認証のトラブルシューティング

ターミナルサーバーユーザー（Citrixなど）は、シンクライアントを使用してサインインする必要があります。認証に失敗した場合、以下の手順に従って問題をトラブルシューティングしてください。

問題

ターミナルサーバユーザーは認証できません。

ユーザーは、多くの理由で認証できない場合があります。次の手順に従って、システムが正しく設定されていることを確認し、見つかった問題を修正します。

解決方法

1. Sophos Firewall のコマンドラインインターフェースにサインインします。
2. 次のオプションを選択します「4.デバイスコンソール」。

3. 次のコマンドを入力します。

   system auth thin-client show

   これにより、ターミナルサーバーの IP アドレスが一覧表示されます。想定されるすべての IP アドレスが表示されていることを確認します。

4. 上記の手順でターミナルサーバーが表示されない場合は、次のコマンドを使用してターミナルサーバーを追加します。

   system auth thin-client add citrix-ip IPADDRESS

   サーバーのIPアドレスにIPADDRESSを置き換えてください。

5. Sophos Firewall で、「認証サーバーの設定」を確認します。「認証 > サービス」の順に選択して、Active Directory サーバーが「ファイアウォール認証手段」のセクションで選択されていることを確認します。

6. ターミナルサーバーが SATC イベントを Sophos Firewall に送信するように設定されていることを確認します。レジストリを使用して Windows Server に SATC をセットアップするを参照してください。
7. サーバーに、送信元ポートを変更する可能性のあるプロキシまたはセキュリティソフトウェアがインストールされているかどうかを確認します。インストールされている場合、Sophos Firewall でポートの不一致が発生し、トラフィックが未認証として扱われます。

Kerberos と NTLM の一般的な問題のトラブルシューティングを行います。

問題

Kerberos と NTLM が設定されている場合、クライアントデバイスは認証に失敗します。

認証失敗の一般的な問題は、構成エラー、ドメイン参加の失敗、および、Kerberosの場合、エンドポイントとSophosファイアウォールの間での鍵バージョン番号（KVNO）の一致しないことです。\

解決方法

1. 「認証> サーバー」に移動します。

2. AD サーバーをクリックし、「接続のテスト」をクリックします。

   接続に失敗した場合は、 AD 接続の問題を解決する必要があります。接続に成功した場合は、次の手順を続行します。

3. 「ルールとポリシー > ファイアウォールルール」で、影響を受けるクライアントに対して Kerberos および NTLM トラフィックを許可するファイアウォールルールが設定されていることを確認します。

4. 「管理 > デバイスのアクセス」に移動し、クライアントが認証を行うゾーンで「AD SSO」が設定されていることを確認します。これは通常、 LAN ゾーンです。
5. Sophos Firewall を明示的プロキシとして設定した場合は、ブラウザの設定でホスト名が使用されていることを確認します。IPアドレスを使用した場合、クライアントはNTLM認証のみを許可します。
6. Sophos Firewall のコマンドラインインターフェースにサインインします。
7. 次のオプションを選択します「5.デバイス管理」。続いて次のオプションを選択します。「3.Advanced Shell」。
8. 次のコマンドを使用して、nasm サービスが実行されていることを確認します。service -S | grep -i "nasm"
9. クライアントと Sophos Firewall でプロキシ名が一致しない場合は、Sophos Firewall に対する AD 上のホストレコードが、以下で設定されているホスト名と一致することを確認します: 管理 > 管理の設定 > ホスト名
10. KVNO が一致しない場合、ユーザーはサインアウトして再度サインインするか、Sophos Firewall のドメインへの参加をやり直す必要があります。この問題は通常、Sophos Firewall のホスト名が変更されたときに発生します。

問題

透過モードの HTTP プロキシで、Active Directory SSO を使って NTLM 認証を試行すると、認証エラーになります。ブラウザに認証情報を求めるポップアップが表示されるか、またはキャプティブポータルに誘導されます。

ブラウザは、ログイン認証情報 (シングルサインオン) を要求しているサイトがローカルであることが確実な場合にのみ、自動的にログイン情報を送信します。そのため、要求元のサイトがドメインを含まないホスト名であるか (myfirewall など)、または、ブラウザが要求元のサイトを信頼するように設定する必要があります。

