Pular para o conteúdo

Solução de problemas

Configuração

O link 'Launch stack' para o gateway não funciona

Problema

Quando você adiciona um gateway AWS, o link 'Launch stack' do AWS não funciona.

O que fazer

Nas configurações do seu site, selecione "Permitir" para as janelas pop-up. Por padrão, a configuração é "Bloquear".

O gateway no ESXi não é exibido como pronto para aprovar

Problema

O gateway hospedado no ESXi não mostra um botão "Aprovar" no Sophos Central após a implantação.

O que fazer

  1. Verifique se o gateway pode se conectar a esses URLs. Se não puder, dê permissão. Use a porta 443, a menos que especificado de outra forma.

    • sophos.jfrog.io
    • \*.amazonaws.com
    • production.cloudflare.docker.com
    • \*.docker.io
    • \*.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com (Porta 22)
    • sentry.io
    • \*.okta.com (se você usar o Okta como provedor de identidade)
  2. Certifique-se de que o ESXi tenha a versão mais recente do firmware.

  3. Certifique-se de que a hora esteja definida corretamente (GMT 0) no ESXi.

  4. Confirme que o CD-ROM está anexado. Se não estiver, desligue a VM e volte a anexá-lo. Se isso falhar, recrie a VM do gateway.

  5. Execute uma sondagem de TCP na interface interna:6443 para garantir que K3S esteja em execução.

  6. Se o gateway estiver atrás do Sophos Firewall, entre no firewall, vá para Diagnóstico > Captura de pacotes e ative a captura de pacotes, ou configure a filtragem da Web, para ver quais solicitações apresentam falha. Você também pode fazer isso em um firewall de terceiros.

O gateway no AWS não é exibido como pronto para aprovar

Problema

Depois de concluir a configuração do gateway no AWS, você não vê um botão Aprovar na página Gateways no Sophos Central.

O que fazer

Aguarde até uma hora para que o gateway fique disponível. Depois, verifique se há falhas na criação da pilha. Para isso, vá para a lista de recursos do CloudFormation no Painel de Controle de Gerenciamento de AWS.

Nenhum grupo de usuário está disponível para ter acesso aos recursos

Problema

Quando você adiciona um recurso ao ZTNA, não há grupos de usuários aos quais você possa dar permissão de acesso a ele.

O que fazer

Verifique se o seu serviço de diretório (Azure AD ou Active Directory) tem grupos de usuários e se eles estão sincronizados no Sophos Central.

Os certificados não são mostrados na página 'Editar gateway'

Problema

Ao abrir a página Editar gateway, você não vê os certificados que carregou quando adicionou o gateway.

O que fazer

Isso foi projetado assim. Não é possível exibir os certificados atuais ali.

ZTNA em endpoints

O ZTNA é mostrado como 'Não configurado' nos endpoints

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Não configurado".

O que fazer

Vá para Dispositivos > Computadores (ou Servidores). Verifique se o agente ZTNA está instalado no dispositivo. Se estiver instalado, você verá uma marca de seleção verde. Se não estiver, você verá um sinal de mais. Clique nele para instalar o ZTNA.

O ZTNA é mostrado com o aviso 'Zero Trust Network Access: Erro' nos endpoints

Problema

Quando você abre o Sophos Endpoint em um dispositivo gerenciado pelo Sophos Central, a página Status mostra "Zero Trust Network Access: Erro". Isso indica que há um problema de conexão.

O que fazer

  1. Verifique se há uma política ZTNA configurada no Sophos Central.

  2. Verifique se o FQDN do gateway pode ser resolvido.

  3. Verifique se a configuração do adaptador Sophos TAP falhou.

Grupos de usuários

Os grupos de usuários perdem o acesso

Problema

Os usuários em um grupo de usuários do Azure AD que anteriormente tinham acesso a um aplicativo não podem mais acessá-lo.

Causa

Se você alterar o nome de um grupo de usuários do Azure AD que recebeu acesso a um aplicativo, a lista Grupos de usuários atribuídos no ZTNA não é atualizada para refletir a alteração. Os usuários não conseguirão acessar o aplicativo.

O que fazer

  1. Vá para Zero Trust Network Access > Recursos e acesso.

Menu Recursos e acesso

  1. Na página Recursos e acesso, localize o aplicativo e clique nele para editar seus detalhes.

Lista de recursos

  1. Na caixa de diálogo Editar recurso, faça o seguinte:

    1. Vá para a seção Atribuir grupos de usuários.
    2. Em Grupos de usuários disponíveis, localize o grupo de usuários renomeado e marque a caixa de seleção ao lado dele.
    3. Mova o grupo para Grupos de usuários atribuídos e marque a caixa de seleção ao lado dele.
    4. Clique em Salvar.

    Caixa de diálogo Editar recurso

O usuário foi adicionado a um grupo de usuários permitido, mas não pode acessar o aplicativo

Problema

Você adicionou um usuário a um grupo de usuários permitido para um aplicativo, mas o usuário vê um erro 403 Acesso Negado.

O que fazer

Se o usuário tiver sido adicionado recentemente, peça que tente novamente mais tarde. As alterações a grupos de usuários podem levar até uma hora para entrar em vigor.

