Citrix Secure Private Access

Solucionar problemas relacionados con las aplicaciones

En este tema se proporciona información sobre algunos de los problemas comunes que puede encontrar al configurar o acceder a una aplicación. Además, mientras se prueban las aplicaciones para los controles de seguridad. Estos errores y los códigos de error asociados también se capturan en los registros de diagnóstico.

Arquitectura de servicio Secure Private Access

El siguiente diagrama ilustra la arquitectura del sistema de alto nivel del servicio Secure Private Access. Los componentes que se enumeran en el diagrama resumen el flujo de datos en los distintos componentes involucrados en el flujo de inicio de la aplicación.

Nube de acceso privado seguro: un servicio multiusuario distribuido que se ejecuta en varias regiones del mundo. Incluye varios componentes, principalmente un componente proxy de nube que atrae todo el tráfico de clientes, aplica varias directivas configuradas por el administrador antes de tomar decisiones de redirección a aplicaciones SaaS que se ejecutan en otras aplicaciones de nube pública o de escritorios y web que se ejecutan dentro de los centros de datos de los clientes.

Dispositivo conector local: los conectores se ejecutan en el centro de datos del cliente e incluyen varios componentes junto con el proveedor de acceso privado seguro. El dispositivo se registra primero en Citrix Cloud, tras lo cual se registra en el POP de nube de Secure Private Access más cercano.

Clientes: Los clientes se clasifican a grandes rasgos en dos categorías.

  • Citrix Workspace (CWA): estos clientes están disponibles como aplicaciones nativas móviles y de escritorio o como clientes basados en web. Estos clientes se conectan primero a Citrix Cloud durante el inicio de sesión del usuario. Citrix Cloud, además de las diversas operaciones, recupera aplicaciones web y SaaS de la nube Secure Private Access y las muestra en el panel del usuario.
  • Cliente Citrix Secure Access: es un agente VPN que configura un túnel VPN con SSL para los servidores proxy VPN en el servicio Secure Private Access. Una vez que se completa el establecimiento del túnel, realiza la interceptación de capa 3 del tráfico de red en la máquina cliente y tuneliza selectivamente ciertas aplicaciones/FQDN TCP o UDP configurados en la nube de Acceso privado seguro a través del dispositivo Connector a través del proxy VPN en la nube de Acceso privado seguro.

Arquitectura de sistemas de nivel

Puntos a tener en cuenta

  • Herramienta de diagnóstico:

    • Este tema complementa la herramienta de diagnóstico de SPA que está disponible actualmente como script de PowerShell. Los administradores deben ejecutar primero los diagnósticos cuando encuentran un comportamiento inesperado para sus usuarios.

    • La herramienta de diagnóstico agrupa eventos analíticos de varios componentes del sistema Secure Private Access. Este tema lo guía para navegar hasta el archivo csv de diagnósticos para solucionar problemas relacionados con la configuración en el portal en la nube de Secure Private Access o en el dispositivo Connector administrado por el cliente en las instalaciones.

  • Filtrado de eventos en la herramienta de diagnóstico Secure Private Access

    La mayoría de los componentes de Citrix Cloud, incluidos los componentes del servidor Secure Private Access, envían información de diagnóstico útil indexada como tablas e incluyen la marca de tiempo, la información de la aplicación, la información del usuario, el tipo de producto o componente, los códigos de error, el motivo del fallo, la solución recomendada, etc.

    1. Descargue y abra el archivo CSV en Microsoft Excel o una aplicación similar.
    2. Active la opción Datos > Filtro.

    Archivo csv de SPA Diagnostics

    1. En la columna Prod, seleccione WebSaas.
    2. Agregue un filtro adicional en la columna userName y seleccione el nombre de usuario afectado. Si un grupo de usuarios se enfrenta al problema, puede seleccionar cualquier usuario del grupo.

