Citrix Secure Private Access

アプリ関連の問題のトラブルシューティング

このトピックでは、アプリの構成時またはアプリへのアクセス時に発生する可能性がある一般的な問題のいくつかに関する情報を提供します。また、セキュリティ制御のためにアプリをテストしている間。これらのエラーと関連するエラーコードは、診断ログにも記録されます。

セキュアプライベートアクセスサービスアーキテクチャ

次の図は、Secure Private Access サービスの高レベルのシステムアーキテクチャを示しています。図にリストされているコンポーネントは、アプリ起動フローに関係するさまざまなコンポーネントのデータフローをまとめたものです。

セキュアプライベートアクセスクラウド: 世界中のさまざまな地域で実行される分散型マルチテナントサービス。これには、主にクラウドプロキシコンポーネントが含まれており、すべてのクライアントトラフィックを引き出し、他のパブリッククラウドで実行されているSaaSアプリケーション、または顧客のデータセンター内で実行されているデスクトップとWebアプリケーションにルーティングを決定する前に、さまざまな管理者が構成したポリシーを適用します。

オンプレミスのコネクタアプライアンス: コネクタはお客様のデータセンターで実行され、セキュアプライベートアクセスプロバイダと並んでさまざまなコンポーネントが含まれています。アプライアンスは最初にCitrix Cloud に登録され、その後、最も近いセキュアプライベートアクセスクラウドPOPに登録されます。

クライアント: クライアントは大きく2つのカテゴリーに分類されます。

  • Citrix Workspace(CWA)-これらのクライアントは、ネイティブのモバイルアプリとデスクトップアプリの両方として、またはWebベースのクライアントとして使用できます。これらのクライアントは、ユーザーログイン時にまずCitrix Cloud に接続します。Citrix Cloud は、さまざまな操作に加えて、Secure Private AccessクラウドからWebおよびSaaSアプリを取得し、ユーザーダッシュボードに表示します。
  • Citrix Secure Accessクライアント-これは、セキュアプライベートアクセスサービス上のVPNプロキシサーバーへのSSL VPNトンネルをセットアップするVPNエージェントです。トンネルの確立が完了すると、クライアントマシンでネットワークトラフィックのレイヤ 3 代行受信を実行し、セキュアプライベートアクセスクラウド上の VPN プロキシを介して、セキュアプライベートアクセスクラウドで設定された特定の TCP または UDP アプリ/FQDN を Connector アプライアンス全体で選択的にトンネリングします。

ハイレベルなシステムアーキテクチャ

注意事項

  • 診断ツール:

    • このトピックは、現在 PowerShell スクリプトとして利用可能な SPA 診断ツールを補完するものです 。管理者は、ユーザーの予期しない動作に遭遇した場合、まず診断を実行する必要があります。

    • 診断ツールは、Secure Private Access システムのさまざまなコンポーネントからの分析イベントをバンドルします。このトピックでは、Secure Private Access クラウドポータルまたはお客様が管理するオンプレミスのコネクタアプライアンスの構成関連の問題をトラブルシューティングするために、診断 csv ファイルに移動する方法を説明します。

  • セキュアプライベートアクセス診断ツールでのイベントのフィルタリング

    Secure Private Accessサーバーコンポーネントを含むCitrix Cloud のほとんどのコンポーネントは、タイムスタンプ、アプリ情報、ユーザー情報、製品またはコンポーネントの種類、エラーコード、障害の理由、推奨される修正プログラムなどを含む、テーブルとしてインデックス化された有用な診断情報を送信します。

    1. CSV ファイルをダウンロードし、Microsoft Excel または類似のアプリケーションで開きます。
    2. [ データ] > [フィルター ] オプションを有効にします。

    SPA 診断 CSV ファイル

    1. [Prod] 列で、WebSaasを選択します。
    2. userName 列にフィルターを追加して、影響を受けるユーザー名を選択します。ユーザーのグループが問題に直面している場合、グループ内の任意のユーザーを選択できます。

      これらのフィルターを追加すると、特定のユーザーに対するクラウド上のSecure Private Accessの最初のルーティングコンポーネントへの診断イベントを絞り込むことができます。

      csvファイルのreason列には、App NameApp Idなどのアプリ情報とともに、error codeを含む失敗イベントまたは成功イベントの詳細なログが表示されます 。

    3. トラブルシューティングするアプリに関連するエラーコードをコピーし、Secure Private Access のエラー検索テーブルで同じエラーコードを検索します。

セキュアプライベートアクセスのエラー検索テーブル

次のエラールックアップテーブルは、Secure Private Access サービスの使用時にユーザーが遭遇する可能性のあるさまざまなエラーの包括的な概要を示しています。

