Probleme im Zusammenhang mit Apps beheben

Dieses Thema enthält Informationen zu einigen der häufigsten Probleme, die beim Konfigurieren oder Zugreifen auf eine App auftreten können. Auch beim Testen der Apps auf Sicherheitskontrollen. Diese Fehler und die zugehörigen Fehlercodes werden ebenfalls in Diagnoseprotokollen erfasst.

Secure Private Access Service-Architektur

Das folgende Diagramm veranschaulicht die allgemeine Systemarchitektur des Secure Private Access Services. Die im Diagramm aufgeführten Komponenten fassen den Datenfluss zwischen den verschiedenen Komponenten zusammen, die am App-Startablauf beteiligt sind.

Secure Private Access Cloud: Ein verteilter Multitenant-Dienst, der in verschiedenen Regionen der Welt ausgeführt wird. Es umfasst verschiedene Komponenten, hauptsächlich eine Cloud-Proxy-Komponente, die den gesamten Client-Datenverkehr abruft und verschiedene vom Administrator konfigurierte Richtlinien anwendet, bevor Routing-Entscheidungen für SaaS-Anwendungen getroffen werden, die in einer anderen Public Cloud oder auf Desktops ausgeführt werden, und Webanwendungen, die

Lokale Connector-Appliance: Die Connectors werden im Rechenzentrum des Kunden ausgeführt und umfassen neben dem Secure Private Access-Anbieter verschiedene Komponenten. Die Appliance registriert sich zuerst bei Citrix Cloud und registriert sich anschließend beim nächstgelegenen Secure Private Access-Cloud-POP.

Kunden: Kunden werden grob in zwei Kategorien eingeteilt.

  • Citrix Workspace (CWA) - Diese Clients sind sowohl als native Mobil- und Desktop-Apps als auch als webbasierte Clients verfügbar. Diese Clients stellen zuerst bei der Benutzeranmeldung eine Verbindung mit Citrix Cloud her. Citrix Cloud ruft zusätzlich zu den verschiedenen Vorgängen Web- und SaaS-Apps aus der Secure Private Access Cloud ab und zeigt sie auf dem Benutzer-Dashboard an.
  • Citrix Secure Access Client — Dies ist ein VPN-Agent, der einen SSL-VPN-Tunnel zu den VPN-Proxyservern im Secure Private Access Service einrichtet. Sobald der Tunnelaufbau abgeschlossen ist, führt er ein Layer-3-Abfangen des Netzwerkverkehrs auf dem Clientcomputer durch und tunnelt selektiv bestimmte TCP- oder UDP-Apps/FQDNs, die in der Secure Private Access-Cloud konfiguriert sind, über den VPN-Proxy in der Secure Private Access-Cloud über die Connector-Appliance.

Systemarchitektur auf hoher Ebene

Wichtige Hinweise

  • Diagnose-Tool:

    • Dieses Thema ergänzt das SPA-Diagnosetool, das heute als PowerShell-Skript verfügbar ist. Administratoren müssen zuerst die Diagnose ausführen, wenn sie auf ein unerwartetes Verhalten für ihre Benutzer stoßen.

    • Das Diagnosetool bündelt Analyseereignisse aus verschiedenen Komponenten des Secure Private Access-Systems. In diesem Thema navigieren Sie zur CSV-Diagnosedatei, um konfigurationsbezogene Probleme im Secure Private Access-Cloudportal oder auf der vom Kunden verwalteten lokalen Connector-Appliance zu beheben.

  • Filtern von Ereignissen im Secure Private Access-Diagnosetool

    Die meisten Komponenten in Citrix Cloud, einschließlich Secure Private Access-Serverkomponenten, senden nützliche Diagnoseinformationen, die als Tabellen indiziert sind. Dazu gehören Zeitstempel, App-Informationen, Benutzerinformationen, Produkt- oder Komponententyp, Fehlercodes, Fehlerursache, empfohlene Fehlerbehebung usw.

    1. Laden Sie die CSV-Datei herunter und öffnen Sie sie in Microsoft Excel oder einer ähnlichen Anwendung.
    2. Aktivieren Sie die Option Daten > Filter.

    CSV-Datei von SPA Diagnostics

    1. Wählen Sie in der Spalte Prod die Option WebSaas.
    2. Fügen Sie in der Spalte userName einen zusätzlichen Filter hinzu und wählen Sie den betroffenen Benutzernamen aus. Wenn eine Gruppe von Benutzern mit dem Problem konfrontiert ist, können Sie einen beliebigen Benutzer in der Gruppe auswählen.

      Durch Hinzufügen dieser Filter können Sie die Diagnoseereignisse auf die erste Routing-Komponente von Secure Private Access in der Cloud für einen bestimmten Benutzer eingrenzen.

