não podem mais acessá-lo.

Causa

Se você alterar o nome de um grupo de usuários do Microsoft Entra ID (Azure AD) que recebeu acesso a um aplicativo, a lista Grupos de usuários atribuídos no ZTNA não é atualizada para refletir a alteração. Os usuários não conseguirão acessar o aplicativo.

O que fazer

  1. Vá para Zero Trust Network Access > Recursos e acesso.

    Menu Recursos e acesso.

  2. Na página Recursos e acesso, localize o aplicativo e clique nele para editar seus detalhes.

    Lista de recursos.

  3. Na caixa de diálogo Editar recurso, faça o seguinte:

    1. Vá para a seção Atribuir grupos de usuários.
    2. Em Grupos de usuários disponíveis, localize o grupo de usuários renomeado e marque a caixa de seleção ao lado dele.
    3. Mova o grupo para Grupos de usuários atribuídos e marque a caixa de seleção ao lado dele.
    4. Clique em Salvar.

    Caixa de diálogo Editar recurso.

O usuário foi adicionado a um grupo de usuários permitido, mas não pode acessar o aplicativo

Problema

Você adicionou um usuário a um grupo de usuários permitido para um aplicativo, mas o usuário vê um erro 403 Acesso Negado.

O que fazer

Se o usuário tiver sido adicionado recentemente, peça que tente novamente mais tarde. As alterações a grupos de usuários podem levar até uma hora para entrar em vigor.

Como alternativa, se for um aplicativo Web, peça ao usuário para entrar no modo Incógnito ou Privado no navegador e tentar novamente.

O usuário foi removido de um grupo de usuários permitido, mas continua podendo acessar o aplicativo

Problema

Você removeu o usuário de um grupo de usuários permitido para um aplicativo, mas ele ainda pode acessá-lo.

O que fazer

Verifique novamente mais tarde. As alterações ao grupo de usuários permitido podem levar até uma hora para entrar em vigor.

Problemas de acesso

O usuário vê um erro 404 Não Encontrado quando tenta acessar um aplicativo sem agente

Problema

Quando o usuário tenta acessar um aplicativo que foi configurado para acesso sem agente, ele vê um erro 404 Não Encontrado.

O que fazer

Nas suas configurações de gerenciamento de DNS, faça o seguinte:

  1. Verifique se você tem um registro CNAME para o aplicativo que aponta para o FQDN do gateway.

  2. Certifique-se de não ter um registro CNAME para nenhum aplicativo que é acessado por meio de um agente ZTNA.

O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente

Problema

O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente.

O que fazer

  1. Verifique se você ativou todas as Permissões de API necessárias para o seu provedor de identidade.

    Para o Azure, você precisa destas permissões de API do Microsoft Graph:

    • Directory.Read.All (delegada)
    • Directory.Read.All (aplicativo)
    • Group.Read.All (delegada)
    • openID (delegada)
    • profile (delegada)
    • User.Read (delegada)
    • User.Read.All (delegada)

    Atualmente, você também precisa de uma permissão da API do Microsoft Entra ID (Azure AD): Directory.ReadWrite.All (aplicativo). Consulte Registrar o aplicativo ZTNA.

    Para Okta:

    • okta.groups.read
    • okta.idps.read (Você só precisa disto se usar AD Sync)

  2. Verifique se a política ZTNA permite acesso ao aplicativo.

  3. Verifique se o usuário está em um grupo de usuários atribuído para o aplicativo.

  4. Verifique se você tem conectividade de rede ao provedor de identidade:

    Para Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Para Okta:

    • *.okta.com
O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente

Problema

O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente.

O que fazer

  1. Verifique se o aplicativo está acessível a partir da rede em que o gateway ZTNA está.

  2. Verifique se o aplicativo ainda está em execução.

  3. Se o FQDN interno ou o endereço IP for exibido, certifique-se de que ele seja resolvido para o aplicativo.

  4. Se você usar um servidor DNS privado, verifique se ele está em execução e se resolve para o FQDN externo do aplicativo.

  5. Verifique se os números de porta especificados para o aplicativo estão corretos.

O usuário é autenticado, mas não consegue acessar um aplicativo que precisa do agente ZTNA

Problema

O usuário é autenticado, mas não consegue acessar um aplicativo.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique se os certificados são válidos em heartbeat.xml.