この表には、次の情報が含まれます。

  • アクセスタイプ -使用されているクライアントソフトウェアのタイプを示します。Citrix WorkspaceシッククライアントまたはブラウザーベースのCitrix Workspaceシンクライアントを使用して起動するすべてのWebおよびSaaSアプリでは、[アクセスタイプ]が Citrix Workspace アプリ]に設定されます。同様に、TCPおよびUDPアプリの場合、 アクセスタイプはCitrix Secure Accessに設定されます

    Citrix Workspace アプリとCitrix Secure Accessの違いは、企業のファイアウォールの内側で実行されているバックエンドアプリケーションにアクセスするために使用される基盤となるトンネリングテクノロジーです。Citrix Workspace アプリは、WebおよびSaaSアプリケーションへのエージェントレスアクセスを提供しますが、Citrix Secure Accessは、クラウド上のVPNサーバーを介してクライアントトラフィックのレイヤー3ルーティングを実行するSSL VPNクライアントです。

  • App Operation -Web/SaaS および TCP/UDP アプリケーション用のセキュアプライベートアクセスの高レベル機能を示します。

    Citrix Workspace アプリの場合、Web/SaaSアプリを扱っているため、次のカテゴリに分類されます。

    • App Enumeration -これは、Citrix Workspace アプリにログインした直後に、ユーザーがサブスクライブしているすべてのアプリケーションをユーザーのダッシュボードに一覧表示する事前起動操作です。
    • App Access -アプリのアイコンをクリックして、アプリの起動の一環としてユーザーが実行する操作。
    • Enhanced Security -この操作は管理者によって管理コンソールで設定され、ユーザーにはその効果が表示されます。例:切り取り、コピー、貼り付けなどの制限を有効にしたり、ユーザーのデバイスが特定のコンプライアンス要件を満たしていない場合に、直接アクセスではなくSecure Browserサービスにユーザーをリダイレクトするなどの条件付きアクセスを強制したりします。