      Agregar estos filtros le ayuda a limitar los eventos de diagnóstico al primer componente de redirección de Secure Private Access en la nube para un usuario específico.

      La columna reason del archivo CSV proporciona registros detallados de los eventos de error o éxito, que incluye error code, junto con la información de la aplicación, como App Name y App Id.

    3. Copie el código de error relacionado con la aplicación para la que está solucionando problemas y búsquelo en la tabla de búsqueda de errores de Secure Private Access.

Tabla de búsqueda de errores de Secure Private Access

La siguiente tabla de búsqueda de errores proporciona una visión general completa de los diversos errores que los usuarios pueden encontrar cuando utilizan el servicio Secure Private Access.

La tabla recoge la siguiente información:

  • Tipo de acceso : indica el tipo de software cliente utilizado. Para todos los inicios de aplicaciones web y SaaS con el cliente grueso de Citrix Workspace o el cliente ligero de Citrix Workspace basado en navegador, el tipo de acceso se establece en la aplicación Citrix Workspace. Del mismo modo, para las aplicaciones TCP y UDP, el tipo de acceso se establece en Citrix Secure Access.

    La diferencia entre la aplicación Citrix Workspace y Citrix Secure Access es la tecnología de tunelización subyacente que se utiliza para acceder a la aplicación de backend que se ejecuta detrás del firewall corporativo. La aplicación Citrix Workspace proporciona acceso sin agentes a aplicaciones web y SaaS, mientras que Citrix Secure Access es un cliente VPN con SSL que realiza la redirección de capa 3 del tráfico del cliente a través del servidor VPN en la nube.

  • App Operation - Indica la funcionalidad de alto nivel de Secure Private Access para aplicaciones Web/SaaS y TCP/UDP.

    Para la aplicación Citrix Workspace, dado que se trata de aplicaciones web/SaaS, se clasifica en las siguientes categorías:

    • App Enumeration - Esta es la operación de preinicio que implica enumerar todas las aplicaciones a las que está suscrito el usuario, en el panel del usuario, inmediatamente después de iniciar sesión en la aplicación Citrix Workspace.
    • App Access - La operación que realiza un usuario como parte del inicio de la aplicación haciendo clic en el icono de la aplicación.
    • Enhanced Security - El administrador configura esta operación en la consola de administración y el usuario ve el efecto de la misma. Por ejemplo, habilitar restricciones como Cortar/Copiar/Pegar, etc., o aplicar el acceso condicional, como redirigir al usuario al Servicio Secure Browser en lugar del acceso directo si el dispositivo del usuario no cumple con ciertos requisitos de cumplimiento.

    Para Citrix Secure Access, ya que nos ocupamos de la tunelización del tráfico TCP-UDP, las operaciones de la aplicación son:

