Probleme mit der adaptiven Authentifizierung beheben

Die Probleme werden basierend auf den verschiedenen Stufen der Konfiguration kategorisiert:

Sie können die Probleme auch mit der Adaptive Authentication CLI beheben. Gehen Sie wie folgt vor, um eine Verbindung mit der CLI herzustellen:

  • Laden Sie den SSH-Client wie putty/securecrt auf Ihren Computer herunter.
  • Greifen Sie über die Verwaltungs-IP-Adresse (primäre) auf die Adaptive Authentication-Instanz
  • Melden Sie sich mit Ihren Anmeldeinformationen an.

Einzelheiten finden Sie unter Zugreifen auf eine NetScaler Appliance.

Protokollierung adaptiver Authentifizierungsprotokolle aktivieren

Stellen Sie sicher, dass Sie die Protokollstufen aktivieren, um die adaptiven Authentifizierungsprotokolle zu erfassen.

Protokolle mit CLI aktivieren:

  1. Melden Sie sich bei der Adaptive Authentication-Instanz an.
  2. Geben Sie mit PuTTY die Verwaltungsanmeldeinformationen ein.
  3. Führen Sie den Befehl aus set audit syslogParams logLevel ALL

Protokollierung über die GUI aktivieren:

  1. Melden Sie sich mit einem Browser bei der Adaptive Authentication-Instanz an
  2. Navigieren Sie zu Konfiguration > System > Auditing.
  3. Klicken Sie auf der Seite Überwachung unter Einstellungen auf Syslog-Einstellungen für Auditing ändern.
  4. Wählen Sie unter Protokollebenen die Option ALLE aus.

Provisioningprobleme

  • Zugriff auf die Benutzeroberfläche der adaptiven Authentifizierung nicht möglich

    Prüfen Sie, ob die Berechtigung für Ihre Kunden-ID/Ihren Mandanten aktiviert ist.

  • Ich stecke länger als 45 Minuten auf der Provisioning-Seite fest

    Sammeln Sie den Screenshot des Fehlers, falls vorhanden, und wenden Sie sich an den Citrix Support, um Unterstützung zu erhalten.

  • VNet-Peer ist ausgefallen

    • Überprüfen Sie, ob im Azure-Portal Warnungen vorhanden sind, die diesem Peering entsprechen, und führen Sie die empfohlenen Maßnahmen aus.
    • Löschen Sie das Peering und fügen Sie es erneut über die Benutzeroberfläche der adaptiven Authentifizierung hinzu.
  • Die Aufhebung der Bereitstellung ist nicht abgeschlossen

    Wenden Sie sich an Citrix Support, um Unterstützung zu erhalten.

Problem beim Zugriff auf eine Instanz

  • Die Management-IP-Adresse ist für die Instanz nicht zugänglich

    • Überprüfen Sie, ob die öffentliche IP-Adresse des Clients, die für den Zugriff verwendet wird, zu den zulässigen Quell-IP-Adressen gehört.

    • Überprüfen Sie, ob ein Proxy die IP-Adresse der Client-Quelle ändert.

  • Anmeldung bei der Instanz nicht möglich

    Stellen Sie sicher, dass der Administratorzugriff mit den Anmeldeinformationen, die Sie bei der Bereitstellung eingegeben haben, einwandfrei funktioniert.

  • Endbenutzer haben keine vollständigen Rechte

    Stellen Sie beim Hinzufügen des Benutzers sicher, dass Sie die geeignete Befehlsrichtlinie für den Zugriff gebunden haben. Weitere Informationen finden Sie unter Benutzer, Benutzergruppen und Befehlsrichtlinien.

AD- oder RADIUS-Konnektivitätsproblem

Problem mit Azure Vnet-Peering-Konnektivitätstyp:

  • Überprüfen Sie, ob das vom Kunden verwaltete Azure VNet von den Adaptive Authentication-Instanzen
  • Prüfen Sie, ob die Konnektivität/Erreichbarkeit des vom Kunden verwalteten Azure VNet zu AD funktioniert.
  • Stellen Sie sicher, dass geeignete Routen hinzugefügt werden, um den Datenverkehr von on-premises zu Azure VNets zu leiten.