Sophos Firewall のデフォルトの設定では、プロキシは IP を含む URL にリダイレクトされます。ドメインを含まないホスト名か、または FQDN を使用するように変更してください。

解決方法

1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。

   1. 「ホスト名」を入力します。組織ドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。たとえば、myfirewall.mycompany.com と入力します。

2. ブラウザが信頼する証明書を選択します。

   注

   Sophos Firewall にインストールされている自己署名証明書は、信頼された証明機関から発行されたものではなく、ここで設定したホスト名 (FQDN) には対応していません。ブラウザの証明書に関する警告を解除するには、トラフィックがリダイレクトされるホスト名またはFQDNに対応する証明書が必要です。

   1. Sophos Firewall のホスト名に対応する新しい証明書をインストールする場合は、「証明書」メニューからインストールできます。詳しくは、HTTPS インスペクション用の下位 CA をインストールするを参照してください。

   2. 「管理コンソールとエンドユーザー間の操作 > 証明書」で、ドロップダウンメニューから証明書を選択します。

      証明書は、公開証明書機関から購入することができ、すべてのクライアントから自動的に信頼されます。または、エンドポイントコンピュータが信頼するように設定済みの内部の証明機関 (CA) からの自己署名証明書を使用することもできます。

3. プロキシのリダイレクト URL を設定します。

   1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。

   2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      注

      選択した方法を使用して、エンドポイントコンピュータがSophosファイアウォールを解決できることを確認します。DNS サーバーにエントリを追加する必要がある場合があります。

4. ドメインを含まないホスト名を使用してリダイレクトしている場合、ブラウザには要求元がローカルであることが表示され、自動的に信頼されて SSO が実行されます。

5. FQDN を使用してリダイレクトする場合は、AD グループポリシーを使って Sophos Firewall の FQDN を信頼するようにブラウザを設定してください。ブラウザにFQDNを手動で追加するには、次のようにします。

   Microsoft Edge、Google Chrome

   1. Windows のコントロールパネルを開きます。
   2. 「インターネットオプション > セキュリティ > ローカルインターネット」に移動します。
   3. 「サイト」、「詳細設定」の順にクリックします。
   4. 「この Web サイトをゾーンに追加する」フィールドに FQDN を入力し、「追加」をクリックします。

   Firefox

   1. Firefox のアドレスバーに about:config と入力して、「Enter」を押します。
   2. 「network.automatic-ntlm-auth.trusted-uris 」に FQDN を入力します。

問題

透過モードの HTTP プロキシで、Active Directory SSO を使って Kerberos 認証を試行すると、認証エラーになります。この場合、認証に NTLM またはキャプティブポータルが使用されます。

ブラウザは、認証情報の要求元サイトが Kerberos ドメインの一部であることが確実な場合にのみ、Kerberos ログイン (シングルサインオン) を自動的に実行します。この場合、要求元のサイトであるSophos Firewall は、アクティブディレクトリ（AD）サーバー上のファイアウォールのサービスプリンシパル名（SPN）と一致するリダイレクトにホスト名またはFQDNを使用する必要があります。

解決方法

1. Sophos Firewall でホスト名を設定します。「管理 > 管理の設定 > ホスト名」に移動します。

   ホスト名を入力します。組織ドメインに一致する完全修飾ドメイン名 (FQDN) を使用してください。例: myfirewall.mycompany.com。

   Sophos Firewall が AD ドメインに参加すると、AD コンピュータ名が割り当てられ、2つの SPN エントリが自動的に作成されます。

   • 1つは、ドメインを含まないホスト名です。これは、「管理の設定 > ホスト名」 フィールドで設定した FQDN の最初の部分です。
   • もう 1つは、このホスト名の末尾に AD ドメインを付与したものです。

   たとえば、Sophos Firewall の「ホスト名」フィールドに myfirewall.mycompany.com と設定し、ADドメイン mycompany.local に参加している場合は、myfirewall と myfirewall.mycompany.local という 2つの SPN が作成されます。

