Behebung von Fehlern

In diesem Thema werden einige der Fehler aufgeführt, auf die Sie beim Einrichten von Secure Private Access stoßen können.

Zertifikatsfehler Fehler bei derDatenbankerstellung StoreFront-Ausfälle Öffentliche Gateway-/Callback-Gateway-Ausfälle SecurePrivate Access Server nicht erreichbar

Fehler im Zertifikat

Fehlermeldung: Die Zertifikate konnten nicht automatisch von einem oder mehreren Gatewayservern abgerufen werden. Problemumgehung: Aktualisieren Sie das Gateway-Zertifikat genauso wie für Citrix Virtual Apps and Desktops.

Fehler bei der Datenbankerstellung

  • Fehlermeldung: Datenbank konnte nicht erstellt werden

    Lösung: Für den automatischen Fall — Die Maschine muss über READ-, WRITE- und UPDATE-Berechtigungen verfügen, um Tabellen in der Datenbank auf dem SQL-Server zu erstellen.

  • Fehlermeldung: Datenbank konnte nicht erstellt werden: Eine Datenbank ist bereits vorhanden.

    Diese Fehlermeldung kann in einem der folgenden Szenarien auftreten.

    • Wenn bei der Konfiguration der Datenbanken die Option Automatische Konfiguration ausgewählt ist.
    • Wenn der Administrator eine Datenbank erstellt, muss es sich um eine leere Datenbank handeln. Diese Fehlermeldung kann erscheinen, wenn es sich bei der Datenbank um eine nicht leere Datenbank handelt.

      Lösung: Sie müssen eine leere Datenbank erstellen.

    • Sie deinstallieren Secure Private Access und wiederholen das Setup mit demselben Site-Namen. In diesem Fall wäre die Datenbank aus der vorherigen Installation nicht gelöscht worden.

      Lösung: Sie müssen die Datenbank manuell löschen.

    • Sie entscheiden, die Datenbank mithilfe des Skripts manuell einzurichten (indem Sie auf der Seite „Datenbanken konfigurieren“ die Option Manuelle Konfiguration auswählen) und wechseln dann zur Option Automatische Konfiguration, verwenden jedoch denselben Site-Namen. In diesem Fall wird beim Ausführen des Skripts bereits eine Datenbank mit demselben Namen erstellt.

      Lösung: Sie müssen die Site umbenennen und dann das Skript erneut ausführen.

    • Die Maschine verfügt nicht über die READ-, WRITE- und UPDATE-Berechtigungen, um Tabellen in der Datenbank auf dem SQL-Server zu erstellen.

      Lösung: Aktivieren Sie die entsprechenden Berechtigungen auf dem Computer. Einzelheiten finden Sie unter Zum Einrichten von Datenbanken erforderliche Berechtigungen.

  • Fehlermeldung: Datenbank konnte nicht erstellt werden: Verbindung fehlgeschlagen

    Auflösung:

    • Überprüfen Sie die Datenbank-Netzwerkkonnektivität von Ihrem Computer aus. Stellen Sie sicher, dass der SQL-Server-Port an der Firewall geöffnet ist.
    • Wenn Sie einen Remote-SQL-Server verwenden, überprüfen Sie, ob für den SQL-Server eine Anmeldung mit der Secure Private Access-Maschinenidentität Domain\ hostname$ erstellt wurde.
    • Wenn Sie einen Remote-SQL-Server verwenden, stellen Sie sicher, dass der Computeridentität die richtige Rolle zugewiesen wurde, die Systemadministratorrolle.
    • Wenn Sie einen lokalen SQL-Server verwenden (nicht vom Installationsprogramm), überprüfen Sie, ob für den Benutzer NT AUTHORITY\ SYSTEM ein Login erstellt werden muss.

StoreFront-Fehler

  • Fehlermeldung: StoreFront-Eintrag konnte nicht erstellt werden für: <Store URL>

    Aktualisieren Sie die StoreFront-Einträge auf der Registerkarte Einstellungen, falls sie nicht sichtbar sind. Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie StoreFront-Einträge auf der Registerkarte Einstellungen bearbeiten. Notieren Sie sich die StoreFront-Store-URL, für die dieser Fehler aufgetreten ist.

