一般的なCitrix SSOの問題のトラブルシューティング

DNS 解決の問題

  • デバイスがスリープ状態になったり、長時間非アクティブになった場合、VPN が再開するまで約 30 ~ 60 秒かかることがあります。この間、ユーザーには一部の DNS 要求が失敗することがあります。DNS 要求は、短期間で自動的に解決されます。 DNS クエリが解決されない場合、高度な認可ポリシーが DNS トラフィックをブロックしている可能性があります。この問題を解決するには、https://support.citrix.com/article/CTX232237を参照してください。
  • ブラウザから DNS 解決を常にチェックしてください。端末からのnslookupコマンドを使用した DNS クエリは、正確ではない場合があります。nslookupコマンドを使用する必要がある場合は、クライアントの IP アドレスをコマンドに含める必要があります。例: nslookup website_name 172.16.255.1.

EPA の問題

  • ゲートキーパーはアンチウィルスとみなされます。「任意のウイルス対策」(MAC-ANTIVIR_0_0)をチェックするスキャンがある場合、ユーザーが他のベンダーのウイルス対策ソフトウェアをインストールしていなくても、スキャンは常に成功します。

注:

  • クライアントセキュリティログを有効にして、EPA のデバッグログを取得します。VPN パラメータclientsecurityLogをONに設定すると、クライアントセキュリティログを有効にできます。
  • アップルの内蔵パッチ管理ソフトウェアは「ソフトウェアアップデート」です。端末の「App Store」アプリに相当します。「ソフトウェアアップデート」のバージョンは次のようになっている必要があります。"MAC-PATCH_100011_100076_VERSION_==_3.0[COMMENT: Software Update]"
  • Citrix ADC上のEPAライブラリを常に最新の状態に保ちます。最新のライブラリは https://www.citrix.com/downloads/citrix-gateway/epa-libraries/epa-libraries-for-netscaler-gateway.htmlにあります

nFactor の問題

  • Citrix SSO アプリは、 nFactor認証のCitrix SSO認証ウィンドウを開きます 。これはブラウザに似ています。このページにエラーがある場合は、Web ブラウザで認証を試すことでクロス検証できます。
  • nFactor が有効になっているときに転送ログオンが失敗した場合は、ポータルのテーマを「rfWebUi」に変更します。
  • 「証明書チェーンに必要な証明書が含まれていないため、Citrix Gateway への安全な接続を確立できません。管理者に連絡してください」または「ゲートウェイに到達できません」。その後、ゲートウェイサーバー証明書の有効期限が切れているか、サーバー証明書が SNI 対応でバインドされています。Citrix SSO は SNI をまだサポートしていません。SNI を有効にせずにサーバー証明書をバインドします。このエラーは、MDM VPNプロファイルで構成された証明書ピン留めと、Citrix Gateway によって提示された証明書がピン留めされた証明書と一致しないことが原因である可能性もあります。
  • ゲートウェイに接続しようとしたときに、 Citrix SSO認証ウィンドウが開くが空白の場合は 、ECC曲線(ALL)がデフォルトの暗号グループにバインドされているかどうかを確認します。ECC 曲線 (ALL) は、デフォルトの暗号グループにバインドする必要があります。

ネットワークアクセスコントロール (NAC) チェック

NAC 認証ポリシーは、クラシック認証でのみサポートされます。nFactor 認証の一部としてはサポートされていません。

一般的なCitrix SSOの問題のトラブルシューティング