跳至內容

排疑解難

設定

閘道的「啟動堆疊」連結無法運作

問題

當您新增 AWS 閘道時,AWS 的「啟動堆疊」連結無法運作。

如何進行

在您的網站設定中,針對快顯視窗選取「允許」。預設情況下,該設定爲「封鎖」。

ESXi 上的閘道未顯示為等待核准

問題

部署後,ESXi 上的閘道不會在 Sophos Central 中顯示「核准」按鈕。

如何進行

  1. 檢查您的閘道是否可以連接到這些 URL。如果不能,請允許連接。除非另有說明,否則使用連接埠 443。

    • sophos.jfrog.io
    • \*.amazonaws.com
    • production.cloudflare.docker.com
    • \*.docker.io
    • \*.sophos.com
    • login.microsoftonline.com
    • graph.microsoft.com
    • ztna.apu.sophos.com(埠 22)
    • sentry.io
    • \*.okta.com(如果您將 Okta 作為身分識別提供者)
  2. 確保 ESXi 具有最新的韌體版本。

  3. 確保 ESXi 上的時間設定正確 (GMT 0)。

  4. 確保 CD-ROM 已連接。如果沒有,請關閉虛擬機並重新連接。如果失敗,請重新建立閘道虛擬機。

  5. 在內部介面 :6443 上執行 TCP 探查以確保 K3S 正在執行。

  6. 如果您的閘道位於 Sophos Firewall 的後面,請登入到防火牆,轉到診斷 > 封包擷取並開啟封包擷取,或者設定 Web 篩選器,以查看哪些請求失敗。您也可以在第三方防火牆上執行此操作。

AWS 上的閘道未顯示為「準備核准」

問題

在 AWS 中完成閘道設定後,您在 Sophos Central 的「閘道」頁面上看不到核准按鈕。

如何進行

最多等待一小時讓閘道可用。 之後,檢查堆疊建立失敗問題。為此,請前往 AWS 管理主控台的 CloudFormation Resources 清單。

沒有可用的使用者群組可存取資源

問題

將資源新增到 ZTNA 時,沒有使用者群組可存取該資源。

如何進行

檢查您的目錄服務(Microsoft Entra ID (Azure AD) 或 Active Directory)是否具有使用者群組,並且它們是否在 Sophos Central 中同步。

憑證未顯示在「編輯閘道」頁面上

問題

當您開啟編輯閘道頁面時,看不到您在新增閘道時上傳的憑證。

如何進行

這是設計如此。您無法在該處檢視目前的憑證。

端點上的 ZTNA

ZTNA 在端點上顯示為「未設定」

問題

在由 Sophos Central 管理的裝置上打開 Sophos Endpoint 時, 狀態頁顯示「Zero Trust Network Access:未設定」。

如何進行

移至裝置 > 電腦 (或伺服器)。檢查裝置上是否安裝了 ZTNA 代理程式。如果已安裝,您會看到綠色勾號。如果沒有,您會看到加號。按一下即可安裝 ZTNA。

ZTNA 在端點上顯示警告「Zero Trust Network Access:錯誤」

問題

在由 Sophos Central 管理的裝置上打開 Sophos Endpoint 時, 狀態頁顯示「Zero Trust Network Access:錯誤」。這表示存在連線問題。

如何進行

  1. 檢查是否已在 Sophos Central 中設定 ZTNA 原則。

  2. 檢查是否可以解析閘道 FQDN。

  3. 檢查 Sophos TAP 介面卡配置是否失敗。

  4. 關閉代理程式上的 IPv6 網路介面。然後將建立通道。

使用者群組

使用者群組失去存取權

問題

Microsoft Entra ID (Azure AD) 使用者群組中以前有權存取某個應用程式的使用者無法再存取該應用程式。

原因

如果您變更了具有某個應用程式存取權的 Microsoft Entra ID (Azure AD) 使用者群組的名稱,ZTNA 中的已指派的使用者群組清單不會更新以反映變更。使用者將無法存取該應用程式。

如何進行

  1. 移至 Zero Trust Network Access > 資源與存取

    資源與存取選單。

  2. 資源與存取頁面上,找到應用程式,然後按一下該應用程式以編輯其詳細資料。

    資源清單。

  3. 編輯資源對話方塊中,執行以下操作:

    1. 移至指派使用者群組區段。
    2. 可用使用者群組中,找到重命名的使用者群組並選中其旁邊的核取方塊。
    3. 將群組移至已指派的使用者群組,並選中其旁邊的核取方塊。
    4. 按一下儲存

