基本的なトラブルシューティング

このトピックでは、Secure Private Access の設定中または設定後に発生する可能性のあるエラーの一部を示します。

証明書エラー

データベース作成エラー

StoreFront の障害

パブリックゲートウェイ/コールバックゲートウェイの障害

セキュアプライベートアクセスサーバーにアクセスできません

証明書エラー

エラー メッセージ: 1 つ以上のゲートウェイ サーバーから証明書を自動的に取得できません。

このエラー メッセージは、パブリック NetScaler Gateway アドレスを追加しようとしたときに証明書の取得に問題がある場合に表示されます。 この問題は、セキュア プライベート アクセスを設定するとき、または設定の完了後に設定を更新するときに発生する可能性があります。

回避策: Citrix Virtual Apps and Desktops の場合と同じ方法でゲートウェイ証明書を更新します。

データベース作成エラー

• エラーメッセージ: データベースの作成に失敗しました

  解決策: 自動の場合 - SQL サーバー上のデータベース内にテーブルを作成するには、マシンに READ、WRITE、UPDATE 権限が必要です。

• エラーメッセージ: データベースの作成に失敗しました: データベースは既に存在します。

  このエラー メッセージは、次のいずれかのシナリオで表示される可能性があります。

  • データベースの構成時に 自動構成 オプションを選択した場合。

  • 管理者がデータベースを作成する場合、そのデータベースは空である必要があります。 データベースが空でない場合、このエラー メッセージが表示されることがあります。

    解決策: 空のデータベースを作成する必要があります。

  • Secure Private Access をアンインストールし、同じサイト名でセットアップを再試行します。 この場合、以前のインストールからのデータベースは削除されません。

    解決策: データベースを手動で削除する必要があります。

  • スクリプトを使用してデータベースを手動で設定することを選択し ([データベースの構成] ページで [手動構成] を選択)、その後 [自動構成] オプションに変更しますが、同じサイト名を使用します。 この場合、スクリプトの実行中に同じ名前のデータベースがすでに作成されています。

    解決策: サイトの名前を変更してから、スクリプトを再度実行する必要があります。

  • マシンには、SQL サーバー上のデータベース内にテーブルを作成するための READ、WRITE、UPDATE 権限がありません。

    解決策: マシン上で適切な権限を有効にします。 詳細については、「 データベースの設定に必要な権限」を参照してください。

• エラーメッセージ: データベースの作成に失敗しました: 接続に失敗しました

  解像度:

  • マシンからデータベース ネットワーク接続を確認します。 ファイアウォールで SQL サーバー ポートが開いていることを確認します。
  • リモート SQL サーバーを使用している場合は、SQL サーバーに Secure Private Access マシン ID (Domain\hostname$) を使用して作成されたログインがあるかどうかを確認します。
  • リモート SQL サーバーを使用している場合は、マシン ID に正しいロール (システム管理者ロール) が割り当てられていることを確認します。
  • ローカル SQL サーバー (インストーラーからではない) を使用する場合は、NT AUTHORITY\SYSTEM ユーザーにログインを作成する必要があるかどうかを確認します。

StoreFront の障害

• エラー メッセージ: 次の StoreFront エントリの作成に失敗しました: <Store URL>

  表示されない場合は、 設定 タブから StoreFront エントリを更新します。 ウィザードを使用してセキュア プライベート アクセスを設定したら、[ 設定 ] タブから StoreFront エントリを編集できます。 このエラーが発生した StoreFront ストアの URL を書き留めてください。

  解像度:

  1. 設定 をクリックし、次に 統合 タブをクリックします。
  2. StoreFront ストア URLに、StoreFront エントリが表示されていない場合は追加します。

• エラーメッセージ: 次の StoreFront エントリを構成できませんでした: <Store URL>

  解像度:

  1. PowerShell 実行ポリシーの制限が設定されている可能性があります。 詳細については、PowerShell スクリプト コマンド Get-ExecutionPolicy を実行してください。

  2. 制限されている場合は、これをバイパスして、StoreFront 構成スクリプトを手動で実行する必要があります。
  3. 設定 をクリックし、次に 統合 タブをクリックします。
  4. StoreFront ストア URLで、エラーが発生した StoreFront URL エントリを特定します。
  5. このストア URL の横にある スクリプトのダウンロード ボタンをクリックし、対応する StoreFront がインストールされているマシンで管理者権限を使用してこの PowerShell スクリプトを実行します。 このスクリプトはすべての StoreFront マシンで実行する必要があります。