    • Tunnel Establishment : la operación realizada por un usuario como parte del establecimiento de una conexión VPN en Citrix Secure Access.
    • Packet Tunneling - esta operación ocurre una vez que se establece el túnel VPN y el cliente reenvía los paquetes IP al servidor VPN.
Tipo de acceso Funcionamiento de la aplicación comportamiento de la interfaz Descripción del error Código de error relacionado Pasos recomendados
Aplicación Citrix Workspace Enumeración de aplicaciones Una o más aplicaciones que no figuran en el panel de control de CWA Aplicaciones restringidas por la directiva contextual 0x180055 Consulte los pasos de solución
    No hay aplicaciones en el panel de control de CWA) Errores de búsqueda   Contactar con Citrix Support
      Errores de evaluación   Contactar con Citrix Support
  Acceso a aplicaciones Acceso denegado al usuario a los enlaces dentro de una aplicación El usuario no está suscrito a la aplicación 0x1800BC Consulte los pasos de solución
      Aplicaciones restringidas por la directiva contextual 0x18000F Consulte los pasos de solución
    Rendimiento lento de las aplicaciones de backend Aplicaciones restringidas por la directiva contextual 0x18000F Consulte los pasos de solución
      Aplicaciones restringidas por la directiva contextual 0x18000F Consulte los pasos de solución
    Las aplicaciones no se abren ni producen errores Se ha superado la longitud del FQDN 0x180006 Consulte los pasos de solución
      Se ha superado la longitud de detalles 0x18000E Consulte los pasos de solución
      Se ha denegado el acceso a 0x18000A Consulte los pasos de solución
      Fallo de establecimiento de conexión entre Citrix Cloud y los conectores locales 0x1800EF Consulte los pasos de solución
      Fallo de establecimiento de conexión entre Citrix Cloud y los conectores locales 0x1800EF Consulte los pasos de solución
      Errores de registro único 0x180001, 0x18001A, 0x18001B Consulte los pasos de solución
      Servidor de autenticación inactivo 0x180022 Consulte los pasos de solución
      errores de StoreFront 0x180002, 0x180003, 0x180004, 0x180005, 0x180033, 0x180034, 0x180037, 0x180035 Contactar con Citrix Support
      Errores de evaluación 0x18000F, 0x18001D, 0x18001E, 0x18001F, 0x180020, 0x18006E Contactar con Citrix Support
      errores de memoria caché 0x18000C, 0x18000D, 0x180010, 0x180029, 0x18002A, 0x180036, 0x18004E Contactar con Citrix Support
      Errores de caché global (servicio de tickets) 0x180016, 0x180044, 0x180045 Contactar con Citrix Support
      Errores previos al lanzamiento del servicio Secure 0x180017, 0x180018 Contactar con Citrix Support
      Errores internos 0x180007, 0x180011, 0x180012, 0x180013, 0x180014, 0x180015, 0x180019, 0x180021, 0x180025, 0x180028, 0x18002B, 0x18002D, 0x18002E, 0x18003F, 0x180040, 0x180047, 0x180063, 0x180064, 0x180065, 0x180066, 0x180067, 0x180068, 0x18006A Contactar con Citrix Support
      Errores de indicadores 0x18001C, 0x180087 Contactar con Citrix Support
      Auth errores internos 0x180021, 0x180022, 0x180023, 0x180024, 0x180026, 0x180027, 0x180039, 0x18003A, 0x18003B, 0x18003C, 0x18003D, 0x180042, 0x180043, 0x180046, 0x180049, 0x18006B, 0x180083, 0x180084, 0x180085, 0x180086 Contactar con Citrix Support
      VPN sin cliente: errores internos de reescritura de URL 0x180041, 0x180069, 0x1800C2, 0x1800C4, 0x1800C6, 0x1800C6, 0x1800C8, 0x1800C9, 0x1800CA Contactar con Citrix Support
      Fallo en la validación de OTT 0x180079, 0x18007A, 0x18007B, 0x18007C, 0x18007D, 0x18007E, 0x18007F, 0x180080, 0x180081, 0x180082, 0x180088, 0x180089 Contactar con Citrix Support
      Fallo de reenvío de la solicitud CVMS 0x18006F, 0x180070, 0x180071, 0x180072, 0x180073, 0x180074, 0x180075, 0x180076, 0x180077, 0x180078 Contactar con Citrix Support