      Die Spalte reason in der CSV-Datei enthält detaillierte Protokolle der Fehler- oder Erfolgsereignisse, die error code zusammen mit den App-Informationen wie App Name und App Id enthalten.

    3. Kopieren Sie den Fehlercode für die App, für die Sie eine Fehlerbehebung durchführen, und suchen Sie in der Secure Private Access-Fehlersuchtabelle nach demselben.

Secure Private Access-Fehlersuchtabelle

Die folgende Tabelle zur Fehlersuche bietet einen umfassenden Überblick über die verschiedenen Fehler, auf die Benutzer bei der Verwendung des Secure Private Access Services möglicherweise stoßen können.

Die Tabelle erfasst die folgenden Informationen:

  • Zugriffstyp — Gibt den Typ der verwendeten Clientsoftware an. Für alle Web- und SaaS-App-Starts, die den Citrix Workspace Thick Client oder den browserbasierten Citrix Workspace Thin Client verwenden, ist der Zugriffstyp auf Citrix Workspace App festgelegt. Ähnlich ist für TCP- und UDP-Apps der Zugriffstyp auf Citrix Secure Accessfestgelegt.

    Der Unterschied zwischen der Citrix Workspace-App und Citrix Secure Access liegt in der zugrunde liegenden Tunneltechnologie, die für den Zugriff auf die Backend-Anwendung verwendet wird, die hinter der Unternehmensfirewall ausgeführt wird. Die Citrix Workspace-App bietet agentenlosen Zugriff auf Web- und SaaS-Anwendungen, während Citrix Secure Access ein SSL-VPN-Client ist, der Layer-3-Routing des Clientdatenverkehrs über den VPN-Server in der Cloud durchführt.

  • App Operation - Weist auf die hohe Funktionalität von Secure Private Access für Web-/SaaS- und TCP/UDP-Apps hin.

    Für die Citrix Workspace-App wird sie, da wir es mit Web-/SaaS-Apps zu tun haben, in die folgenden Kategorien eingeteilt:

    • App Enumeration - Dies ist der Pre-Launch-Vorgang, bei dem alle Anwendungen, für die der Benutzer abonniert ist, unmittelbar nach der Anmeldung bei der Citrix Workspace-App im Dashboard des Benutzers aufgelistet werden.
    • App Access - Der Vorgang, den ein Benutzer beim Starten der App durch Klicken auf das Symbol der App ausführt.
    • Enhanced Security - Dieser Vorgang wird vom Administrator auf der Verwaltungskonsole konfiguriert und der Benutzer sieht die Auswirkungen. Beispiel: Aktivieren von Einschränkungen wie Ausschneiden/Kopieren/Einfügen usw. oder Erzwingen eines bedingten Zugriffs, z. B. die Umleitung des Benutzers zum Secure Browser Service anstelle des direkten Zugriffs, wenn das Gerät des Benutzers bestimmte Compliance-Anforderungen nicht erfüllt.

    Für Citrix Secure Access sind die App-Vorgänge, da wir uns mit dem Tunneln des TCP-UDP-Datenverkehrs befassen, wie folgt:

    • Tunnel Establishment - der Vorgang, den ein Benutzer im Rahmen des Aufbaus einer VPN-Verbindung auf Citrix Secure Access ausführt.
    • Packet Tunneling - Dieser Vorgang erfolgt, sobald der VPN-Tunnel eingerichtet ist und der Client die IP-Pakete an den VPN-Server weiterleitet.
Typ des Zugriffs Bedienung der App Verhalten der Benutzeroberfläche Beschreibung des Fehlers Im Zusammenhang mit Fehlercode Empfohlene Schritte
Citrix Workspace-App App-Aufzählung Eine oder mehrere Apps, die nicht im CWA-Dashboard aufgeführt sind Apps, die durch kontextbezogene Richtlinien eingeschränkt sind 0x180055 Schritte zur Fehlerbehebung
    Keine Apps im CWA-Dashboard aufgeführt) Fehler bei der Cachesuche   Wenden Sie sich an den Citrix Support.
      Fehler bei der Richtlinienbewertung   Wenden Sie sich an den Citrix Support.
  App-Zugriff Benutzer hat Zugriff auf Links in einer App verweigert Benutzer hat die Anwendung nicht abonniert 0x1800BC Schritte zur Fehlerbehebung
      Apps, die durch kontextbezogene Richtlinien eingeschränkt sind 0x18000F Schritte zur Fehlerbehebung
    Langsame AApp-Leistung im Backend Apps, die durch kontextbezogene Richtlinien eingeschränkt sind 0x18000F Schritte zur Fehlerbehebung
      Apps, die durch kontextbezogene Richtlinien eingeschränkt sind 0x18000F Schritte zur Fehlerbehebung
    Apps öffnen sich nicht oder geben Fehler aus App-FQDN-Länge überschritten 0x180006 Schritte zur Fehlerbehebung
      App-Detaillänge überschritten 0x18000E Schritte zur Fehlerbehebung
      App-Zugriff wurde verweigert 0x18000A Schritte zur Fehlerbehebung
      Verbindungsaufbau zwischen Citrix Cloud und lokalen Connectors fehlgeschlagen 0x1800EF Schritte zur Fehlerbehebung
      Verbindungsaufbau zwischen Citrix Cloud und lokalen Connectors fehlgeschlagen 0x1800EF Schritte zur Fehlerbehebung
      Single Sign-On-Fehler 0x180001, 0x18001A, 0x18001B Schritte zur Fehlerbehebung
      Authentifizierungsserver ausgefallen 0x180022 Schritte zur Fehlerbehebung
      StoreFront-Fehler 0x180002, 0x180003, 0x180004, 0x180005, 0x180033, 0x180034, 0x180037, 0x180035 Wenden Sie sich an den Citrix Support.
      Fehler bei der Richtlinienbewertung 0x18000F, 0x18001D, 0x18001E, 0x18001F, 0x180020, 0x18006E Wenden Sie sich an den Citrix Support.
      Cache-Fehler 0x18000C, 0x18000D, 0x180010, 0x180029, 0x18002A, 0x180036, 0x18004E Wenden Sie sich an den Citrix Support.
      Fehler im globalen Cache (Ticketservice) 0x180016, 0x180044, 0x180045 Wenden Sie sich an den Citrix Support.
      Fehler des Secure Browser Service vor dem Start 0x180017, 0x180018 Wenden Sie sich an den Citrix Support.
      Interne Fehler 0x180007, 0x180011, 0x180012, 0x180013, 0x180014, 0x180015, 0x180019, 0x180021, 0x180025, 0x180028, 0x18002B, 0x18002D, 0x18002E, 0x18003F, 0x180040, 0x180047, 0x180063, 0x180064, 0x180065, 0x180066, 0x180067, 0x180068, 0x18006A Wenden Sie sich an den Citrix Support.
      Feature-Flag-Fehler 0x18001C, 0x180087 Wenden Sie sich an den Citrix Support.
      Interne Authentifizierungsfehler 0x180021, 0x180022, 0x180023, 0x180024, 0x180026, 0x180027, 0x180039, 0x18003A, 0x18003B, 0x18003C, 0x18003D, 0x180042, 0x180043, 0x180046, 0x180049, 0x18006B, 0x180083, 0x180084, 0x180085, 0x180086 Wenden Sie sich an den Citrix Support.
      Clientless VPN — Interne Fehler beim Umschreiben von URLs 0x180041, 0x180069, 0x1800C2, 0x1800C4, 0x1800C6, 0x1800C6, 0x1800C8, 0x1800C9, 0x1800CA Wenden Sie sich an den Citrix Support.
      OTT-Überprüfung fehlgeschlagen 0x180079, 0x18007A, 0x18007B, 0x18007C, 0x18007D, 0x18007E, 0x18007F, 0x180080, 0x180081, 0x180082, 0x180088, 0x180089 Wenden Sie sich an den Citrix Support.
      Weiterleitungsfehler bei CVMS-Anfragen 0x18006F, 0x180070, 0x180071, 0x180072, 0x180073, 0x180074, 0x180075, 0x180076, 0x180077, 0x180078 Wenden Sie sich an den Citrix Support.