注意:

アンインストール後にインストールを再試行する場合は、StoreFront 構成 (StoreFront > store> Delivery Controller -> Secure Private Access) に「Secure Private Access」という名前のエントリがないことを確認してください。 Secure Private Access が存在する場合は、このエントリを削除します。 設定 > 統合ページからスクリプトを手動でダウンロードして実行します。

• エラーメッセージ: StoreFront 構成がローカルではありません: <Store URL>

  ウィザードを使用してセキュア プライベート アクセスを設定したら、[設定] タブからゲートウェイ エントリを編集できます。 このエラーが発生した StoreFront ストアの URL を書き留めてください。

  解像度:

  この問題は、StoreFront が Secure Private Access と同じマシンにインストールされていない場合に発生します。 StoreFront をインストールしたマシンで StoreFront 構成を手動で実行する必要があります。

  1. 設定 をクリックし、次に 統合 タブをクリックします。
  2. StoreFront ストア URLで、エラーが発生した StoreFront URL エントリを特定します。
  3. このストア URL の横にある [スクリプトのダウンロード] ボタンをクリックし、対応する StoreFront がインストールされているマシンで管理者権限を使用してこの PowerShell スクリプトを実行します。 このスクリプトはすべての StoreFront マシンで実行する必要があります。

注意:

StoreFront PowerShell スクリプトを実行するには、管理者権限で Windows x64 互換の PowerShell ウィンドウを開き、ConfigureStorefront.ps1 を実行します。 StoreFront スクリプトは Windows PowerShell (x86) と互換性がありません。

• エラー メッセージ: PowerShell を使用して StoreFront スクリプトを実行しているときに、「Get-STFStoreService: タイプ ‘Citrix.DeliveryServices.Framework.Feature.Exceptions.RegistryKeyNotFoundException’ の例外がスローされました。」

  このエラーは、StoreFront スクリプトが x86 互換の PowerShell ウィンドウで実行されたときに発生します。

  解決策：

  StoreFront PowerShell スクリプトを実行するには、管理者権限で Windows x64 互換の PowerShell ウィンドウを開き、 ConfigureStorefront.ps1を実行します。

パブリックゲートウェイ/コールバックゲートウェイの障害

エラー メッセージ: 次のゲートウェイ エントリを作成できませんでした: <Gateway URL> または 次のコールバック ゲートウェイ エントリを作成できませんでした: <Callback Gateway URL>

解像度:

障害が発生したパブリック ゲートウェイまたはコールバック ゲートウェイの URL をメモします。 ウィザードを使用してセキュア プライベート アクセスを設定したら、[ 設定 ] タブからゲートウェイ エントリを編集できます。

1. 設定 をクリックし、次に 統合 タブをクリックします。
2. 障害が発生したパブリック ゲートウェイ アドレスまたはコールバック ゲートウェイ アドレスと仮想 IP アドレスを更新します。

セキュアプライベートアクセスサーバーにアクセスできません

エラー メッセージ: IIS プールの更新に失敗しました。 IIS プールの再起動に失敗しました

解像度:

インターネット インフォメーション サービス (IIS) のアプリケーション プールに移動し、次のアプリケーション プールが開始され、実行されていることを確認します。

• 安全なプライベートアクセスランタイムプール
• 安全なプライベートアクセス管理プール

また、デフォルトの IIS サイト 「既定の Web サイト」 が稼働していることも確認してください。

データベース接続チェックの失敗

エラーメッセージ: 接続チェックに失敗しました

データベース接続チェックは、次のような複数の理由で失敗する可能性があります。

• ファイアウォールのため、Secure Private Access プラグインのホスト マシンからデータベース サーバーにアクセスできません。

  解決策: ファイアウォールでデータベース ポート (デフォルト ポート 1433) が開いているかどうかを確認します。

• Secure Private Access プラグインのホスト マシンには、データベースに接続する権限がありません。

  解決策: セキュア プライベート アクセスの SQL データベース権限 を参照してください。

ゲートウェイの接続チェックに失敗しました。 公開証明書を取得できません

エラー メッセージ: インストール後の構成が「ゲートウェイ接続チェックに失敗しました」というエラーで失敗します。 公開証明書を取得できません…。

解決策：

• 構成ツールを使用して、ゲートウェイの公開証明書を Secure Private Access データベースに手動でアップロードします。
• 管理者権限で PowerShell またはコマンド プロンプト ウィンドウを開きます。
• ディレクトリを、Secure Private Access インストール フォルダーの下の Admin\AdminConfigTool フォルダーに変更します (例: cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)