      Fallo de SSO de SAML 0x18008A, 0x1800A9, 0x1800AA, 0x1800AB, 0x1800AC, 0x1800AD, 0x1800AE, 0x1800AF, 0x1800B0, 0x1800B1, 0x1800B2, 0x1800B3 Consulte los pasos de solución
      FQDN de aplicación no válido 0x180048 Consulte los pasos de solución
  Redireccionamiento de Secure Browser Service La aplicación de backend no se carga Errores de conexión/búsqueda de DNS 0x18009D Consulte los pasos de solución
      Errores internos inesperados 0x18008B, 0x18008C, 0x18008D, 0x18008E, 0x18008F, 0x180090 Contactar con Citrix Support
    Navegación en Secure Browser Service interrumpida Algunos enlaces no funcionan 0x180092, 0x180093, 0x180094, 0x180095, 0x180096, 0x180097, 0x180098, 0x180099, 0x18009A, 0x18009B, 0x18009C, 0x18009D, 0x18009E, 0x18009F Contactar con Citrix Support
  CWA Web Errores del navegador aplicaciones internas específicas Errores de búsqueda/conexión DNS 0x1800A0, 0x1800A2, 0x1800A3 Consulte los pasos de solución
    Errores del navegador específicos de aplicaciones SaaS Errores de búsqueda/conexión DNS 0x1800A6 Consulte los pasos de solución
    La aplicación no se carga en el navegador Errores de análisis internos 0x1800A4, 0x1800A8 Contactar con Citrix Support
      Error de indicador de función 0x1800B5 Contactar con Citrix Support
      Se ha superado la longitud del FQDN 0x1800B7 Consulte los pasos de solución
      El usuario no está suscrito a la aplicación 0x1800BC Consulte los pasos de solución
      Configuración incorrecta como WebApp 0x1800BF Consulte los pasos de solución
      Inhabilitado para clientes que no sean Citrix Workspace 0x1800BD Consulte los pasos de solución
      Errores internos 0x1800B6, 0x1800B8, 0x1800B9, 0x1800B8, 0x1800B9, 0x1800BA, 0x1800BB, 0x1800C0 Contactar con Citrix Support
    Los enlaces dentro de una página web no funcionan Configuración de aplicaciones o dominios relacionados no configurados para este FQDN 0x1800C1, 0x1800C3, 0x1800C4, 0x1800CA Contactar con Citrix Support
  Seguridad mejorada La aplicación no se abre en Secure Browser Service aunque se haya comprobado en la configuración de la aplicación Es probable que la regla de directiva contextual entre en conflicto con la configuración de Secure Browser Service 0x1800C3 Consulte los pasos de solución
    Aplicación forzada a abrirse en Secure Browser Service aunque no se seleccionó en la configuración de la aplicación   0x18006D Consulte los pasos de solución
    Aplicación incorrecta de directivas como watermark clipboard access restriceted printing. Es probable que las directivas de seguridad mejoradas estén mal configuradas 0x180091 Consulte los pasos de solución
Aplicación Citrix Secure Access Aplicaciones TCP/UDP Fallo en el establecimiento La configuración supera la longitud máxima permitida 0x1800D0 Consulte los pasos de solución de problemas
      Solicitudes de clientes mal formadas 0x1800CD, 0x1800CE, 0x1800D6, 0x1800EA Consulte los pasos de solución
      Fallo en el establecimiento del túnel debido a errores internos 0x1800CC, 0x1800CF, 0x1800D1, 0x1800D2, 0x1800D3, 0x1800D4, 0x1800D5, 0x1800D7, 0x1800D8, 0x1800D9, 0x1800DA, 0x1800E1, 0x1800E2, 0x1800E4, 0x1800E5, 0x1800E6, 0x1800E7, 0x1800E8, 0x1800E9, 0x1800EE Contactar con Citrix Support
    Errores de tunelización debido a configuraciones de aplicaciones mal configuradas Control de seguridad mejorado no permitido para aplicaciones TCP/UDP 0x1800DC Consulte los pasos de solución
      La redirección de Secure Browser Service no está permitida para aplicaciones 0x1800DD Consulte los pasos de solución
      Sin entrada de dominio de redirección para el FQDN dado 0x1800DE Consulte los pasos de solución
      Acceso denegado debido a la configuración de directivas 0x1800DF, 0x1800E3 Consulte los pasos de solución
      IPV6 no compatible 0x1800EB Consulte los pasos de solución
      Acceso denegado debido a una IP no válida 0x1800EC, 0x1800ED Consulte los pasos de solución

