Résolution des erreurs
Cette rubrique répertorie certaines des erreurs que vous pouvez rencontrer lors de la configuration de Secure Private Access.
Erreurs de certificat
Message d’erreur : Impossible d’obtenir automatiquement les certificats d’un ou de plusieurs serveurs Gateway. Solution : mettez à jour le certificat Gateway de la même manière que vous le feriez pour Citrix Virtual Apps and Desktops.
Erreurs de création de base de données
-
Message d’erreur : Impossible de créer la base de données
Résolution : pour le cas automatique : la machine doit disposer des autorisations READ, WRITE et UPDATE pour créer des tables dans la base de données du serveur SQL.
-
Message d’erreur : Impossible de créer la base de données : une base de données existe déjà.
Ce message d’erreur peut apparaître dans l’un des scénarios suivants.
- Si l’option Configuration automatique est sélectionnée lors de la configuration des bases de données.
-
Si l’administrateur crée une base de données, celle-ci doit être vide. Ce message d’erreur peut apparaître si la base de données n’est pas vide.
Résolution : vous devez créer une base de données vide.
-
Vous désinstallez Secure Private Access et réessayez la configuration avec le même nom de site. Dans ce cas, la base de données de l’installation précédente n’aurait pas été supprimée.
Résolution : vous devez supprimer manuellement la base de données.
-
Vous choisissez de configurer la base de données manuellement (en sélectionnant Configuration manuelle sur la page Configuration des bases de données) à l’aide du script, puis de passer à l’option Configuration automatique tout en utilisant le même nom de site. Dans ce cas, une base de données portant le même nom est déjà créée lors de l’exécution du script.
Résolution : vous devez renommer le site, puis réexécuter le script.
-
La machine ne dispose pas des autorisations READ, WRITE, UPDATE pour créer des tables dans la base de données sur le serveur SQL.
Résolution : Activez les autorisations appropriées sur la machine. Pour plus de détails, voir Autorisations requises pour configurer les bases de données.
-
Message d’erreur : Impossible de créer la base de données : échec de la connexion
Résolution :
- Vérifiez la connectivité réseau de la base de données depuis votre machine. Assurez-vous que le port du serveur SQL est ouvert sur le pare-feu.
- Si vous utilisez un serveur SQL distant, vérifiez si un identifiant a été créé sur le serveur SQL avec l’identité de machine Secure Private Access, Domain\hostname$.
- Si vous utilisez un serveur SQL distant, vérifiez que le rôle approprié a été attribué à l’identité de la machine, à savoir le rôle d’administrateur système.
- Si vous utilisez un serveur SQL local (qui ne provient pas du programme d’installation), vérifiez si l’utilisateur NT AUTHORITY \ SYSTEM doit avoir créé un identifiant.
Défaillances de StoreFront
-
Message d’erreur : Impossible de créer une entrée StoreFront pour :
<Store URL>
Mettez à jour les entrées de StoreFront depuis l’onglet Paramètres si elles ne sont pas visibles. Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de StoreFront depuis l’onglet Paramètres . Notez l’URL du StoreFront Store pour laquelle cette erreur s’est produite.
Résolution :
- Cliquez sur Paramètres, puis sur l’onglet Intégrations .
- Dans l’ URL de la boutique StoreFront , ajoutez l’entrée StoreFront si elle n’est pas visible.
-
Message d’erreur : Impossible de configurer l’entrée StoreFront pour :
<Store URL>
Résolution :
-
Il se peut qu’une restriction de la stratégie d’exécution de PowerShell soit en place. Exécutez la commande de script PowerShell
Get-ExecutionPolicy
pour plus de détails. - S’il est restreint, vous devez le contourner et exécuter un script de configuration StoreFront manuellement.
- Cliquez sur Paramètres, puis sur l’onglet Intégrations .
- Dans StoreFront Store URL, identifiez l’entrée d’URL StoreFront pour laquelle l’erreur s’est produite.
- Cliquez sur le bouton Télécharger le script à côté de l’URL de cette boutique et exécutez ce script PowerShell avec des privilèges d’administrateur sur la machine sur laquelle l’installation StoreFront correspondante est présente.
Remarque :
Si vous réessayez l’installation après la désinstallation, assurez-vous qu’aucune entrée portant le nom « Secure Private Access » ne figure dans la configuration de StoreFront (StoreFront> store> Delivery Controller-> Secure Private Access). Si Secure Private Access est présent, supprimez cette entrée. Téléchargez et exécutez le script manuellement depuis la page Paramètres > Intégrations.
-
-
Message d’erreur : la configuration de StoreFront n’est pas locale pour :
<Store URL>
Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de la passerelle depuis l’onglet Paramètres . Notez l’URL du StoreFront Store pour laquelle cette erreur s’est produite.
Résolution :
Ce problème se produit si StoreFront n’est pas installé sur la même machine que Secure Private Access. Vous devez exécuter manuellement la configuration de StoreFront sur la machine sur laquelle vous avez installé StoreFront.
- Cliquez sur Paramètres, puis sur l’onglet Intégrations .
- Dans StoreFront Store URL, identifiez l’entrée d’URL StoreFront pour laquelle l’erreur s’est produite.
- Cliquez sur le bouton Télécharger le script à côté de cette URL de magasin et exécutez ce script PowerShell avec des privilèges d’administrateur sur la machine sur laquelle se trouve l’installation StoreFront correspondante.
Remarque :
pour exécuter le script StoreFront PowerShell, ouvrez la fenêtre PowerShell compatible avec Windows x64 avec des privilèges d’administrateur, puis exécutez ConfigureStoreFront.ps1. Le script StoreFront n’est pas compatible avec Windows PowerShell (x86).