      SAML-SSO-Fehler 0x18008A, 0x1800A9, 0x1800AA, 0x1800AB, 0x1800AC, 0x1800AD, 0x1800AE, 0x1800AF, 0x1800B0, 0x1800B1, 0x1800B2, 0x1800B3 Schritte zur Fehlerbehebung
      Ungültige App-FQDN 0x180048 Schritte zur Fehlerbehebung
  Umleitung des sicheren Browserdienstes Backend-App wird nicht geladen DNS-Suche/Verbindungsfehler 0x18009D Schritte zur Fehlerbehebung
      Unerwartete interne Fehler 0x18008B, 0x18008C, 0x18008D, 0x18008E, 0x18008F, 0x180090 Wenden Sie sich an den Citrix Support.
    Surfen im Secure Browser Service ist defekt Einige Links funktionieren nicht 0x180092, 0x180093, 0x180094, 0x180095, 0x180096, 0x180097, 0x180098, 0x180099, 0x18009A, 0x18009B, 0x18009C, 0x18009D, 0x18009E, 0x18009F Wenden Sie sich an den Citrix Support.
  CWA Web Browserfehler — spezifische interne Apps DNS-Suche/Verbindungsfehler 0x1800A0, 0x1800A2, 0x1800A3 Schritte zur Fehlerbehebung
    Spezifische Browserfehler für SaaS-Apps DNS-Suche/Verbindungsfehler 0x1800A6 Schritte zur Fehlerbehebung
    App wird nicht im Browser geladen Interne Parsing-Fehler 0x1800A4, 0x1800A8 Wenden Sie sich an den Citrix Support.
      Feature-Flag-Fehler 0x1800B5 Wenden Sie sich an den Citrix Support.
      App-FQDN-Länge überschritten 0x1800B7 Schritte zur Fehlerbehebung
      Benutzer hat die Anwendung nicht abonniert 0x1800BC Schritte zur Fehlerbehebung
      Falsch konfiguriert als WebApp 0x1800BF Schritte zur Fehlerbehebung
      Deaktiviert für andere Clients als Citrix Workspace 0x1800BD Schritte zur Fehlerbehebung
      Interne Fehler 0x1800B6, 0x1800B8, 0x1800B9, 0x1800B8, 0x1800B9, 0x1800BA, 0x1800BB, 0x1800C0 Wenden Sie sich an den Citrix Support.
    Links innerhalb einer Webseite funktionieren nicht App-Konfiguration oder verwandte Domänen, die nicht für diesen FQDN konfiguriert sind 0x1800C1, 0x1800C3, 0x1800C4, 0x1800CA Wenden Sie sich an den Citrix Support.
  Höhere Sicherheit App wird nicht im Secure Browser Service geöffnet, obwohl sie in der App-Konfiguration überprüft wurde Die kontextbezogene Richtlinienregel steht wahrscheinlich im Widerspruch zu den Einstellungen des abgesicherten Browsers 0x1800C3 Schritte zur Fehlerbehebung
    App muss im Secure Browser Service geöffnet werden, obwohl sie in der App-Konfiguration nicht ausgewählt war   0x18006D Schritte zur Fehlerbehebung
    App wendet Richtlinien wie watermark clipboard access restriceted printing usw. falsch an Verbesserte Sicherheitsrichtlinien sind wahrscheinlich falsch konfiguriert 0x180091 Schritte zur Fehlerbehebung
Citrix Secure Access-App TCP/UDP-Apps Ausfall des Tunnelbaus Konfiguration überschreitet die maximal zulässige Länge 0x1800D0 [Siehe Schritte zur Fehlerbehebung] (#tcpudp -apps—configuration -exceeds-max-allowed-length)
      Fehlformatierte Kundenanfragen 0x1800CD, 0x1800CE, 0x1800D6, 0x1800EA Schritte zur Fehlerbehebung
      Fehler beim Aufbau des Tunnels aufgrund interner Fehler 0x1800CC, 0x1800CF, 0x1800D1, 0x1800D2, 0x1800D3, 0x1800D4, 0x1800D5, 0x1800D7, 0x1800D8, 0x1800D9, 0x1800DA, 0x1800E1, 0x1800E2, 0x1800E4, 0x1800E5, 0x1800E6, 0x1800E7, 0x1800E8, 0x1800E9, 0x1800EE Wenden Sie sich an den Citrix Support.
    Tunnelfehler aufgrund falsch konfigurierter App-Konfigurationen Verbesserte Sicherheitskontrolle für TCP/UDP-Apps nicht zulässig 0x1800DC Schritte zur Fehlerbehebung
      Secure Browser Service-Umleitung ist für TCP/UDP-Apps nicht zulässig 0x1800DD Schritte zur Fehlerbehebung
      Kein Routingdomäneneintrag für angegebenen FQDN 0x1800DE Schritte zur Fehlerbehebung
      Zugriff aufgrund der Richtlinienkonfiguration verweigert 0x1800DF, 0x1800E3 Schritte zur Fehlerbehebung
      IPV6 wird nicht unterstützt 0x1800EB Schritte zur Fehlerbehebung
      Zugriff wegen ungültiger IP verweigert 0x1800EC, 0x1800ED Schritte zur Fehlerbehebung