Soluciones recomendadas

Una o más aplicaciones que no aparecen en el panel del usuario

Debido a la configuración de la directiva contextual, es posible que algunas aplicaciones no se vean para algunos usuarios o dispositivos. Parámetros como los factores de confianza (postura del dispositivo o puntuación de riesgo) pueden afectar a la accesibilidad de las aplicaciones.

  1. Copie el ID de transacción de la columna reasons correspondiente al código de error 0x18005C en el archivo CSV de registros de diagnóstico.
  2. Modifique el filtro de la columna prod en el archivo CSV para mostrar eventos del componente llamado SWA.PSE o SWA.PSE.EVENTS. Este filtro solo muestra los registros relacionados con la evaluación de directivas.
  3. Busque la carga útil de la directiva evaluada en la columna reason. Esta carga útil muestra la directiva evaluada para el contexto del usuario para todas las aplicaciones a las que está suscrito el usuario.
  4. Si la evaluación de la directiva indica que se ha denegado la aplicación para el usuario, las posibles razones pueden ser:
    • Condiciones coincidentes incorrectas en la directiva: compruebe la configuración de directivas de aplicaciones en Citrix Cloud
    • Reglas de coincidencia incorrectas en la directiva: compruebe la configuración de directivas de aplicaciones en Citrix Cloud
    • Regla predeterminada de coincidencia incorrecta en la directiva: este es un caso de caída. Ajuste las condiciones en consecuencia.

El usuario no está suscrito a la aplicación

Es posible que el usuario haya hecho clic en el enlace de la aplicación a la que puede que no esté suscrito.

Asegúrese de que el usuario tenga suscripciones a las aplicaciones.

  1. Vaya a la aplicación en el portal de administración.
  2. Modifique la aplicación y vaya a la ficha Suscripción.
  3. Asegúrese de que el usuario objetivo tenga una entrada en la lista de suscripciones.

Rendimiento lento de las aplicaciones de backend

Hay casos en los que la red del cliente es inestable debido a que los conectores de una ubicación de recursos pueden estar inactivos o el propio servidor backend no responde.

  1. Asegúrese de que el dispositivo conector esté colocado geográficamente cerca del servidor backend para descartar latencias de red.
  2. Compruebe si el cortafuegos del servidor backend no bloquea el dispositivo conector.
  3. Compruebe si el cliente se está conectando al POP en la nube más cercano.

    Por ejemplo, nslookup nssvc.dnsdiag.net en el cliente, el nombre canónico de la respuesta indica el servidor geoespecífico, como aws-us-w.g.nssvc.net.

Se ha superado la longitud del FQDN

Los FQDN de aplicaciones no deben superar los 512 caracteres. Compruebe el FQDN de la aplicación en la página de configuración de la aplicación. Asegúrese de que la longitud no supere los 512 bytes de tamaño.

  1. Vaya a la ficha Aplicaciones de la consola de administración.
  2. Busque la aplicación cuyo FQDN supere los 512 caracteres.
  3. Modifique la aplicación y corrija la longitud del FQDN de la aplicación.

Se ha superado la longitud de detalles

Compruebe las directivas si están bloqueando el acceso a la aplicación.

  1. Vaya a Directivas de acceso.
  2. Busca las directivas en las que la aplicación tiene derechos.
  3. Revise las reglas y condiciones de la directiva para el usuario final.

Se denegó el acceso a la aplicación

Esto está relacionado con la directiva contextual, en la que las directivas deniegan la aplicación a un usuario determinado.

Compruebe las directivas si están bloqueando el acceso a la aplicación

  1. Vaya a Directivas de acceso.
  2. Busca las directivas en las que la aplicación tiene derechos.
  3. Revise las reglas y condiciones de la directiva para el usuario final.

Fallo de establecimiento de conexión entre Citrix Cloud y los conectores locales

La redirección de aplicaciones falla debido a la falta de disponibilidad de las conexiones TCP con los conectores locales.