    「編輯資源」對話方塊。

使用者已新增至允許的使用者群組,但無法存取應用程式

問題

您已將使用者新增至允許存取應用程式的使用者群組,但使用者卻看到 403 Access Denied 錯誤。

如何進行

如果該使用者為最近新增,請他們稍後再試。對使用者群組的變更最多需要 1 小時才能生效。

或者,如果是網頁版應用程式,請告訴使用者在瀏覽器中進入無痕模式或私密模式,然後再試一次。

使用者已從允許的使用者群組中移除,但仍可存取該應用程式

問題

您已將使用者從允許存取應用程式的使用者群組中移除,但他們仍然可以存取該應用程式。

如何進行

稍後再檢查一次。對允許的使用者群組的變更最多需要 1 小時才能生效。

存取問題

使用者嘗試存取無代理程式應用程式時,看到 404 Not Found 錯誤

問題

當使用者嘗試存取已設定爲無代理存取的應用程式時,他們會看到 404 Not Found 錯誤。

如何進行

在 DNS 管理設定中,執行以下操作:

  1. 檢查您是否有指向閘道 FQDN 的應用程式的 CNAME 記錄。

  2. 請確定您沒有任何透過 ZTNA 代理程式存取的應用程式的 CNAME 記錄。

使用者嘗試存取無代理程式應用程式時,看到 403 Access Denied 錯誤

問題

使用者嘗試存取無代理程式應用程式時,看到 403 Access Denied 錯誤。

如何進行

  1. 檢查您是否已啟用身分識別提供者的所有必要 API 權限。

    對於 Azure,您需要下列 Microsoft Graph API 權限:

    • Directory.Read.All(委派)
    • Directory.Read.All(應用程式)
    • Group.Read.All(委派)
    • openID(委派)
    • profile(委派)
    • User.Read(委派)
    • User.Read.All(委派)

    目前您也需要 Microsoft Entra ID (Azure AD) API 權限:Directory.ReadWrite.All (應用程式)。請參閱註冊 ZTNA 應用程式

    對於Okta:

    • okta.groups.read
    • okta.idps.read(只有在使用 AD Sync 時才需要)
  2. 檢查 ZTNA 原則是否允許存取應用程式。

  3. 檢查使用者是否在應用程式的指派使用者群組中。

  4. 檢查您是否與身分識別提供者建立了網路連接:

    對於 Azure:

    • login.microsoftonline.com
    • graph.microsoft.com

    對於Okta:

    • *.okta.com
使用者嘗試存取無代理程式應用程式時看到上游請求錯誤

問題

使用者嘗試存取無代理應用程式時看到上游請求錯誤。

如何進行

  1. 檢查應用程式是否可從 ZTNA 閘道開啟的網路存取。

  2. 檢查應用程式是否仍在運行。

  3. 如果顯示內部 FQDN 或 IP 位址,請確定其解析為應用程式。

  4. 如果您使用私人 DNS 伺服器,請檢查其是否正在運行,並解析為應用程式的外部 FQDN。

  5. 檢查為應用程式指定的連接埠號碼是否正確。

使用者已驗證,但無法存取需要 ZTNA 代理程式的應用程式

問題

使用者已經過驗證,但無法存取應用程式。

如何進行

  1. 檢查 SNTP 記錄有無錯誤。

  2. 檢查 heartbeat.xml 中的憑證是否有效。

使用者無法存取透過 ZTNA 代理程式存取的應用程式

問題

使用者先前可以存取應用程式,但現在無法再存取。

如何進行

  1. 檢查 SNTP 記錄有無錯誤。

  2. 檢查 heartbeat.xml 中的憑證是否有效

  3. 檢查 ZTNA 在 Sophos Endpoint UI 中是否顯示「紅色」健全狀況。

使用者第一次嘗試存取應用程式時,沒有看到 IDP 登入畫面

問題

IDP 應在使用者第一次嘗試存取應用程式時提示使用者登入。如果沒有提示,使用者就無法存取應用程式。

如何進行

檢查使用者的裝置是否可以與 ZTNA 閘道聯絡。

使用者嘗試存取需要代理程式的應用程式時,沒有看到登入快顯視窗

問題

使用者在嘗試存取需要 ZTNA 代理程式的應用程式時應該會看到快顯視窗,提示他們登入。如果沒有,他們就無法存取應用程式。

如何進行

  1. 檢查 SNTP 記錄有無錯誤。

  2. 檢查 DNS 設定。DNS 伺服器不得有應用程式的 CNAME 記錄。

  3. 檢查 ZTNA 代理程式進程是否正在運行。

使用者可以存取應用程式,但該應用程式中的連結無法運作

問題

使用者可以存取應用程式,但其中指向其他應用程式的連結無法運作。

如何進行

新增資源 中所述,將其他應用程式新增到 ZTNA。這樣,ZTNA 就可以在使用者點按連結時授與使用者存取權限。

使用者已驗證,但未重新導向至應用程式

問題

使用者看到了登入畫面並經過了驗證,但未重新導向至嘗試存取的應用程式。

如何進行

  1. 檢查您是否在身分識別提供者 (IdP) 設定中指定了正確的重新導向 URI。

    • 如果 Microsoft Entra ID (Azure AD) 是 IdP,則在註冊 ZTNA 應用程式時指定了重新導向 URL。請參閱註冊 ZTNA 應用程式
    • 如果 Okta 是 IdP,則您在 Okta 建立應用程式整合時指定了登入重新導向 URI。請參閱 設定身分識別提供者 中的 Okta 說明。
  2. 如果 Okta 是 IdP,請檢查您是否輸入了 "Groups claim expression",並且大寫字母正確。此表達式區分大小寫。

使用者嘗試存取內部資源時,看到 403 Access Denied 錯誤

問題

使用者嘗試存取內部資源(例如內部 Web 伺服器)時,看到 403 Access Denied 錯誤。

如何進行

  1. 確保使用者屬於對應到該資源的使用者群組。
  2. 確保對應到資源的使用者群組是本機建立的使用者群組,而不是從目錄服務同步的群組。
  3. 確保目錄服務設定中的群組設定正確。例如,在 Microsoft Entra ID (Azure AD) 中,確保匯入的使用者群組已啟用安全功能。
  4. 確保您在 Sophos Central 中開啟 ZTNA 原則。
  5. 如果使用 ZTNA 代理程式存取資源,請確保裝置的同步安全性健康狀態與 ZTNA 原則匹配。例如,ZTNA 可能顯示「綠色」或「黃色」健康狀態。

ZTNA 使用者入口網站

使用者在 ZTNA 使用者入口網站中看不到應用程式

問題

使用者在 ZTNA 使用者入口網站中看不到任何應用程式。

注意

目前入口網站不會顯示透過 ZTNA 代理程式存取的應用程式。使用者只能看到無代理程式應用程式。

如何進行

  1. 確保匯入的使用者群組啟用了安全功能。

  2. 移至資源與存取 ,然後按一下應用程式以編輯其設定。

  3. 檢查使用者是否位於所需應用程式的已指派使用者群組中。使用者只能看到他們有權存取的應用程式。

  4. 檢查管理員是否在新增應用程式時選取了在使用者入口網站中顯示資源

使用者已登入但未獲存取 ZTNA 使用者入口網站的權限

問題

使用者嘗試存取 ZTNA 使用者入口網站,看到身分識別提供者的登入畫面。他們登入後,不會返回使用者入口網站。

如何進行

檢查您是否在身分識別提供者 (IdP) 設定中指定了正確的重新導向 URI。

如果 Microsoft Entra ID (Azure AD) 是 IdP,則您在註冊 ZTNA 應用程式時指定了重新導向 URI。請參閱設定目錄服務。

如果 Okta 是 IdP,則您在 Okta 建立應用程式整合時指定了登入重新導向 URI。請參閱 設定身分識別提供者 中的 Okta 說明。

DNS 問題

安裝 ZTNA 代理程式後,DNS 查找失敗

問題

安裝 ZTNA 代理程式後,如果使用 nslookup 進行 DNS 查找,有時會失敗。

如何進行

指定查找要使用的網路介面卡。

安裝 ZTNA 代理程式會變更預設的 TAP 介面卡。如果使用 nslookup 進行 DNS 查找,現在它預設會使用 ZTNA TAP 介面卡。查詢 ZTNA 閘道以外的應用程式將會失敗。

