Fehlerbehebung bei häufigen Citrix SSO-Problemen

Probleme bei der DNS-Lösung

  • Wenn das Gerät in den Ruhezustand geht oder längere Zeit inaktiv ist, kann es etwa 30—60 Sekunden dauern, bis das VPN wieder aufgenommen wird. Während dieser Zeit sehen Benutzer möglicherweise, dass einige DNS-Anfragen fehlschlagen. DNS-Anfragen werden nach kurzer Zeit automatisch aufgelöst. Wenn DNS-Abfragen nicht aufgelöst werden, ist es möglich, dass eine erweiterte Autorisierungsrichtlinie den DNS-Verkehr blockiert. Siehe https://support.citrix.com/article/CTX232237, um dieses Problem zu beheben.
  • Überprüfen Sie immer die DNS-Auflösung von Browsern. DNS-Abfragen, die den nslookup Befehl vom Terminal verwenden, sind möglicherweise nicht korrekt. Wenn Sie den nslookup Befehl verwenden müssen, müssen Sie die Client-IP-Adresse in den Befehl aufnehmen. Zum Beispiel nslookup website_name 172.16.255.1.

EPA-Probleme

  • Gatekeeper wird als Antivirenprogramm betrachtet. Wenn es einen Scan gibt, der nach “Antivirenprogrammen” sucht (MAC-ANTIVIR_0_0), wird der Scan immer erfolgreich, auch wenn der Benutzer kein Antivirenprogramm von anderen Anbietern installiert hat.

Hinweis:

  • Aktivieren Sie die Client-Sicherheitsprotokolle, um Debug-Protokolle für EPA zu Sie können die Client-Sicherheitsprotokollierung aktivieren, indem Sie den VPN-Parameter clientsecurityLog auf ON setzen.
  • Die integrierte Patch-Management-Software von Apple ist “Software-Update”. Es entspricht der App “App Store” auf dem Gerät. Die Version des “Software-Updates” muss so sein "MAC-PATCH_100011_100076_VERSION_==_3.0[COMMENT: Software Update]"
  • Halten Sie die EPA-Bibliotheken auf Citrix ADC immer auf dem neuesten Stand. Die neuesten Bibliotheken finden Sie unter https://www.citrix.com/downloads/citrix-gateway/epa-libraries/epa-libraries-for-netscaler-gateway.html

nFactor Probleme

  • Die Citrix SSO-App öffnet das Citrix SSO-Authentifizierungsfenster für die nFactor-Authentifizierung. Es ähnelt einem Browser. Wenn auf dieser Seite Fehler auftreten, kann dies durch die Authentifizierung in einem Webbrowser überprüft werden.
  • Wenn die Übertragungsanmeldung fehlschlägt, wenn nFactor aktiviert ist, ändern Sie das Portal-Design auf “rfWebUI”.
  • Wenn Sie die Fehlermeldung “Eine sichere Verbindung zu Citrix Gateway kann nicht hergestellt werden, da die Zertifikatskette keines der erforderlichen Zertifikate enthält. Bitte wenden Sie sich an Ihren Administrator” oder “Gateway nicht erreichbar”, dann ist entweder das Gateway-Serverzertifikat abgelaufen oder das Serverzertifikat ist mit aktiviertem SNI gebunden. Citrix SSO unterstützt SNI noch nicht. Binden Sie das Serverzertifikat ohne aktiviertes SNI. Der Fehler kann auch auf das im MDM-VPN-Profil konfigurierte Zertifikat-Pinning und auf das von Citrix Gateway vorgelegte Zertifikat zurückzuführen sein, das nicht mit dem angeheftete Zertifikat übereinstimmt.
  • Wenn Sie versuchen, eine Verbindung zum Gateway herzustellen, wenn das Citrix SSO Auth-Fenster geöffnet wird, aber leer ist, prüfen Sie, ob die ECC-Kurve (ALL) an die Standardchiffergruppe gebunden ist. Die ECC-Kurve (ALL) muss an die Standard-Verschlüsselungsgruppe gebunden sein.

Überprüfung der Netzwerkzugriffssteuerung (NAC)

Die NAC-Authentifizierungsrichtlinie wird nur bei der klassischen Authentifizierung unterstützt. Es wird im Rahmen der nFactor-Authentifizierung nicht unterstützt.

Fehlerbehebung bei häufigen Citrix SSO-Problemen