Revisar los eventos del componente del controlador

  1. Busque el transaction ID para el código de error 0x1800EF en el archivo CSV de registros de diagnóstico.
  2. Filtra todos los eventos que coincidan con el ID de transacción en el archivo csv.
  3. Además, filtre la columna prod del archivo CSV que coincida con SWA.GOCTRL.

    Si ve eventos con el mensaje de connectType multiconnect::success?, entonces:

    • Esto indica que la solicitud de establecimiento de túnel se transmitió correctamente al controlador.
    • Compruebe si Resource Location en el mensaje del registro es correcto. Si no es correcta, corrija la ubicación del recurso en la sección de configuración de aplicaciones del portal de administración de Citrix.
    • Compruebe si VDA Ip and Port en el mensaje del registro es correcto. La IP y el puerto del VDA indican la IP y el puerto de la aplicación de backend. Si no es correcto, corrija el FQDN o la dirección IP de la aplicación en la sección de configuración de aplicaciones del portal de administración de Citrix.
    • Revise los eventos de Connector si no encuentra ningún problema mencionado anteriormente.

    Si ve eventos con el mensaje de connectType connect::failure o multiconnect::success, entonces:

    • Compruebe si la solución recomendada para este mensaje de registro indica - Check if connector is still connected to same pop. Esto indica que es posible que el conector de la ubicación de recursos se haya caído. Proceda a revisar los eventos de Connector.
    • Póngase en contacto con el servicio de atención al cliente de Citrix si no aparecen los mensajes mencionados anteriormente

    Si ve eventos con el mensaje connectType de IntraAll::failure, contacte con el servicio de atención al cliente de Citrix.

Revisión de eventos del componente conector

  1. Busque el transaction ID para el código de error 0x1800EF en el archivo CSV de registros de diagnóstico.
  2. Filtra todos los eventos que coincidan con el ID de transacción en el archivo csv.
  3. Además, filtre la columna prod del archivo CSV que coincida con SWA.ConnectorAppliance.WebApps.
  4. Si ve eventos con status como failure, entonces:
    • Revise el mensaje de reason de cada uno de estos eventos de error.
    • UnableToRegister indica que el conector no se pudo registrar correctamente en Citrix Cloud. Póngase en contacto con Citrix Support.
    • IsProxyRequiredCheckError o ProxyDialFailed o ProxyConnectionFailed o ProxyAuthenticationFailure o ProxiesUnReachable indica que el conector no pudo resolver la URL de backend a través de la configuración del proxy. Compruebe que la configuración del proxy sea correcta.
    • Para obtener más información sobre la depuración, consulte Eventos SSO de Connector

Errores de registro único

Para el inicio de sesión único, se extraen y aplican diferentes atributos de SSO de la configuración de la aplicación durante el inicio de la aplicación. Si ese usuario en particular no tiene los atributos o si los atributos son incorrectos, es posible que se produzca un error en el inicio de sesión único. Asegúrese de que la configuración sea correcta.

  1. Vaya a Directivas de acceso.
  2. Busca las directivas en las que la aplicación tiene derechos.
  3. Revise las reglas y condiciones de la directiva para el usuario final.

El conector local realiza los métodos de SSO, como Form SSO, Kerberos y NTLM. Revise los siguientes registros de diagnóstico del conector.