Windows-basierter Connector:

  • Alle Protokolle sind im Verzeichnis /var/log/ns.log verfügbar und jedem Protokoll wird das Präfix [NS_AAUTH_TUNNEL] vorangestellt.
  • ConnectionID aus Protokollen kann verwendet werden, um verschiedene Transaktionen zu korrelieren.
  • Stellen Sie sicher, dass die private IP-Adresse der virtuellen Connector-Maschine als einer der RADIUS-Clients im RADIUS-Server hinzugefügt wird, da diese IP-Adresse die Quell-IP-Adresse für den Connector ist.

    Für jede Authentifizierungsanforderung wird der Tunnel zwischen der Adaptive Authentication-Instanz (NS - AAAD-Prozess) und dem Authentifizierungsserver eingerichtet. Sobald der Tunnel erfolgreich eingerichtet wurde, erfolgt die Authentifizierung.

    Stellen Sie sicher, dass die virtuelle Connector-Maschine den FQDN für adaptive Authentifizierung auflösen kann.

  • Connector ist installiert, die on-premises Konnektivität schlägt jedoch fehl.

    Überprüfen Sie, ob NSAUTH-TUNNEL eingerichtet wird.

    cat ns.log | grep -I “tunnel”

    Wenn das folgende Beispielprotokoll nicht in der Datei ns.log für die Authentifizierungsanforderung gedruckt wird, liegt möglicherweise ein Problem beim Aufbau eines Tunnels oder ein Problem von der Connectorseite vor.

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    Überprüfen Sie die Protokolldetails und ergreifen Sie entsprechende Maßnahmen.

    Angaben protokollieren Korrekturmaßnahme
    Protokolle mit Präfix [NS_AAUTH_TUNNEL] werden nicht in die Protokolldatei aufgenommen Führen Sie den Befehl show cloudtunnel vserver aus. Dieser Befehl muss beide virtuellen Cloud-Tunnelserver (TCP und UDP) mit dem Status “UP” auflisten.
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector Für dieses Protokoll, wenn die folgende Antwort nicht empfangen wird: [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" Überprüfen Sie, ob der Connectorcomputer in der Lage ist, den FQDN für adaptive Authentifizierung zu erreichen, ODER überprüfen Sie die connectorseitige Firewall auf ausgehende Verbindungen zum FQDN für Adaptive
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0 und[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" Wenden Sie sich an den Citrix Support.

Keine Antwort vom Connector:

  • Stellen Sie sicher, dass der FQDN für adaptive Authentifizierung von der virtuellen Connector-Maschine aus erreichbar ist
  • Stellen Sie sicher, dass ein Zwischenzertifikat gebunden und mit dem Serverzertifikat auf der Adaptive Authentication-Instanz verknüpft ist.

Falsche LDAP/RADIUS-Einstellungen:

Wenn die IP-Adresse Ihres AD/RADIUS-Servers eine öffentliche IP-Adresse ist, müssen Sie das Subnetz oder die IP-Adresse hinzufügen, die die Ausdrücke in NetScaler adressiert. Bearbeiten Sie nicht die vorhandenen Bereiche.

  • So fügen Sie ein Subnetz oder eine IP-Adresse mit der CLI hinzu:

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • So fügen Sie mithilfe der GUI ein Subnetz oder eine IP-Adresse hinzu:

    1. Navigieren Sie zu Appexpert > Expressions.
    2. Fügen Sie den Ausdruck aauth_allow_rfc1918_subnetshinzu.

Wenn der Tunnel eingerichtet ist, die Authentifizierung jedoch weiterhin fehlschlägt, führen Sie die folgenden Schritte aus, um das Problem zu beheben.