Empfohlene Problemumgehungen

Eine oder mehrere Apps, die nicht im Benutzer-Dashboard aufgeführt sind

Aufgrund der kontextbezogenen Richtlinieneinstellungen werden Apps für einige Benutzer oder Geräte möglicherweise nicht angezeigt. Parameter wie Vertrauensfaktoren (Gerätehaltung oder Risikobewertung) können die Zugänglichkeit der Anwendungen beeinflussen.

  1. Kopieren Sie die Transaktions-ID aus der Spalte reasons für den Fehlercode 0x18005C in der CSV-Datei Diagnostic Logs.
  2. Ändern Sie den Filter für die Spalte prod in der CSV-Datei, um Ereignisse aus der Komponente SWA.PSE oder SWA.PSE.EVENTS anzuzeigen. Dieser Filter zeigt nur Protokolle, die sich auf die Richtlinienauswertung beziehen
  3. Suchen Sie in der Spalte reason nach der ausgewerteten Policy-Nutzlast. Diese Payload zeigt die ausgewertete Richtlinie für den Benutzerkontext für alle Apps, die der Benutzer abonniert hat.
  4. Wenn die Richtlinienbewertung ergibt, dass die App für den Benutzer verweigert wurde, kann dies folgende Gründe haben:
    • Falsche Übereinstimmungsbedingungen in der Richtlinie — Überprüfen Sie die Konfiguration der App-Richtlinie in Citrix Cloud
    • Falsche Übereinstimmungsregeln in der Richtlinie — Überprüfen Sie die Konfiguration der App-Richtlinie in Citrix Cloud
    • Falsche übereinstimmende Standardregel in der Richtlinie - dies ist ein Fall-Through-Fall. Passen Sie die Bedingungen entsprechend an.

Benutzer hat die Anwendung nicht abonniert

Der Benutzer hat möglicherweise auf den App-Link geklickt, für den der Benutzer möglicherweise nicht abonniert ist.

Stellen Sie sicher, dass der Benutzer Abonnements für die Anwendungen hat.

  1. Gehen Sie zur Anwendung im Management-Portal.
  2. Bearbeiten Sie die App und gehen Sie zur Registerkarte Abonnement.
  3. Stellen Sie sicher, dass der Zielbenutzer einen Eintrag in der Abonnementliste hat.

Langsame Backend-App-Leistung

Es gibt Fälle, in denen das Kundennetzwerk aufgrund der Konnektoren an einem Ressourcenstandort, die möglicherweise ausgefallen sind, unfähig ist oder der Backend-Server selbst nicht reagiert.

  1. Stellen Sie sicher, dass sich die Connector-Appliance geografisch in der Nähe des Backend-Servers befindet, um Netzwerklatenzen auszuschließen.
  2. Überprüfen Sie, ob die Firewall des Backend-Servers die Connector-Appliance nicht blockiert.
  3. Überprüfen Sie, ob der Client eine Verbindung zum nächstgelegenen Cloud-POP herstellt.

    Zum Beispiel, nslookup nssvc.dnsdiag.net auf dem Client, der kanonische Name in der Antwort zeigt den geospezifischen Server an, beispielsweise aws-us-w.g.nssvc.net..

App-FQDN-Länge überschritten

App-FQDNs dürfen eine Länge von 512 Zeichen nicht überschreiten. Überprüfen Sie den FQDN der Anwendung auf der App-Konfigurationsseite. Stellen Sie sicher, dass die Länge 512 Byte nicht überschreitet.

  1. Gehen Sie in der Verwaltungskonsole zur Registerkarte Anwendungen.
  2. Suchen Sie nach der Anwendung, deren FQDN 512 Zeichen überschreitet.
  3. Bearbeiten Sie die Anwendung und korrigieren Sie die FQDN-Länge der App.

App-Detaillänge überschritten

Überprüfen Sie die Richtlinien, ob sie den App-Zugriff blockieren.

  1. Gehen Sie zu Zugriffsrichtlinien.
  2. Suchen Sie nach den Richtlinien, für die die App eine Berechtigung hat.
  3. Überprüfen Sie die Richtlinienregeln und -bedingungen für den Endbenutzer.

App-Zugriff wurde verweigert

Dies bezieht sich auf kontextbezogene Richtlinien, bei denen Richtlinien die App für einen bestimmten Benutzer verweigern.

Überprüfen Sie die Richtlinien, ob sie den App-Zugriff blockieren

  1. Gehen Sie zu Zugriffsrichtlinien.
  2. Suchen Sie nach den Richtlinien, für die die App eine Berechtigung hat.
  3. Überprüfen Sie die Richtlinienregeln und -bedingungen für den Endbenutzer.

Verbindungsaufbau zwischen Citrix Cloud und lokalen Connectors fehlgeschlagen

Das App-Routing schlägt aufgrund der Nichtverfügbarkeit von TCP-Verbindungen mit lokalen Connectors fehl.

Ereignisse aus der Controller-Komponente überprüfen

  1. Suchen Sie in der CSV-Datei mit den Diagnoseprotokollen die transaction ID für Fehlercode 0x1800EF.
  2. Filtert alle Ereignisse, die der Transaktions-ID in der CSV-Datei entsprechen.
  3. Filtern Sie auch die Spalte prod in der CSV-Datei die mit SWA.GOCTRL übereinstimmt.