   警告

   通常、DNS と Active Directory で使用するドメイン名は同じです。つまり、DNS FQDN とActive Directory のコンピュータ名は同じです。自動的に作成された SPN は、「管理の設定 > ホスト名」フィールドと一致します。Active Directory と DNS が異なるドメイン名（たとえば、mycompany.com と mycompany.local）を使用している場合、リダイレクトに DNS 名を使用したいと考えています。その場合、AD ドメインコントローラー上で SPN を手動で作成する必要があります。

2. プロキシのリダイレクト URL を設定します。設定済みの FQDN か、別の FQDN (AD コンピュータ名など) か、またはドメイン名を含まないホスト名を設定します。どれを使用する場合でも、必ず SPN と一致させてください。

   1. 設定済みの FQDN を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「ファイアウォールに設定されたホスト名を使用する」を選択します。

   2. 別の FQDN か、またはドメインを含まないホスト名を使用するには、「管理 > 管理の設定 > 管理コンソールとエンドユーザー間の操作」に移動し、「別のホスト名を使用する」を選択して、ホスト名を入力します。

      注

      選択した方法を使用して、エンドポイントコンピュータがSophosファイアウォールを解決できることを確認します。DNS サーバーにエントリを追加する必要がある場合があります。

      AD SSO にリダイレクトされると、SPN と照合されます。信頼できない場合、Kerberos 認証が実行されません。

      • ドメインを含まないホスト名の場合は、そのホスト名に対して自動作成された SPN と一致する必要があります。
      • AD FQDN の場合、AD コンピュータ名の FQDN に対して自動作成された SPN と一致する必要があります。
      • DNS FQDN の場合、手動で作成した DNS SPN と一致する必要があります。

問題

Live ユーザーに、エンドポイントデバイス名がユーザー名として表示されます。

エンドポイントデバイスにユーザーがサインインしていないときに、オペレーティングシステムの Web リクエスト (Windows Update など) が行われると、SSO 認証でユーザー名ではなくエンドポイントデバイス名が送信されることがあります。

解決方法

ユーザーにエンドポイントデバイスにサインインしてもらいます。

問題

NTLM 認証を使用したときに、ユーザーがキャプティブポータルにリダイレクトされます。

NTLM 認証に失敗しました。NTLM 認証が失敗する一般的な原因は以下のとおりです。

• ユーザーのアクセス時間が制限されている。
• ユーザーのネット閲覧クォータまたはネットワークトラフィッククォータを超過した。
• 入力した認証情報が正しくない。

解決方法

• 該当するユーザーに、アクセス時間、ネット閲覧クォータ、ネットワークトラフィッククォータが適用されているかどうかを確認します。詳細は、プロファイルを参照してください。
• ユーザーが正しい認証情報を入力したかどうかを確認します。

問題

ファイアウォール上で、IP アドレスからのトラフィックが検出されれると、STAS コレクターにユーザー情報リクエストが送信されます。返信を待機している間、そのアドレスから生成されるトラフィックはファイアウォールで破棄されます。

ファイアウォールと STAS コレクター間の通信がタイムアウトすることがあります。

解決方法

STAS コレクターがあるエンドポイントコンピュータで、次を確認します。

• エンドポイントコンピュータの電源が入っていることを確認します。
• STAS サービスが稼働中であることを確認します。
• Windows Firewall で UDP ポート 6060 および 6677 が開いている必要があります。
• エンドポイントコンピュータ上のウイルス対策プログラムが通信を妨害していないことを確認します。
• エンドポイントコンピュータに複数の NIC がある場合は、STAS が別のインターフェースにバインドされていないかどうかを確認します。

ファイアウォールで次を確認します。

• STAS コレクターが IPsec トンネルのリモート側にある場合は、システム生成トラフィックの SNAT IP アドレスを設定してください。

問題

STASユーザーはSTASを介してサインインできません。または、サインインできますが、現在の活動 > ライブユーザーに表示されません。

Live ユーザーに一部の STAS ユーザーが表示されない理由は多数考えられます。以下の手順に従って、環境が正しく設定されていることを確認し、問題が見つかった場合は修正してください。