    Citrix Secure Accessでは、TCP-UDPトラフィックのトンネリングを処理しているため、アプリの操作は次のとおりです。

    • Tunnel Establishment -Citrix Secure AccessでVPN接続を確立する一環としてユーザーが実行する操作。
    • Packet Tunneling -この操作は、VPNトンネルが確立され、クライアントがIPパケットをVPNサーバーに転送すると実行されます。
アクセスタイプ アプリ運用 UI の動作 エラー説明 エラーコード関連 推奨されるステップ
Citrix Workspaceアプリ アプリ列挙 CWA ダッシュボードにリストされていない 1 つ以上のアプリ コンテキストポリシーによって制限されるアプリ 0x180055 トラブルシューティングの手順を見る
    CWA ダッシュボードにアプリが表示されない) キャッシュルックアップエラー   Citrixサポートに連絡してください。
      ポリシー評価エラー   Citrixサポートに連絡してください。
  アプリアクセス ユーザーがアプリ内のリンクへのアクセスを拒否しました ユーザーはアプリケーションを購読していません 0x1800BC トラブルシューティングの手順を見る
      コンテキストポリシーによって制限されるアプリ 0x18000F トラブルシューティングの手順を見る
    バックエンド AApp のパフォーマンスが遅い コンテキストポリシーによって制限されるアプリ 0x18000F トラブルシューティングの手順を見る
      コンテキストポリシーによって制限されるアプリ 0x18000F トラブルシューティングの手順を見る
    アプリが開かない、またはエラーが発生しない アプリの FQDN の長さを超えました 0x180006 トラブルシューティングの手順を見る
      アプリの詳細の長さを超えました 0x18000E トラブルシューティングの手順を見る
      アプリアクセスが拒否されました 0x18000A トラブルシューティングの手順を見る
      Citrix Cloud とオンプレミスコネクタ間の接続確立の失敗 0x1800EF トラブルシューティングの手順を見る
      Citrix Cloud とオンプレミスコネクタ間の接続確立の失敗 0x1800EF トラブルシューティングの手順を見る
      シングルサインオンエラー 0x180001, 0x18001A, 0x18001B トラブルシューティングの手順を見る
      認証サーバーがダウンしています 0x180022 トラブルシューティングの手順を見る
      StoreFront エラー 0x180002, 0x180003, 0x180004, 0x180005, 0x180033, 0x180034, 0x180037, 0x180035 Citrixサポートに連絡してください。
      ポリシー評価エラー 0x18000F, 0x18001D, 0x18001E, 0x18001F, 0x180020, 0x18006E Citrixサポートに連絡してください。
      キャッシュエラー 0x18000C, 0x18000D, 0x180010, 0x180029, 0x18002A, 0x180036, 0x18004E Citrixサポートに連絡してください。
      グローバルキャッシュ (チケットサービス) エラー 0x180016, 0x180044, 0x180045 Citrixサポートに連絡してください。
      Secure Browserサービスを起動する前のエラー 0x180017, 0x180018 Citrixサポートに連絡してください。
      内部エラー 0x180007, 0x180011, 0x180012, 0x180013, 0x180014, 0x180015, 0x180019, 0x180021, 0x180025, 0x180028, 0x18002B, 0x18002D, 0x18002E, 0x18003F, 0x180040, 0x180047, 0x180063, 0x180064, 0x180065, 0x180066, 0x180067, 0x180068, 0x18006A Citrixサポートに連絡してください。
      フィーチャーフラグエラー 0x18001C, 0x180087 Citrixサポートに連絡してください。
      認証内部エラー 0x180021, 0x180022, 0x180023, 0x180024, 0x180026, 0x180027, 0x180039, 0x18003A, 0x18003B, 0x18003C, 0x18003D, 0x180042, 0x180043, 0x180046, 0x180049, 0x18006B, 0x180083, 0x180084, 0x180085, 0x180086 Citrixサポートに連絡してください。
      クライアントレス VPN-URL 書き換え内部エラー 0x180041, 0x180069, 0x1800C2, 0x1800C4, 0x1800C6, 0x1800C6, 0x1800C8, 0x1800C9, 0x1800CA Citrixサポートに連絡してください。
      OTT 検証に失敗しました 0x180079, 0x18007A, 0x18007B, 0x18007C, 0x18007D, 0x18007E, 0x18007F, 0x180080, 0x180081, 0x180082, 0x180088, 0x180089 Citrixサポートに連絡してください。
      CVMS 要求転送失敗 0x18006F, 0x180070, 0x180071, 0x180072, 0x180073, 0x180074, 0x180075, 0x180076, 0x180077, 0x180078 Citrixサポートに連絡してください。
      SAML SSO の失敗 0x18008A, 0x1800A9, 0x1800AA, 0x1800AB, 0x1800AC, 0x1800AD, 0x1800AE, 0x1800AF, 0x1800B0, 0x1800B1, 0x1800B2, 0x1800B3 トラブルシューティングの手順を見る
      アプリ FQDN が無効です 0x180048 トラブルシューティングの手順を見る
  Secure Browserサービスのリダイレクト バックエンドアプリが読み込まれない DNS ルックアップ/接続エラー 0x18009D トラブルシューティングの手順を見る
      予期しない内部エラー 0x18008B, 0x18008C, 0x18008D, 0x18008E, 0x18008F, 0x180090 Citrixサポートに連絡してください。
    Secure Browserサービスでのブラウジングが壊れた 一部のリンクが機能しない 0x180092, 0x180093, 0x180094, 0x180095, 0x180096, 0x180097, 0x180098, 0x180099, 0x18009A, 0x18009B, 0x18009C, 0x18009D, 0x18009E, 0x18009F Citrixサポートに連絡してください。
  CWA Web ブラウザエラー特定の内部アプリ DNS ルックアップ/接続エラー 0x1800A0, 0x1800A2, 0x1800A3 トラブルシューティングの手順を見る
    SaaS アプリに固有のブラウザエラー DNS ルックアップ/接続エラー 0x1800A6 トラブルシューティングの手順を見る
    アプリがブラウザに読み込まれない 内部解析エラー 0x1800A4, 0x1800A8 Citrixサポートに連絡してください。
      フィーチャーフラグエラー 0x1800B5 Citrixサポートに連絡してください。
      アプリの FQDN の長さを超えました 0x1800B7 トラブルシューティングの手順を見る
      ユーザーはアプリケーションを購読していません 0x1800BC トラブルシューティングの手順を見る
      WebApp として誤って構成されている 0x1800BF トラブルシューティングの手順を見る
      Citrix Workspace 以外のクライアントでは無効 0x1800BD トラブルシューティングの手順を見る
      内部エラー 0x1800B6, 0x1800B8, 0x1800B9, 0x1800B8, 0x1800B9, 0x1800BA, 0x1800BB, 0x1800C0 Citrixサポートに連絡してください。
    ウェブページ内のリンクが機能しない アプリ構成または関連ドメインがこの FQDN に対して構成されていません 0x1800C1, 0x1800C3, 0x1800C4, 0x1800CA Citrixサポートに連絡してください。
  強化されたセキュリティ アプリ構成でチェックされているのに、Secure Browserサービスでアプリが開かない コンテキストポリシールールがSecure Browserの設定と競合している可能性があります 0x1800C3 トラブルシューティングの手順を見る
    アプリ構成で選択されていないのに、Secure Browser Serviceでアプリが強制的に開かれる   0x18006D トラブルシューティングの手順を見る
    アプリが、 watermark clipboard access restriceted printing などのポリシーを誤って適用している 強化されたセキュリティポリシーが誤って構成されている可能性が高い 0x180091 トラブルシューティングの手順を見る
Citrix Secure Accessアプリ TCP/UDP アプリ トンネル確立失敗 構成が最大許容長を超えています 0x1800D0 [トラブルシューティングの手順を参照してください] (#tcpudp-apps—構成-exceeds-max-allowed-length)
      不正な形式のクライアント要求 0x1800CD, 0x1800CE, 0x1800D6, 0x1800EA トラブルシューティングの手順を見る
      内部エラーによるトンネルの確立失敗 0x1800CC, 0x1800CF, 0x1800D1, 0x1800D2, 0x1800D3, 0x1800D4, 0x1800D5, 0x1800D7, 0x1800D8, 0x1800D9, 0x1800DA, 0x1800E1, 0x1800E2, 0x1800E4, 0x1800E5, 0x1800E6, 0x1800E7, 0x1800E8, 0x1800E9, 0x1800EE Citrixサポートに連絡してください。
    アプリ構成の誤りによるトンネリングエラー 強化されたセキュリティ制御は TCP/UDP アプリでは許可されていません 0x1800DC トラブルシューティングの手順を見る
      Secure Browserサービスのリダイレクトは TCP/UDP アプリでは許可されていません 0x1800DD トラブルシューティングの手順を見る
      指定された FQDN のルーティングドメインエントリがありません 0x1800DE トラブルシューティングの手順を見る
      ポリシー設定が原因でアクセスが拒否されました 0x1800DF, 0x1800E3 トラブルシューティングの手順を見る
      IPV6 はサポートされていません 0x1800EB トラブルシューティングの手順を見る
      IPが無効なためアクセスが拒否されました 0x1800EC, 0x1800ED トラブルシューティングの手順を見る