    Wenn Sie Ereignisse mit der Meldung connectType multiconnect::success? sehen:

    • Dies zeigt an, dass die Anforderung zur Tunneleinrichtung erfolgreich an den Controller weitergeleitet wurde.
    • Überprüfen Sie, ob Resource Location in der Protokollmeldung korrekt ist. Wenn es falsch ist, korrigieren Sie den Ressourcenstandort im Abschnitt zur App-Konfiguration im Citrix Verwaltungsportal.
    • Überprüfen Sie, ob VDA Ip and Port in der Protokollmeldung korrekt ist. Die VDA-IP und der Port geben die IP und den Port der Backend-Anwendung an. Wenn es falsch ist, korrigieren Sie den FQDN oder die IP-Adresse der App im Abschnitt zur App-Konfiguration im Citrix Verwaltungsportal.
    • Fahren Sie mit der Überprüfung der Connector-Ereignisse fort, wenn Sie keine zuvor genannten Probleme finden.

    Wenn Sie Ereignisse mit der Meldung connectType, connect::failure oder multiconnect::success sehen;

    • Überprüfen Sie, ob der empfohlene Fix für diese Protokollmeldung lautet - Check if connector is still connected to same pop. Dies weist darauf hin, dass der Konnektor am Ressourcenstandort möglicherweise ausgefallen ist. Fahren Sie mit der Überprüfung der Connector-Ereignissefort
    • Wenden Sie sich an den Citrix Kundensupport, wenn die zuvor genannten Meldungen nicht angezeigt werden.

    Wenn Ereignisse mit der Meldung connectType IntraAll::failure angezeigt werden, wenden Sie sich an den Citrix Customer Support.

Ereignisse aus der Konnektorkomponente überprüfen

  1. Suchen Sie in der CSV-Datei mit den Diagnoseprotokollen die transaction ID für Fehlercode 0x1800EF.
  2. Filtert alle Ereignisse, die der Transaktions-ID in der CSV-Datei entsprechen.
  3. Filtern Sie die Spalte prod in der CSV-Datei die mit SWA.ConnectorAppliance.WebApps übereinstimmt.
  4. Wenn Sie Ereignisse mit status failure sehen:
    • Überprüfen Sie die Meldung reason für jedes dieser Fehlerereignisse.
    • UnableToRegister gibt an, dass sich der Connector nicht erfolgreich bei Citrix Cloud registrieren konnte. Wenden Sie sich an Citrix Support
    • IsProxyRequiredCheckError oder ProxyDialFailed oder ProxyConnectionFailed oder ProxyAuthenticationFailure oder ProxiesUnReachable gibt an, dass der Konnektor die Backend-URL nicht über die Proxykonfiguration auflösen konnte. Überprüfen Sie die Proxy-Konfiguration auf Richtigkeit.
    • Weitere Informationen zum Debuggen finden Sie unter Connector-SSO-Ereignisse.

Single Sign-On-Fehler

Bei Single Sign-On werden verschiedene SSO-Attribute aus der App-Konfiguration extrahiert und beim Start der App angewendet. Wenn dieser bestimmte Benutzer nicht über die Attribute verfügt oder wenn die Attribute falsch sind, schlägt das Single Sign-On möglicherweise fehl. Stellen Sie sicher, dass die Konfiguration korrekt aussieht.

  1. Gehen Sie zu Zugriffsrichtlinien.
  2. Suchen Sie nach den Richtlinien, für die die App eine Berechtigung hat.
  3. Überprüfen Sie die Richtlinienregeln und -bedingungen für den Endbenutzer.

SSO-Methoden wie Form SSO, Kerberos und NTLM werden vom lokalen Konnektor ausgeführt. Überprüfen Sie die folgenden Diagnoseprotokolle vom Konnektor.