Revisar los eventos de SSO del componente conector

  1. Filtre component name en el archivo CSV que coincida SWA.ConnectorAppliance.WebApps.
  2. ¿Ve los eventos con el estado “error”?
    • Revise el mensaje de cada uno de estos eventos de error.
    • IsProxyRequiredCheckError o ProxyDialFailed o ProxyConnectionFailed o ProxyAuthenticationFailure o ProxiesUnReachable indica que el conector no pudo resolver la URL de backend a través de la configuración del proxy. Compruebe que la configuración del proxy sea correcta.
    • FailedToReadRequest o RequestReceivedForNonSecureBrowse o UnableToRetrieveUserCredentials o CCSPolicyIsNotLoaded o FailedToLoadBaseClient o ProcessConnectionFailure o WebAppUnSupportedAuthType indica un fallo en la tunelización. Póngase en contacto con Citrix Support.
    • UnableToConnectTargetServer indica que no se puede acceder al servidor backend desde el conector. Vuelve a comprobar la configuración de backend.
    • IncorrectFormAppConfiguration o NoLoginFormFound o FailedToConstructForLoginActionURL o FailedToLoginViaFormBasedAuth indica un error de autenticación basada en formularios. Consulte la sección Configuración de SSO del formulario en Configuración de aplicaciones en el portal de administración de Citrix.
    • NTLMAuthNotFound indica un error de autenticación basada en NTLM. Consulte la sección Configuración de SSO NTLM en la configuración de la aplicación en el portal de administración de Citrix.
    • Para obtener más información sobre la depuración, consulte Eventos de Connector.

Servidor de autenticación inactivo

El acceso privado seguro permite a los administradores configurar un servicio de autenticación de terceros, como el Active Directory tradicional, AAD, Okta o SAML. Las interrupciones en estos servicios de autenticación pueden causar este problema.

Compruebe si los servidores de terceros están activos y se puede acceder a ellos.

Fallo de SSO de SAML

Los usuarios se enfrentan a un error de autenticación durante el inicio de la aplicación cuando se inicia el IdP o pueden ver enlaces inaccesibles cuando se inicia el SP. Compruebe la configuración de la aplicación SAML en el lado del servicio Secure Private Access y también en la configuración del proveedor de servicios.

Configuración de acceso privado seguro:

  1. Vaya a la ficha Aplicaciones.
  2. Busca la aplicación SAML problemática.
  3. Modifique la aplicación y vaya a la ficha Single Sign-On.
  4. Compruebe los campos siguientes.
    • URL de aserción
    • Estado de retransmisión
    • Destinatarios
    • Formato de ID de nombre, ID de nombre y atributos adicionales

Configuración del proveedor de servicios:

  1. Inicie sesión en el proveedor de servicios.
  2. Vaya a Configuración de SAML.
  3. Compruebe el certificado del IdP, el público y la URL de inicio de sesión del IdP

Si la configuración parece correcta, póngase en contacto con el soporte de Citrix.

FQDN de aplicación no válido

El administrador del cliente puede haber proporcionado un FQDN no válido o un FQDN donde la resolución de DNS falla en el servidor backend.

En este caso, el usuario final ve un error en la página web. Compruebe la configuración de la aplicación.

Validación de aplicaciones SaaS

Compruebe si se puede acceder a la aplicación desde la red.

Validación de aplicaciones web

  1. Vaya a la ficha Aplicaciones.
  2. Modifique la aplicación problemática.
  3. Vaya a la página Detalles de la aplicación.
  4. Comprueba la URL. La URL debe estar accesible en la intranet o en Internet.

Secure Browser Service: errores de búsqueda/conexión de DNS

Experiencia de navegación interrumpida mediante Secure Browser Service. Comprueba el servidor backend al que el usuario final intenta conectarse.

  1. Ve al servidor backend y comprueba si está en funcionamiento y si puede recibir las solicitudes.
  2. Comprueba la configuración del proxy si detiene la conexión con el servidor backend.

CWA Web: errores de búsqueda/conexión de DNS para aplicaciones web

Experiencia de navegación interrumpida de aplicaciones web que se ejecutan dentro de la red corporativa.

  1. Filtre los registros de diagnóstico de los FQDN que no se pueden resolver.
  2. Verifique la accesibilidad del servidor backend desde dentro de la red corporativa.
  3. Comprueba la configuración del proxy para ver si el conector no puede llegar al servidor backend.

CWA Web: errores de búsqueda/conexión de DNS para aplicaciones SaaS

Experiencia de navegación interrumpida de aplicaciones SaaS que se ejecutan en la nube pública.