    Auflösung:

    1. Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
    2. Fügen Sie unter StoreFront Store-URL den StoreFront-Eintrag hinzu, falls er nicht sichtbar ist.
  • Fehlermeldung: StoreFront-Eintrag konnte nicht konfiguriert werden für: <Store URL>

    Auflösung:

    1. Möglicherweise besteht eine Einschränkung der PowerShell-Ausführungsrichtlinie. Führen Sie den PowerShell-Skriptbefehl aus, Get-ExecutionPolicy um weitere Informationen zu erhalten.

    2. Wenn es eingeschränkt ist, müssen Sie dies Bypass und ein StoreFront-Konfigurationsskript manuell ausführen.
    3. Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
    4. Identifizieren Sie unter StoreFront Store URLden StoreFront-URL-Eintrag, für den der Fehler aufgetreten ist.
    5. Klicken Sie neben dieser Store-URL auf die Schaltfläche Skript herunterladen und führen Sie dieses PowerShell-Skript mit Administratorrechten auf dem Computer aus, auf dem die entsprechende StoreFront-Installation vorhanden ist.

    Hinweis:

    Wenn Sie die Installation nach der Deinstallation erneut versuchen, stellen Sie sicher, dass Sie in der StoreFront-Konfiguration keinen Eintrag mit dem Namen „Secure Private Access“ haben (StoreFront > store> Delivery Controller -Secure Private Access). Wenn Secure Private Access vorhanden ist, löschen Sie diesen Eintrag. Laden Sie das Skript manuell von der Seite Einstellungen > Integrationen herunter und führen Sie es aus.

  • Fehlermeldung: Die StoreFront-Konfiguration ist nicht lokal für: <Store URL>

    Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie die Gateway-Einträge auf der Registerkarte Einstellungen bearbeiten. Notieren Sie sich die StoreFront-Store-URL, für die dieser Fehler aufgetreten ist.

    Auflösung:

    Dieses Problem tritt auf, wenn StoreFront nicht auf derselben Maschine wie Secure Private Access installiert ist. Sie müssen die StoreFront-Konfiguration manuell auf der Maschine ausführen, auf der Sie StoreFront installiert haben.

    1. Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
    2. Identifizieren Sie unter StoreFront Store URLden StoreFront-URL-Eintrag, für den der Fehler aufgetreten ist.
    3. Klicken Sie neben dieser Store-URL auf die Schaltfläche Skript herunterladen und führen Sie dieses PowerShell-Skript mit Administratorrechten auf der Maschine aus, auf der sich die entsprechende StoreFront-Installation befindet.

    Hinweis:

    Um das StoreFront PowerShell-Skript auszuführen, öffnen Sie das Windows x64-kompatible PowerShell-Fenster mit Administratorrechten und führen Sie dann ConfigureStoreFront.ps1 aus. Das StoreFront-Skript ist nicht mit Windows PowerShell (x86) kompatibel.

Ausfall des öffentlichen Gateways/Callback-Gateways

Fehlermeldung: Gateway-Eintrag konnte nicht erstellt werden für: <Gateway URL> ODER Callback-Gateway-Eintrag konnte nicht erstellt werden für: <Callback Gateway URL>

Auflösung:

Notieren Sie sich die öffentliche Gateway- oder Callback-Gateway-URL, für die der Fehler aufgetreten ist. Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie die Gateway-Einträge auf der Registerkarte Einstellungen bearbeiten.

  1. Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
  2. Aktualisieren Sie die öffentliche Gateway-Adresse oder die Callback-Gateway-Adresse und die virtuelle IP-Adresse, für die der Fehler aufgetreten ist.

Secure Private Access Server ist nicht erreichbar

Fehlermeldung: Der IIS-Pool konnte nicht aktualisiert werden. IIS-Pool konnte nicht neu gestartet werden

Auflösung:

  1. Gehen Sie in den Internetinformationsdiensten (IIS) zu Anwendungspools und überprüfen Sie, ob die folgenden Anwendungspools gestartet wurden und ausgeführt werden:
  • Sicherer privater Zugriffs-Laufzeitpool
  • Administratorpool für sicheren privaten Zugriff

Stellen Sie außerdem sicher, dass die Standard-IIS-Website "Default Web Site" aktiv ist.

Fehler bei der Überprüfung der Datenbankkonnektivität

Fehlermeldung: Konnektivitätsprüfung fehlgeschlagen

Die Überprüfung der Datenbankkonnektivität kann aus mehreren Gründen fehlschlagen:

  • Der Datenbankserver ist aufgrund einer Firewall nicht vom Hostcomputer des Secure Private Access-Plug-ins aus erreichbar.