解決方法

次の事柄を確認してください。

• Sophos Firewall で、外部認証サーバーの認証情報を正しく入力している。
• ファイアウォールとサーバーが通信できている。
• ユーザーが、アクセス時間のポリシーで設定された時間の範囲内で、インターネットにアクセスしようとしている。
• サインインしているユーザーの数が、指定した上限に達していないかどうか。
• IP アドレスに基づいてユーザーのサインインを制限するように設定した場合は、ユーザーがそれ以外の IP アドレスからサインインすることはできません。
• ユーザーのネットワーク利用量が、指定したネット閲覧クォータまたはネットワークトラフィッククォータを上回っていないかどうか。
• 「認証 > サーバー」に移動し、AD サーバーを選択して、検索クエリが正しいことを確認する。

問題

以下のいずれかの状況で、イベント ID 10009 または 10028 の DCOM エラーが発生する場合があります。

• STAS のインストール後。
• STAS が、監視対象外のネットワークに WMI クエリを送信する。

STAS が、WMI を使ってエンドポイントコンピュータに接続できないか、監視対象外のネットワークに WMI クエリを送信している。

WMI では、DCOM と RPC を使用します。エンドポイントコンピュータが WMI クエリに応答しない場合、Windows イベントビューアにイベント ID 10009 または 10028 が記録されます。

解決方法

この問題を解決するには、次の手順を実行します。

1. STAS とエンドポイントコンピュータ間の WMI 通信を許可していることを確認してください。詳細は、システムセキュリティを設定するを参照してください。
2. サーバーの STAS アプリケーションで、「STA Collector」タブに移動します。
3. 「Sophos appliances」でソフォスアプライアンスの IP アドレスをクリックし、「Edit」をクリックします。
4. 「Enable subnet based filter」を選択します。
5. 監視対象のネットワークのサブネットとサブネットマスクを入力します。これは、ソフォスのアプライアンスのネットワーク内である必要があります。
6. 「OK」をクリックします。
7. (任意) 監視対象のソフォスアプライアンスの IP アドレスとサブネットをさらに追加できます。
8. 「STA Agent」に移動します。
9. 「Specify the networks to be monitored」で、「STA Collector」タブに追加したネットワークを追加します。監視対象のネットワークをさらに追加できます。
10. 「Apply」、「OK」、「Yes」の順にクリックして、STAS を再起動します。

問題

一部の STAS ユーザーが、監視対象外のネットワークから LogonType: 1 として認証されます。

STAS コレクターが、LogonType: 1 およびログオフ検出の WMI リクエストを処理しますが、監視対象ネットワークを識別できません。予期される動作です。

解決方法

サーバーの STAS アプリケーションで、サブネットベースのフィルタリングを以下のように設定する必要があります。

1. サーバーの STAS アプリケーションで、「STA Collector」タブに移動します。
2. 「Sophos appliances」でソフォスアプライアンスの IP アドレスをクリックし、「Edit」をクリックします。
3. 「Enable subnet based filter」を選択します。
4. 監視対象のネットワークのサブネットとサブネットマスクを入力します。これは、ソフォスのアプライアンスのネットワーク内である必要があります。
5. 「OK」をクリックします。
6. (任意) 監視対象のソフォスアプライアンスの IP アドレスとサブネットをさらに追加できます。
7. 「Apply」、「OK」、「Yes」の順にクリックして、STAS を再起動します。

これにより、設定済みのサブネットに対してのみ WMI リクエストが行われるようになります。また、stas.log に以下のログが表示されます。

SSOclient_filter_CR_subnet: Workstation filtered out

問題

STASのデフォルトの学習モードの期間が120秒であるため、キャプティブ ポータルが表示されるまで約2分かかります。ファイアウォールは、この期間が経過した後、未認証ユーザーにキャプティブ ポータルを表示します。詳細は、認証されていないトラフィックを参照してください。

解決方法

必要に応じて、学習モードの期間を変更できます。

学習モードの期間を変更するには、以下の手順に従います:

1. CLI コンソールにサインインします。詳細は、Noneを参照してください。
2. 4 と入力して Device Console を選択します。

3. 次のコマンドを実行します。

   構文

   例: system auth cta unauth-traffic drop-period 40