Défaillances de la passerelle publique/de la passerelle de rappel
Message d’erreur : Impossible de créer une entrée de passerelle pour : <Gateway URL>
OU Impossible de créer une entrée de passerelle de rappel pour : <Callback Gateway URL>
Résolution :
Notez l’URL de la passerelle publique ou de la passerelle de rappel pour laquelle l’échec s’est produit. Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de la passerelle depuis l’onglet Paramètres .
- Cliquez sur Paramètres, puis sur l’onglet Intégrations .
- Mettez à jour l’adresse de la passerelle publique ou l’adresse de la passerelle de rappel et l’adresse IP virtuelle pour laquelle l’échec s’est produit.
Le serveur Secure Private Access n’est pas accessible
Message d’erreur : Impossible de mettre à jour le pool IIS. Impossible de redémarrer le pool IIS
Résolution :
- Accédez aux pools d’applications dans Internet Information Services (IIS) et vérifiez que les pools d’applications suivants ont démarré et sont en cours d’exécution :
- Pool d’exécution à accès privé sécurisé
- Pool d’administrateurs d’accès privé sécurisé
Vérifiez également que le site IIS par défaut "Default Web Site"
est opérationnel.
Échec des contrôles de connectivité de la base
Message d’erreur : échec de la vérification de connectivité
La vérification de la connectivité de la base de données peut échouer pour plusieurs raisons :
-
Le serveur de base de données n’est pas accessible depuis la machine hôte du plug-in Secure Private Access en raison d’un pare-feu.
Résolution : Vérifiez si le port de base de données (port 1433 par défaut) est ouvert sur le pare-feu.
-
La machine hôte du plug-in Secure Private Access n’est pas autorisée à se connecter à la base de données.
Résolution : consultez les autorisations de base de données SQL pour Secure Private Access.
La vérification de la connectivité de la passerelle a échoué. Impossible de récupérer le certificat public
Message d’erreur : La configuration après l’installation échoue avec l’erreur « La vérification de la connectivité de la passerelle a échoué. Impossible de récupérer un certificat public… »
Résolution :
- Téléchargez manuellement le certificat public de la passerelle dans la base de données Secure Private Access à l’aide de l’outil de configuration.
- Ouvrez le PowerShell ou la fenêtre d’invite de commande avec les privilèges d’administrateur.
- Remplacez le répertoire par le dossier Admin\AdminConfigTool dans le dossier d’installation de Secure Private Access (par exemple, cd « C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool »)
-
Exécutez la commande suivante :
.\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
Problèmes d’authentification
La configuration de l’authentification IIS du service d’exécution Secure Private Access peut ne pas fonctionner car l’authentification Windows intégrée (IWA) n’est pas prise en charge.
Divers
Créez un pack d’assistance pour les diagnostics Secure Private Access
Procédez comme suit pour créer un pack de support pour les diagnostics Secure Private Access :
- Ouvrez le PowerShell ou la fenêtre d’invite de commande avec les privilèges d’administrateur.
- Remplacez le répertoire par le dossier Admin \ AdminConfigTool dans le dossier d’installation de Secure Private Access (par exemple, cd « C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool »).
-
Exécutez la commande suivante :
.\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>
Autorisations de base de données SQL pour Secure Private Access
Pour créer automatiquement une base de données, la machine hôte du plug-in Secure Private Access doit disposer des autorisations nécessaires pour se connecter à la base de données et créer un schéma de base de données.
Base de données distante :
Procédez comme suit pour configurer les autorisations pour une base de données distante.
-
Créez une base de données vide avec la syntaxe du nom
CitrixAccessSecurity<Site Name>
. Ici<Site Name>
est le nom du site Secure Private Access. (par exemple. CitrixAccessSecuritySPA).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Créez un identifiant SQL Server pour l’identité de la machine virtuelle Secure Private Access. Par exemple, si le nom de votre machine de courtage Secure Private Access est HOST1 et que le domaine de la machine est DOMAIN1, l’identité de la machine est « DOMAIN1\HOST1$ ». Si l’identifiant est déjà créé, vous pouvez ignorer cette étape.
USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS
Le nom de domaine peut être trouvé à l’aide de la requête suivante :
SELECT DEFAULT_DOMAIN()[DomainName]
-
Attribuez le rôle db_owner à l’identité de la machine.
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'
ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;
Base de données locale :
Procédez comme suit pour configurer les autorisations pour une base de données locale.
-
Créez une base de données vide avec la syntaxe du nom
CitrixAccessSecurity<Site Name>
. Ici<Site Name>
est le nom du site Secure Private Access. (par exemple, Citrix AccessSecuritySPA).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Créez un identifiant SQL Server pour l’utilisateur
NT AUTHORITY\SYSTEM
. Si l’identifiant est déjà créé, vous pouvez ignorer cette étape.USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS
-
Attribuez le rôle db_owner à l’utilisateur « NT AUTHORITY\SYSTEM ».
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'
ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;
Lorsque vous créez manuellement la base de données, le script de base de données téléchargé ajoute les autorisations à l’identité de la machine.
Dans cet article
- Erreurs de certificat
- Erreurs de création de base de données
- Défaillances de StoreFront
- Défaillances de la passerelle publique/de la passerelle de rappel
- Le serveur Secure Private Access n’est pas accessible
- Échec des contrôles de connectivité de la base
- La vérification de la connectivité de la passerelle a échoué. Impossible de récupérer le certificat public
- Problèmes d’authentification
- Divers