    Lösung: Überprüfen Sie, ob der Datenbankport (Standardport 1433) auf der Firewall geöffnet ist.

  • Der Hostcomputer des Secure Private Access Plug-ins ist nicht berechtigt, eine Verbindung zur Datenbank herzustellen.

    Lösung: Siehe SQL-Datenbankberechtigungen für Secure Private Access.

Die Gateway-Konnektivitätsprüfung ist fehlgeschlagen. Das öffentliche Zertifikat kann nicht abgerufen werden

Fehlermeldung: Die Konfiguration nach der Installation schlägt mit dem Fehler „Gateway-Konnektivitätsprüfung fehlgeschlagen“ fehl. Ein öffentliches Zertifikat kann nicht abgerufen werden…”

Auflösung:

  • Laden Sie das öffentliche Gateway-Zertifikat mithilfe des Konfigurationstools manuell in die Secure Private Access-Datenbank hoch.
  • Öffnen Sie die PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
  • Ändern Sie das Verzeichnis in den Ordner Admin\AdminConfigTool im Secure Private Access-Installationsordner (z. B. cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
  • Führen Sie den folgenden Befehl aus:

    .\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

Probleme mit der Authentifizierung

Die IIS-Authentifizierungskonfiguration des Secure Private Access-Laufzeitdienstes funktioniert möglicherweise nicht, da die integrierte Windows-Authentifizierung (IWA) nicht unterstützt wird.

Sonstiges

Supportpaket für Secure Private Access-Diagnosen erstellen

Gehen Sie wie folgt vor, um ein Secure Private Access-Diagnosesupportpaket zu erstellen:

  • Öffnen Sie die PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
  • Ändern Sie das Verzeichnis in den Ordner Admin\ AdminConfigTool im Secure Private Access-Installationsordner (z. B. cd “C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ AdminConfigTool“).
  • Führen Sie den folgenden Befehl aus:

    .\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>

SQL-Datenbankberechtigungen für Secure Private Access

Für die automatische Datenbankerstellung muss der Secure Private Access-Plug-in-Hostcomputer über die Berechtigungen verfügen, eine Verbindung mit der Datenbank herzustellen und ein Datenbankschema zu erstellen.

Entfernte Datenbank:

Führen Sie die folgenden Schritte aus, um die Berechtigungen für eine entfernte Datenbank einzurichten.

  1. Erstellen Sie eine leere Datenbank mit der Namenssyntax CitrixAccessSecurity<Site Name>. <Site Name> ist hier der Name der Secure Private Access-Site. (zum Beispiel CitrixAccessSecuritySPA).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Erstellen Sie eine SQL-Serveranmeldung für die Maschinenidentität für die virtuelle Secure Private Access-Maschine. Wenn Ihr Secure Private Access Broker-Maschinenname beispielsweise HOST1 ist und die Maschinendomäne DOMAIN1 ist, dann lautet die Maschinenidentität “DOMAIN1\HOST1$”. Wenn die Anmeldung bereits erstellt wurde, können Sie diesen Schritt ignorieren.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS

    Der Domänenname kann mit der folgenden Abfrage gefunden werden:

    SELECT DEFAULT_DOMAIN()[DomainName]

  3. Weisen Sie der Maschinenidentität die Rolle db_owner zu.

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'

    ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;

Lokale Datenbank:

Führen Sie die folgenden Schritte aus, um die Berechtigungen für eine lokale Datenbank einzurichten.

  1. Erstellen Sie eine leere Datenbank mit der Namenssyntax CitrixAccessSecurity<Site Name>. <Site Name> ist hier der Name der Secure Private Access-Site. (z. B. CitrixAccessSecuritySpa).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Erstellen Sie eine SQL-Serveranmeldung für den Benutzer NT AUTHORITY\SYSTEM. Wenn die Anmeldung bereits erstellt wurde, können Sie diesen Schritt ignorieren.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS

  3. Weisen Sie dem Benutzer “NT AUTHORITY\SYSTEM” die Rolle db_owner zu.

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'

    ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;

Wenn Sie die Datenbank manuell erstellen, fügt das heruntergeladene Datenbankskript der Maschinenidentität die Berechtigungen hinzu.