Como alternativa, se for um aplicativo Web, peça ao usuário para entrar no modo Incógnito ou Privado no navegador e tentar novamente.

O usuário foi removido de um grupo de usuários permitido, mas continua podendo acessar o aplicativo

Problema

Você removeu o usuário de um grupo de usuários permitido para um aplicativo, mas ele ainda pode acessá-lo.

O que fazer

Verifique novamente mais tarde. As alterações ao grupo de usuários permitido podem levar até uma hora para entrar em vigor.

Problemas de acesso

O usuário vê um erro 404 Não Encontrado quando tenta acessar um aplicativo sem agente

Problema

Quando o usuário tenta acessar um aplicativo que foi configurado para acesso sem agente, ele vê um erro 404 Não Encontrado.

O que fazer

Nas suas configurações de gerenciamento de DNS, faça o seguinte:

  1. Verifique se você tem um registro CNAME para o aplicativo que aponta para o FQDN do gateway.

  2. Certifique-se de não ter um registro CNAME para nenhum aplicativo que é acessado por meio de um agente ZTNA.

O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente

Problema

O usuário vê um erro 403 Acesso Negado quando tenta acessar um aplicativo sem agente.

O que fazer

  1. Verifique se você ativou todas as Permissões de API necessárias para o seu provedor de identidade.

    Para o Azure, você precisa destas permissões de API do Microsoft Graph:

    • Directory.Read.All (delegada)
    • Directory.Read.All (aplicativo)
    • Group.Read.All (delegada)
    • openID (delegada)
    • profile (delegada)
    • User.Read (delegada)
    • User.Read.All (delegada)

    Atualmente, você também precisa de uma permissão da API do Azure AD: Directory.ReadWrite.All (aplicativo). Consulte Registrar o aplicativo ZTNA.

    Para Okta:

    • okta.groups.read
    • okta.idps.read (Você só precisa disto se usar AD Sync)
  2. Verifique se a política ZTNA permite acesso ao aplicativo.

  3. Verifique se o usuário está em um grupo de usuários atribuído para o aplicativo.

  4. Verifique se você tem conectividade de rede ao provedor de identidade:

    Para Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    Para Okta:

    • *.okta.com
O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente

Problema

O usuário vê um erro de solicitação de upstream quando tenta acessar um aplicativo sem agente.

O que fazer

  1. Verifique se o aplicativo está acessível a partir da rede em que o gateway ZTNA está.

  2. Verifique se o aplicativo ainda está em execução.

  3. Se o FQDN interno ou o endereço IP for exibido, certifique-se de que ele seja resolvido para o aplicativo.

  4. Se você usar um servidor DNS privado, verifique se ele está em execução e se resolve para o FQDN externo do aplicativo.

  5. Verifique se os números de porta especificados para o aplicativo estão corretos.

O usuário é autenticado, mas não consegue acessar um aplicativo que precisa do agente ZTNA

Problema

O usuário é autenticado, mas não consegue acessar um aplicativo.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique se os certificados são válidos em heartbeat.xml.

O usuário perde o acesso a um aplicativo acessado por meio do agente ZTNA

Problema

O usuário podia acessar um aplicativo anteriormente, mas não pode mais.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique se os certificados são válidos em heartbeat.xml

  3. Verifique se o ZTNA é mostrado com o status de integridade "vermelho" na IU do Sophos Endpoint.

O usuário não vê a tela de início de sessão do IDP na primeira vez que tenta acessar os aplicativos

Problema

O IDP deveria solicitar ao usuário que inicie uma sessão na primeira vez que tenta acessar aplicativos. Se isso não está acontecendo, o usuário não pode acessar os aplicativos.

O que fazer

Verifique se o dispositivo do usuário pode contatar o gateway ZTNA.

O usuário não vê uma janela pop-up de início de sessão quando tenta acessar um aplicativo que precisa do agente

Problema

O usuário deveria ver um navegador pop-up que solicita o início de sessão quando tenta acessar um aplicativo que precisa do agente ZTNA. Caso contrário, ele não pode acessar o aplicativo.

O que fazer

  1. Verifique os logs SNTP para ver se há erros.

  2. Verifique as configurações de DNS. O servidor DNS não deve ter um registro CNAME para o aplicativo.

  3. Verifique se o processo do agente ZTNA está em execução.

O usuário pode acessar um aplicativo, mas os links no aplicativo não funcionam

Problema

O usuário pode acessar um aplicativo, mas links para outros aplicativos não funcionam.

O que fazer

Adicione os outros aplicativos ao ZTNA, conforme descrito em Adicionar recursos. Isso permite que o ZTNA dê acesso ao usuário quando ele clicar nos links.

O usuário é autenticado, mas não é redirecionado para o aplicativo

Problema

O usuário vê a tela de login e é autenticado, mas não é redirecionado para o aplicativo que tentou acessar.

O que fazer

Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

Se o Azure AD for o provedor de identidade, você especificou o URI de redirecionamento quando registrou o aplicativo ZTNA. Consulte Registrar o aplicativo ZTNA.

Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

Portal do usuário ZTNA

O usuário não pode ver os aplicativos no portal do usuário ZTNA

Problema

O usuário não pode ver nenhum aplicativo no portal do usuário ZTNA.

Nota

Atualmente, o portal não mostra aplicativos que são acessados por meio do agente ZTNA. Os usuários veem apenas aplicativos sem agente.

O que fazer

  1. Vá para Recursos e acesso e clique em um aplicativo para editar suas configurações.

  2. Verifique se o usuário está em grupos de usuários atribuídos para os aplicativos necessários. Os usuários só podem ver os aplicativos que estão autorizados a acessar.

  3. Verifique se o administrador selecionou Exibir recurso no portal do usuário quando adicionou os aplicativos.

O usuário inicia uma sessão, mas não recebe acesso ao portal do usuário ZTNA

Problema

O usuário tenta acessar o portal do usuário ZTNA e vê a tela de início de sessão do provedor de identidade. Após o início de sessão, ele não é retornado ao portal do usuário.

O que fazer

Verifique se você especificou o URI de redirecionamento correto nas configurações do provedor de identidade.

Se o Azure AD for o provedor de identidade, você especificou o URI de redirecionamento quando registrou o aplicativo ZTNA. Consulte Configurar serviço de diretório.

Se o Okta for o provedor de identidade, você especificou o Sign-in redirect URI quando criou uma integração de aplicativo no Okta. Consulte as instruções do Okta em Configurar um provedor de identidade.

Problemas de DNS

As pesquisas de DNS falham após a instalação do agente ZTNA

Problema

Depois de instalar o agente ZTNA, se você usar nslookup para fazer uma pesquisa de DNS, às vezes ocorrem falhas.

O que fazer

Especifique o adaptador de rede para a pesquisa a ser usado.

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão.

Para evitar esse problema, adicione o adaptador correto ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Diagnóstico ZTNA

Esta seção descreve os motivos pelos quais um gateway pode falhar nos testes de diagnóstico e as etapas que você pode seguir para corrigir o problema.

Diagnóstico da rede

Não é possível ler a configuração da interface

O que fazer

Verifique se o arquivo ISO baixado do Sophos Central está anexado.

A interface eth0 não recebeu o IP

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

A interface eth1 não recebeu o IP

O que fazer

Verifique a configuração da interface de rede. Se precisar editar as configurações de rede do gateway, crie uma nova instância do gateway no Sophos Central e faça download de um novo arquivo ISO.

Diagnóstico DNS

O Gateway ZTNA não conseguiu resolver ntp.ubuntu.com

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que ntp.ubuntu.com pode ser resolvido.

O Gateway ZTNA não conseguiu resolver o Sophos Central

O que fazer

Verifique a configuração do seu servidor DNS e certifique-se de que sophos.jfrog.io pode ser resolvido.

Diagnóstico de conectividade de rede

Falha ao contatar ntp.ubuntu.com na porta 123

O que fazer

Verifique a configuração da interface de rede. Se não for possível acessar ntp.ubuntu.com, os serviços ZTNA não serão iniciados.

Falha ao contatar sophos.jfrog.io na porta 443

O que fazer

Certifique-se de que todas as URLs mencionadas nos requisitos ZTNA sejam permitidas: Sites da Web Permitidos.

Diagnóstico de serviços da Sophos

Nota

Se encontrar erros no diagnóstico de serviços da Sophos, aguarde de 5 a 10 minutos e execute o diagnóstico novamente. Se o mesmo erro for encontrado, reinicie o gateway. Se o mesmo erro ocorrer após seguir essas duas etapas, entre em contato com o suporte da Sophos.

O serviço Kubernetes não está em execução

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

O Redis Pod não está em execução

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

Os pods do cluster não estão em estado de execução

O que fazer

Entre em contato com o Suporte da Sophos para obter mais ajuda.

O gateway não está registrado no Sophos Central

O que fazer

Verifique a conectividade ao Sophos Central.

Falha ao localizar detalhes do gateway

O que fazer

Verifique se o gateway foi registrado com sucesso e verifique a conectividade com o Sophos Central.

Aguarde até que o gateway se registre e se conecte ao Sophos Central

O que fazer

Aprove o gateway no Sophos Central.

Não é possível resolver o FQDN do Sophos Central

O que fazer

Verifique se as configurações do firewall estão atualizadas para garantir que a URL dinâmica exibida seja resolvida.

Nota

URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.

Não é possível se conectar à URL dinâmica do Sophos Central na porta 443

O que fazer

Verifique a conectividade ao Sophos Central.

Nota

URLs dinâmicas (por exemplo: https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com) são geradas com base na região onde a conta do usuário está localizada. A URL dinâmica é exibida na mensagem de erro do console do gateway.

Diagnóstico de hora

O horário no cluster de Kubernetes e o horário local têm uma diferença maior do que 60 segundos

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.

O horário do NTP e o horário local têm uma diferença maior do que 60 segundos

O que fazer

Verifique as configurações na plataforma do gateway. Uma incompatibilidade de horário leva a problemas de conectividade.