O usuário perde o acesso a um aplicativo acessado por meio do agente ZTNA

Problema

O usuário podia acessar um aplicativo anteriormente, mas não pode mais.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique se os certificados são válidos em heartbeat.xml

  3. Verifique se o ZTNA é mostrado com o status de integridade "vermelho" na IU do Sophos Endpoint.

O usuário não vê a tela de início de sessão do IDP na primeira vez que tenta acessar os aplicativos

Problema

O IDP deveria solicitar ao usuário que inicie uma sessão na primeira vez que tenta acessar aplicativos. Se isso não está acontecendo, o usuário não pode acessar os aplicativos.

O que fazer

Verifique se o dispositivo do usuário pode contatar o gateway ZTNA.

O usuário não vê uma janela pop-up de início de sessão quando tenta acessar um aplicativo que precisa do agente

Problema

O usuário deveria ver um navegador pop-up que solicita o início de sessão quando tenta acessar um aplicativo que precisa do agente ZTNA. Caso contrário, ele não pode acessar o aplicativo.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique as configurações de DNS. O servidor DNS não deve ter um registro CNAME para o aplicativo.

  3. Verifique se o processo do agente ZTNA está em execução.

O usuário pode acessar um aplicativo, mas os links no aplicativo não funcionam

Problema

O usuário pode acessar um aplicativo, mas links para outros aplicativos não funcionam.

O que fazer

Adicione os outros aplicativos ao ZTNA, conforme descrito em Adicionar recursos. Isso permite que o ZTNA dê acesso ao usuário quando ele clicar nos links.

O usuário é autenticado, mas não é redirecionado para o aplicativo

Problema

O usuário vê a tela de login e é autenticado, mas não é redirecionado para o aplicativo que tentou acessar.

O que fazer

  1. Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

    • Se o Microsoft Entra ID (Azure AD) for o provedor de identidade (IdP), você especificou o URI de redirecionamento ao registrar o aplicativo ZTNA. Consulte Registrar o aplicativo ZTNA.
    • Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

  2. Se Okta for o IdP, verifique se você inseriu "Groups claim expression" com a capitalização correta. Essa expressão diferencia maiúsculas de minúsculas.

O usuário vê um erro 403 Acesso Negado quando tenta acessar um recurso interno

Problema

O usuário vê um erro 403 Acesso Negado quando tenta acessar um recurso interno, por exemplo, um servidor da web interno.

O que fazer

  1. Certifique-se de que o usuário faça parte de um grupo de usuários mapeado para o recurso.
  2. Certifique-se de que a configuração do grupo esteja correta nas definições do serviço de diretório. Por exemplo, no Microsoft Entra ID (Azure AD), certifique-se de que seus grupos de usuários importados estejam habilitados para segurança.
  3. Certifique-se de ativar a política de ZTNA no Sophos Central.

Portal do usuário ZTNA

O usuário não pode ver os aplicativos no portal do usuário ZTNA

Problema

O usuário não pode ver nenhum aplicativo no portal do usuário ZTNA.

Nota

Atualmente, o portal não mostra aplicativos que são acessados por meio do agente ZTNA. Os usuários veem apenas aplicativos sem agente.

O que fazer

  1. Verifique se os grupos de usuários importados têm a segurança habilitada.

  2. Vá para Recursos e acesso e clique em um aplicativo para editar suas configurações.

  3. Verifique se o usuário está em grupos de usuários atribuídos para os aplicativos necessários. Os usuários só podem ver os aplicativos que estão autorizados a acessar.

  4. Verifique se o administrador selecionou Exibir recurso no portal do usuário quando adicionou os aplicativos.

O usuário inicia uma sessão, mas não recebe acesso ao portal do usuário ZTNA

Problema

O usuário tenta acessar o portal do usuário ZTNA e vê a tela de início de sessão do provedor de identidade. Após o início de sessão, ele não é retornado ao portal do usuário.

O que fazer

Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

Se o Microsoft Entra ID (Azure AD) for o provedor de identidade, você especificou o URI de redirecionamento quando registrou o aplicativo ZTNA. Consulte Configurar serviço de diretório.

Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

Problemas de DNS

As pesquisas de DNS falham após a instalação do agente ZTNA

Problema

Depois de instalar o agente ZTNA, se você usar nslookup para fazer uma pesquisa de DNS, às vezes ocorrem falhas.

O que fazer

Especifique o adaptador de rede para a pesquisa a ser usado.

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão.

Para evitar esse problema, adicione o adaptador correto ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Diagnóstico ZTNA

Esta seção descreve os motivos pelos quais um gateway pode falhar nos testes de diagnóstico e as etapas que você pode seguir para corrigir o problema.

Diagnóstico da rede

Não é possível ler a configuração da interface

O que fazer

Verifique se o arquivo ISO baixado do Sophos Central está anexado.

A interface eth0 não recebeu o IP

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

A interface eth1 não recebeu o IP

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

Diagnóstico DNS

O Gateway ZTNA não conseguiu resolver ntp.ubuntu.com

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que ntp.ubuntu.com pode ser resolvido.

O Gateway ZTNA não conseguiu resolver o Sophos Central

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que sophos.jfrog.io pode ser resolvido.

Diagnóstico de conectividade de rede

Falha ao contatar ntp.ubuntu.com na porta 123

O que fazer

Verifique a configuração da interface de rede. Se não for possível acessar ntp.ubuntu.com, os serviços ZTNA não serão iniciados.

Falha ao contatar sophos.jfrog.io na porta 443

O que fazer

Certifique-se de que todas as URLs mencionadas nos requisitos ZTNA sejam permitidas: Sites da Web Permitidos.

Diagnóstico de serviços da Sophos

Nota

Se encontrar erros no diagnóstico de serviços da Sophos, aguarde de 5 a 10 minutos e execute o diagnóstico novamente. Se o mesmo erro for encontrado, reinicie o gateway. Se o mesmo erro ocorrer após seguir essas duas etapas, entre em contato com o suporte da Sophos.

O serviço Kubernetes não está em execução

O que fazer

Pode levar até 10 minutos para que o serviço seja iniciado após iniciar o gateway. Siga as etapas abaixo se o serviço não iniciar após 10 minutos.

Certifique-se de que a hora no gateway esteja sincronizada com a hora no Kubernetes. Além disso, certifique-se de que o fuso horário seja UTC.

Certifique-se de que o gateway possa se conectar à Internet.

Se você configurar seu cluster de gateway no modo DHCP, certifique-se de que os endereços IP de seus gateways não tenham sido alterados.

Se a plataforma do gateway for VMware ESXi, certifique-se de que o CD-ROM esteja conectado à instância da VM quando você iniciá-la.

Certifique-se de que pelo menos metade dos nós do cluster do gateway estejam ativos.

Se o serviço ainda assim não iniciar, entre em contato com o Suporte da Sophos para obter ajuda.

O Redis Pod não está em execução

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

Os pods do cluster não estão em estado de execução

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

O gateway não está registrado no Sophos Central

O que fazer

Verifique a conectividade ao Sophos Central.

Falha ao localizar detalhes do gateway

O que fazer

Verifique se o gateway foi registrado com sucesso e verifique a conectividade com o Sophos Central.

Aguarde até que o gateway se registre e se conecte ao Sophos Central

O que fazer

Aprove o gateway no Sophos Central.

O gateway não pode ser gerenciado pelo Sophos Central porque os serviços não estão em execução. Error: <cloud agent name>: crashloopback off <node number>: pending

O que fazer

Verifique o ISO que é mapeado ao reinicializar o gateway. Certifique-se de que o ISO mais recente seja usado e implante novamente o gateway.

Não é possível resolver o FQDN do Sophos Central

O que fazer

Verifique se as configurações do firewall estão atualizadas para garantir que a URL dinâmica exibida seja resolvida.

Nota

URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.

Não é possível se conectar à URL dinâmica do Sophos Central na porta 443

O que fazer

Verifique a conectividade ao Sophos Central.

Nota

URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.

Diagnóstico de hora

O horário no cluster de Kubernetes e o horário local têm uma diferença maior do que 60 segundos

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.

O horário do NTP e o horário local têm uma diferença maior do que 60 segundos

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.