SSO-Ereignisse von der Konnektorkomponente abfragen

  1. Filtern Sie component name, der SWA.ConnectorAppliance.WebApps in der CSV-Datei übereinstimmt.
  2. Sehen Sie Ereignisse mit Status “Fehler”?
    • Überprüfen Sie die Meldung für jedes dieser Fehlerereignisse.
    • IsProxyRequiredCheckError oder ProxyDialFailed oder ProxyConnectionFailed oder ProxyAuthenticationFailure oder ProxiesUnReachable gibt an, dass der Konnektor die Backend-URL nicht über die Proxykonfiguration auflösen konnte. Überprüfen Sie die Proxy-Konfiguration auf Richtigkeit.
    • FailedToReadRequest oder RequestReceivedForNonSecureBrowse oder UnableToRetrieveUserCredentials oder CCSPolicyIsNotLoaded oder FailedToLoadBaseClient oder ProcessConnectionFailure oder WebAppUnSupportedAuthType weist auf einen Tunnelausfall hin. Wenden Sie sich an Citrix Support
    • UnableToConnectTargetServer zeigt an, dass der Backend-Server über den Connector nicht erreichbar ist. Überprüfen Sie die Backend-Konfiguration erneut.
    • IncorrectFormAppConfiguration oder NoLoginFormFound oder FailedToConstructForLoginActionURL oder FailedToLoginViaFormBasedAuth weist auf einen formularbasierten Authentifizierungsfehler hin. Überprüfen Sie den Abschnitt SSO-Konfiguration des Formulars unter App-Konfiguration im Citrix Verwaltungsportal.
    • NTLMAuthNotFound weist auf einen NTLM-basierten Authentifizierungsfehler hin. Überprüfen Sie den Abschnitt NTLM-SSO-Konfiguration in der App-Konfiguration im Citrix Management-Portal.
    • Weitere Informationen zum Debuggen finden Sie unter Connector-Ereignisse.

Authentifizierungsserver ausgefallen

Secure Private Access ermöglicht es Administratoren, einen Authentifizierungsdienst eines Drittanbieters wie das herkömmliche Active Directory, AAD, Okta oder SAML zu konfigurieren. Ausfälle bei diesen Authentifizierungsdiensten können dieses Problem verursachen.

Überprüfen Sie, ob die Server von Drittanbietern betriebsbereit und erreichbar sind.

SAML-SSO-Fehler

Benutzer haben beim Start der App einen Authentifizierungsfehler, wenn sie IdP-initiiert wird, oder es werden möglicherweise unzugängliche Links angezeigt, wenn sie SP-initiiert wird. Überprüfen Sie auch die SAML-App-Konfiguration auf der Secure Private Access Service-Seite und die Konfiguration des Dienstanbieters.

Secure Private Access-Konfiguration:

  1. Gehen Sie zur Registerkarte Anwendungen.
  2. Suchen Sie nach der problematischen SAML-App.
  3. Bearbeiten Sie die Anwendung und wechseln Sie zur Registerkarte Single Sign On.
  4. Überprüfen Sie die folgenden Felder.
    • Assertion-URL
    • Relay-Status
    • Zielgruppe
    • Namens-Id-Format, Namen-ID und zusätzliche Attribute

Konfiguration des Dienstanbieters:

  1. Melden Sie sich beim Dienstanbieter an.
  2. Gehen Sie zu den SAML-Einstellungen.
  3. Überprüfen Sie das IdP-Zertifikat, die Zielgruppe und die IdP-Anmelde-URL.

Wenn die Konfiguration korrekt aussieht, wenden Sie sich an den Citrix Support.

Ungültige App-FQDN

Der Kundenadministrator hat möglicherweise einen ungültigen FQDN oder einen FQDN angegeben, bei dem die DNS-Auflösung auf dem Backend-Server fehlschlägt.

In diesem Fall sieht der Endbenutzer einen Fehler auf der Webseite. Überprüfen Sie die Anwendungseinstellungen.

SaaS-App-Validierung

Prüfen Sie, ob über das Netzwerk auf die App zugegriffen werden kann.

Web-App-Validierung

  1. Gehen Sie zur Registerkarte Anwendungen.
  2. Bearbeiten Sie die problematische Anwendung.
  3. Gehen Sie zur Seite App-Details.
  4. Prüfen Sie die URL. Die URL muss entweder im Intranet oder im Internet zugänglich sein.

Secure Browser Service — DNS-Suche/Verbindungsfehler

Defektes Surferlebnis über Secure Browser Service. Überprüfen Sie den Backend-Server, den der Endbenutzer zu verbinden versucht.

  1. Gehen Sie zum Backend-Server und überprüfen Sie, ob er läuft und die Anfragen empfangen kann.
  2. Überprüfen Sie die Proxy-Einstellungen, wenn die Verbindung zum Backend-Server unterbrochen wird.

CWA Web — DNS-Suche/Verbindungsfehler für Web-Apps

Fehlerhafte Browsererfahrung bei Webanwendungen, die im Unternehmensnetzwerk ausgeführt werden.

  1. Filtern Sie die Diagnoseprotokolle nach FQDNs, die nicht auflösbar sind.
  2. Überprüfen Sie die Erreichbarkeit des Backend-Servers innerhalb des Unternehmensnetzwerks.
  3. Überprüfen Sie die Proxyeinstellungen, um festzustellen, ob der Connector daran gehindert ist, den Backend-Server zu erreichen.