LDAP:

  • Überprüfen Sie die Details des Bind-DN.
  • Bestätigen Sie den Fehler mithilfe der Testkonnektivität.
  • Überprüfen Sie die Fehler mit aaad-Debug.
  • Melden Sie sich mit der CLI bei der Adaptive Authentication-Instanz an.

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

Häufige LDAP-Fehler:

Radius:

  • Die Connector-IP-Adresse muss als Quell-IP-Adresse des RADIUS-Clients in der RADIUS-Serverkonfiguration hinzugefügt werden.

Probleme mit der Authentifizierung

  • Fehler nach der Assertion für OAuth

    • Stellen Sie sicher, dass alle Anträge von AD bereitgestellt werden. Sie benötigen 7 Claims, um dies erfolgreich zu machen.

    • Überprüfen Sie die Protokolle in /var/log/ns.log, um den Fehler für OAuth-Fehler zu finden.

     cat /var/log/ns.log
     <!--NeedCopy-->
    
    • Überprüfen Sie die OAuth-Profilparameter.
  • Azure AD-Authentifizierung bleibt bei der Assertion hängen

    Fügen Sie AD-Authentifizierung als nächsten Faktor hinzu, wobei die Authentifizierung auf Aus gesetzt ist. Dies dient dazu, alle erforderlichen Ansprüche für eine erfolgreiche Authentifizierung abzurufen.

EPA-bezogene Probleme

  • Das Plug-in ist bereits vorhanden, aber der Benutzer wird aufgefordert, das Plug-in herunterzuladen.

    Mögliche Ursachen: Versionskonflikt oder beschädigte Dateien

    • Führen Sie Entwicklertools aus und überprüfen Sie, ob die Plugin-Listendatei dieselbe Version wie die des NetScaler und Ihres Client-Computers enthält.

    • Stellen Sie sicher, dass die Client-Version auf dem NetScaler dieselbe ist wie auf dem Client-Computer.

      Aktualisieren Sie den Client auf dem NetScaler.

      Navigieren Sie in der Adaptive Authentication-Instanz zu NetScaler Gateway > Globale Einstellungen > Clientbibliotheken aktualisieren.

      Auf der Seite EPA-Plug-in-Bibliotheken auf Citrix Downloads finden Sie detaillierte Informationen.

    • Manchmal kann die Anfrage auf NetScaler zwischengespeichert werden, auch wenn die Version aktualisiert wird.

      show cache object zeigt die Details des zwischengespeicherten Plug-ins an. Sie können es löschen, indem Sie den Befehl verwenden;

      flush cache object -locator 0x00000023345600000007

    Einzelheiten zur Erfassung von EPA-Protokollen finden Sie unter https://support.citrix.com/article/CTX209148.

  • Gibt es eine Möglichkeit, die EPA-Einstellungen (Immer, Ja, Nein) zurückzusetzen, nachdem der Benutzer eine Option ausgewählt hat.

    Derzeit erfolgt das Zurücksetzen der EPA-Einstellungen manuell.

    • Navigieren Sie auf dem Client-Computer zu C:\Users<user_name>\ AppData\ Local\ Citrix\ AGEE.
    • Öffnen Sie die Datei config.js und setzen Sie TrustAlways auf null - "trustAlways":null

Probleme mit Smart-Zugriff-Tags

  • Nach der Konfiguration des Smart Access sind Anwendungen nicht verfügbar

    Stellen Sie sicher, dass die Tags sowohl in der Adaptive Authentication-Instanz als auch in den Citrix VDA-Bereitstellungsgruppen definiert sind.

    Vergewissern Sie sich, dass die Tags der Workspace-Bereitstellungsgruppe in Großbuchstaben hinzugefügt wurden.

    Sie können die Datei ns.log sammeln und sich an den Citrix Support wenden, falls dies nicht funktioniert.

Allgemeine Protokollsammlung für die Adaptive Authentifizierungsinstanz

Weitere Informationen erhalten Sie vom Citrix Support.

Probleme mit der adaptiven Authentifizierung beheben