• 次のコマンドを実行します：

  .\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

アプリケーション列挙の失敗

StoreFront URL または NetScaler Gateway URL に末尾のスラッシュ (/) が含まれている場合、アプリケーションの列挙が中断されます。

解決策：

StoreFront ストア URL または NetScaler Gateway URL の末尾のスラッシュを削除します。 詳細については、「 セットアップ後に StoreFront または NetScaler Gateway サーバーの詳細を更新する」を参照してください。

その他

初回セットアップを完了できません

初回セットアップ時に Director の構成が失敗した場合、ライセンス サーバーを再構成できない可能性があります。

解決策：

license_server テーブルを手動でクリーンアップします。

セキュアプライベートアクセス診断サポートバンドルを作成する

Secure Private Access 診断サポート バンドルを作成するには、次の手順を実行します。

• 管理者権限で PowerShell またはコマンド プロンプト ウィンドウを開きます。
• ディレクトリを、Secure Private Access インストール フォルダーの下の Admin\AdminConfigTool フォルダーに変更します (例: cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)。

• 次のコマンドを実行します：

  .\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>

セキュア プライベート アクセスの SQL データベース権限

自動データベース作成の場合、Secure Private Access プラグインのホスト マシンには、データベースに接続してデータベース スキーマを作成する権限が必要です。

リモートデータベース:

リモート データベースの権限を設定するには、次の手順を実行します。

1. 名前構文 CitrixAccessSecurity<Site Name>で空のデータベースを作成します。 ここで、 <Site Name> は Secure Private Access サイト名です。 (例えば. CitrixAccessSecuritySPA)。

   CREATE DATABASE CitrixAccessSecurity<SiteName>

2. Secure Private Access 仮想マシンのマシン ID 用の SQL サーバー ログインを作成します。 たとえば、Secure Private Access ブローカーのマシン名が HOST1 で、マシン ドメインが DOMAIN1 の場合、マシン ID は「DOMAIN1\HOST1$」になります。 ログインがすでに作成されている場合は、この手順を無視できます。

   USE CitrixAccessSecurity<SiteName>

   CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS

   ドメイン名は次のクエリを使用して見つけることができます。

   SELECT DEFAULT_DOMAIN()[DomainName]

3. マシン ID に db_owner ロールを割り当てます。

   USE CitrixAccessSecurity<SiteName>

   EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'

   ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;

ローカルデータベース:

ローカル データベースの権限を設定するには、次の手順を実行します。

1. 名前構文 CitrixAccessSecurity<Site Name>で空のデータベースを作成します。 ここで、 <Site Name> は Secure Private Access サイト名です。 (例: CitrixAccessSecuritySPA)。

   CREATE DATABASE CitrixAccessSecurity<SiteName>

2. NT AUTHORITY\SYSTEM ユーザーの SQL サーバー ログインを作成します。 ログインがすでに作成されている場合は、この手順を無視できます。

   USE CitrixAccessSecurity<SiteName>

   CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS

3. 「NT AUTHORITY\SYSTEM」ユーザーに db_owner ロールを割り当てます。

   USE CitrixAccessSecurity<SiteName>

   EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'

   ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;

データベースを手動で作成すると、ダウンロードしたデータベース スクリプトによってマシン ID に権限が追加されます。

トラブルシューティングログのログレベルを変更する

トラブルシューティング ログは、デフォルトのエラー ログ レベルです。

トラブルシューティング ログのログ レベルを変更するには、ランタイム サービス appsettings.json (C:\Program Files\Citrix\Citrix Access Security\Runtime\RuntimeService) で、 TroubleshootingSql の restrictToMinimumLevel を次のいずれかの値に更新します。

-  情報
-  デバッグ
-  警告
-  エラー

「トラブルシューティングSQL」: { "restrictedToMinimumLevel": "エラー", 「バッチ投稿制限」: 50, "batchPeriod": "00:00:05" // 5秒 }