CWA Web — DNS-Such-/Verbindungsfehler für SaaS-Apps

Fehlerhafte Browsererfahrung bei SaaS-Anwendungen, die in der Public Cloud ausgeführt werden.

  1. Filtern Sie die Diagnoseprotokolle nach FQDNs, die nicht auflösbar sind.
  2. Überprüfen Sie die Erreichbarkeit des Backend-Servers.

Direktzugriff — falsch konfiguriert als Web-App

Da der Web-App-Datenverkehr immer über den Connector geleitet wird, führt die Konfiguration des direkten Zugriffs auf sie zu einem App-Zugriffsfehler.

Überprüfen Sie auf die widersprüchliche Konfiguration zwischen der Routingdomänentabelle und der App-Konfiguration.

  1. Gehen Sie zur Anwendung im Management-Portal.
  2. Bearbeiten Sie die App und prüfen Sie, ob der Direktzugriff aktiviert ist.
  3. Überprüfen Sie den App-FQDN in der Routingdomänentabelle, wenn er als intern markiert wurde.

Direktzugriff für andere Clients als Citrix Workspace deaktiviert

Die App-Konfiguration deaktiviert den direkten Zugriff für Datenverkehr, der von browserbasierten Clients stammt.

Stellen Sie sicher, dass der Benutzer Abonnements für die Anwendungen hat.

  1. Gehen Sie zur Anwendung im Management-Portal.
  2. Bearbeiten Sie die App und überprüfen Sie die Konfiguration für den agentenlosen Zugriff.

Verbesserte Sicherheitsrichtlinien — Fehlkonfiguration des Secure Browser Service

Falsches Verhalten als in den Richtlinienregeln beabsichtigt. Überprüfen Sie die kontextbezogenen Zugriffsrichtlinien.

  1. Gehen Sie zur Registerkarte Richtlinien.
  2. Überprüfen Sie die Richtlinien, die mit der Anwendung verknüpft sind.
  3. Überprüfen Sie die Regeln für diese Richtlinien.

Verbesserte Sicherheitsrichtlinien — Fehlkonfiguration der Richtlinien

Falsches Verhalten als in den Richtlinienregeln beabsichtigt. Überprüfen Sie die erweiterten Sicherheitseinstellungen.

  1. Gehe zur Anwendung.
  2. Klicken Sie auf die Registerkarte Zugriffsrichtlinien.
  3. Überprüfen Sie die Einstellungen im Abschnitt Verfügbare Sicherheitseinschränkungen.

TCP/UDP-Apps — Konfiguration überschreitet maximal zulässige Länge

Die Citrix Secure Access-App kann nicht erfolgreich einen vollständigen Tunnel zur Citrix Cloud einrichten.

  1. Überprüfen Sie die Konfiguration der Routingdomäne für die TCP/UDP-Apps.
  2. Stellen Sie sicher, dass die maximale Anzahl von Einträgen innerhalb der 16k-Grenze liegt.

TCP/UDP-Apps — Fehlformatierte Clientanfragen

Entweder ist der VPN-Tunnel nicht eingerichtet oder bestimmte FQDNs wurden möglicherweise nicht getunnelt.

  1. Stellen Sie sicher, dass die Anfragen nicht von Proxys in der Mitte hergestellt oder rekonstruiert werden.
  2. Mutmaßliche Man-in-Middle-Angriffe.

TCP/UDP-Apps — Verbesserte Fehlkonfiguration der Sicherheitsrichtlinien

Erweiterte Sicherheitskontrollen können nur für die Web-Apps und nicht für TCP/UDP-Apps angewendet werden. Überprüfen Sie die App-Konfiguration in der Secure Private Access Service-GUI.

TCP/UDP-Apps - Fehlkonfiguration der Umleitung des sicheren Browserdienstes

Secure Browser Service-Weiterleitungen können nur für Web-Apps und nicht für TCP/UDP-Apps angewendet werden. Überprüfen Sie die App-Konfiguration in der Secure Private Access Service-GUI.

TCP/UDP-Apps - Kein Routing-Domäneneintrag für einen bestimmten FQDN

Stellen Sie sicher, dass alle internen FQDNs, die vom Citrix Secure Access-Client getunnelt werden müssen, einen entsprechenden Eintrag in der Routingdomänentabelle haben müssen.

TCP/UDP Apps — IPV6 wird nicht unterstützt

Überprüfen Sie die Einträge der Routingdomäne Stellen Sie sicher, dass die Tabelle keine IPV6-Einträge enthält.

TCP/UDP Apps — Ungültige IP-Adressen

Überprüfen Sie die Einträge der Routingdomäne Stellen Sie sicher, dass die IP-Adressen gültig sind und auf das richtige Backend verweisen.

Probleme im Zusammenhang mit Apps beheben