  1. Filtre los registros de diagnóstico de los FQDN que no se pueden resolver.
  2. Compruebe la accesibilidad del servidor backend.

Acceso directo: mal configurada como aplicación web

Dado que el tráfico de aplicaciones web siempre se redirige a través del conector, al configurar el acceso directo en ellas se produce un error de acceso a la aplicación.

Compruebe si hay conflictos de configuración entre la tabla de dominios de redirección y la configuración de la aplicación.

  1. Vaya a la aplicación en el portal de administración.
  2. Modifique la aplicación y comprueba si el acceso directo está habilitado.
  3. Verifique el FQDN de la aplicación dentro de la tabla de dominios de redirección si se ha marcado como interno.

Acceso directo inhabilitado para clientes que no sean Citrix Workspace

La configuración de la aplicación inhabilita el acceso directo para el tráfico que se origina en los clientes basados en navegador.

Asegúrese de que el usuario tenga suscripciones a las aplicaciones.

  1. Vaya a la aplicación en el portal de administración.
  2. Modifique la aplicación y compruebe la configuración de acceso sin agente.

Directivas de seguridad mejoradas: configuración incorrecta de Secure Browser Service

Se ha visto un comportamiento incorrecto de lo que pretendían las reglas de la directiva. Consulte las directivas de acceso contextual.

  1. Vaya a la ficha Directivas.
  2. Compruebe las directivas asociadas a la aplicación.
  3. Consulte las reglas de esas directivas.

Directivas de seguridad mejoradas: configuración errónea de directivas

Se ha visto un comportamiento incorrecto de lo que pretendían las reglas de la directiva. Compruebe la configuración de seguridad mejorada.

  1. Vaya a la aplicación.
  2. Haga clic en la ficha Directivas de acceso.
  3. Comprueba la configuración en la sección Restricciones de seguridad disponibles:

Aplicaciones TCP/UDP: la configuración supera la longitud máxima permitida

La aplicación Citrix Secure Access no puede establecer correctamente un túnel completo a Citrix Cloud.

  1. Revise la configuración del dominio de redirección para las aplicaciones TCP/UDP.
  2. Asegúrese de que el número máximo de entradas esté dentro del límite de 16 000.

Aplicaciones TCP/UDP: solicitudes de clientes mal formadas

El túnel VPN no está establecido o es posible que algunos FQDN no estén tunelizados.

  1. Asegúrese de que las solicitudes no estén siendo fabricadas o reconstruidas por proxies en el medio.
  2. Sospecha de ataques de intermediario.

Aplicaciones TCP/UDP: configuración incorrecta de la directiva de seguridad mejorada

Los controles de seguridad mejorados solo se pueden aplicar a las aplicaciones web y no a las aplicaciones TCP/UDP. Revise la configuración de la aplicación en la GUI del servicio Secure Private Access.

Aplicaciones TCP/UDP: configuración incorrecta de redireccionamiento de Secure Browser

Los redireccionamientos de Secure Browser Service solo se pueden aplicar a aplicaciones web y no a aplicaciones TCP/UDP. Revise la configuración de la aplicación en la GUI del servicio Secure Private Access.

Aplicaciones TCP/UDP: no hay entrada de dominio de redirección para un FQDN determinado

Asegúrese de que todos los FQDN internos que deben ser tunelizados por el cliente de Citrix Secure Access deben tener una entrada correspondiente en la tabla de dominios de redirección.

Aplicaciones TCP/UDP: no se admite IPV6

Revise las entradas del dominio de redirección. Asegúrese de que no haya entradas IPV6 en la tabla.

Aplicaciones TCP/UDP: direcciones IP no válidas

Revise las entradas del dominio de redirección. Asegúrese de que las direcciones IP sean válidas y apunten al back-end correcto.

Solucionar problemas relacionados con las aplicaciones

En este artículo