要避免此問題,請將正確的介面卡新增到 nslookup 命令中。例如:

nslookup <FQDN-to-be-resolved><DNS-Server>

ZTNA 診斷

本節介紹閘道可能無法通過診斷測試的原因以及可以採取哪些步驟來解決問題。

網路診斷

無法讀取介面組態

如何進行

驗證是否已連接從 Sophos Central 下載的 ISO 檔案。

介面 eth0 未收到 IP

如何進行

驗證網路介面組態。如果需要編輯閘道的網路設定,請在 Sophos Central 上建立新的閘道執行個體並下載新的 ISO 檔案。

介面 eth1 未收到 IP

如何進行

驗證網路介面組態。如果需要編輯閘道的網路設定,請在 Sophos Central 上建立新的閘道執行個體並下載新的 ISO 檔案。

DNS 診斷

ZTNA Gateway 無法解析 ntp.ubuntu.com

如何進行

檢查 DNS 伺服器組態並確保 ntp.ubuntu.com 可以解析。

ZTNA Gateway 無法解析 Sophos Central

如何進行

檢查 DNS 伺服器組態並確保 sophos.jfrog.io 可以解析。

網路連線診斷

未能在連接埠 123 上聯絡 ntp.ubuntu.com

如何進行

驗證網路介面組態。如果 ntp.ubuntu.com 無法連線,ZTNA 服務將無法啟動。

未能在連接埠 443 上聯絡 sophos.jfrog.io

如何進行

確保允許 ZTNA 要求中提到的所有 URL:允許的網站

Sophos 服務診斷

注意

在 Sophos 服務診斷中遇到錯誤時,請等待 5-10 分鐘,然後重新執行診斷。如果遇到相同的錯誤,請重新啟動閘道。如果在執行這兩個步驟後出現相同的錯誤,請與 Sophos 支援聯絡。

Kubernetes 服務未執行

如何進行

閘道啟動後,服務最多可能需要 10 分鐘才能啟動。如果服務在 10 分鐘後仍未啟動,請執行以下步驟。

確保閘道上的時間與 Kubernetes 中的時間同步。另外,確保時區為 UTC。

確保閘道可以連線至網際網路。

如果在 DHCP 模式下設定閘道叢集,請確保閘道的 IP 位址沒有變更。

如果閘道平台是 VMware ESXi,請確保在啟動 CD-ROM 時將其連接到 VM 執行個體。

確保閘道叢集中至少一半的節點處於作用中狀態。

如果服務仍未啟動,請與 Sophos 支援聯絡以取得幫助。

Redis Pod 未執行

如何進行

請與 Sophos 支援聯絡以獲得進一步的幫助。

叢集 Pod 未處於執行狀態

如何進行

請與 Sophos 支援聯絡以獲得進一步的幫助。

閘道未註冊到 Sophos Central

如何進行

檢查與 Sophos Central 的連線。

找不到閘道詳細資料

如何進行

驗證閘道是否已成功註冊並檢查與 Sophos Central 的連線。

請等待閘道註冊並連線至 Sophos Central

如何進行

批准 Sophos Central 上的閘道。

閘道無法由 Sophos Central 管理,因為服務未執行。Error: <cloud agent name>: crashloopback off <node number>: pending

如何進行

檢查啟動閘道時對應的 ISO。確保使用最新的 ISO 並重新部署閘道。

無法解析 Sophos Central FQDN

如何進行

驗證防火牆設定是否已更新,以確保顯示的動態 URL 得到解析。

注意

動態 URL(例如:https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com)是根據使用者帳戶所在的地區產生的。動態 URL 顯示在閘道主控台的錯誤訊息中。

無法在連接埠 443 上連線至 Sophos Central 動態 URL

如何進行

檢查與 Sophos Central 的連線。

注意

動態 URL(例如:https://ztna-proxy.cloudstation.eu-west-1.prod.hydra.sophos.com)是根據使用者帳戶所在的地區產生的。動態 URL 顯示在閘道主控台的錯誤訊息中。

時間診斷

Kubernetes 叢集時間與本機時間的差異大於 60 秒

如何進行

驗證閘道平台上的設定。時間不匹配導致出現連線問題。

NTP 時間與本機時間的差異大於 60 秒

如何進行

驗證閘道平台上的設定。時間不匹配導致出現連線問題。

AWS 診斷

在 AWS 上建立 ZTNA 閘道失敗,且狀態為 Create_Failed

如何進行

確保閘道叢集的名稱不超過 64 個字元。AWS 會將叢集名稱限制在 64 個字元以內。

在建立新堆疊之前,請確保清除所有先前建立的處於失敗狀態的堆疊。