推奨される回避策

ユーザーダッシュボードにリストされていない 1 つ以上のアプリ

コンテキストポリシー設定により、一部のユーザーまたはデバイスではアプリが表示されない場合があります。信頼係数(デバイスのポスチャまたはリスクスコア)などのパラメータは、アプリケーションのアクセシビリティに影響を与える可能性があります。

  1. 診断ログcsvファイルのエラーコード0x18005Creasons列からトランザクションIDをコピーします。
  2. CSVファイルのprod列フィルタを変更して、SWA.PSEまたはSWA.PSE.EVENTSというコンポーネントからのイベントを表示します。このフィルタは、ポリシー評価に関連するログのみを表示します。
  3. reason 列で評価されたポリシーペイロードを検索します。このペイロードは、ユーザーがサブスクライブしているすべてのアプリについて、ユーザーのコンテキストに対して評価されたポリシーを表示します。
  4. ポリシー評価で、ユーザーに対してアプリが拒否されたと示される場合、考えられる理由は次のとおりです。
    • ポリシーの一致条件が正しくありません-Citrix Cloud のアプリポリシー構成を確認してください
    • ポリシーの一致ルールが正しくありません-Citrix Cloud のアプリポリシー構成を確認してください
    • ポリシーのデフォルトルールに正しく一致しない-これはフォールスルーケースです。条件を適宜調整します。

ユーザーはアプリケーションを購読していません

ユーザーがサブスクライブしていない可能性のあるアプリリンクをクリックした可能性があります。

ユーザーがアプリケーションのサブスクリプションを持っていることを確認します。

  1. 管理ポータルのアプリケーションに移動します。
  2. アプリを編集し、[ サブスクリプション ] タブに移動します。
  3. 対象ユーザーがサブスクリプションリストにエントリを持っていることを確認してください。

バックエンドアプリのパフォーマンスが遅い

リソースの場所にあるコネクタがダウンしたり、バックエンドサーバー自体が応答しないことが原因で、お客様のネットワークが不完全になる場合があります。

  1. ネットワーク遅延を排除するために、コネクタアプライアンスがバックエンドサーバに地理的に近い場所にあることを確認してください。
  2. バックエンド・サーバーのファイアウォールがコネクタ・アプライアンスをブロックしていないか確認します。
  3. クライアントが最も近いクラウドPOPに接続しているかどうかを確認します。

    たとえば、クライアントのnslookup nssvc.dnsdiag.netでは、回答の正規名は次のような地域固有のサーバーをaws-us-w.g.nssvc.net.で示します。

アプリの FQDN の長さを超えました

アプリの FQDN は 512 文字を超えてはなりません。アプリ構成ページでアプリケーションの FQDN を確認します。長さのサイズが 512 バイトを超えないようにしてください。

  1. 管理コンソールの [ アプリケーション ] タブに移動します。
  2. FQDN が 512 文字を超えるアプリケーションを探します。
  3. アプリケーションを編集し、アプリの FQDN の長さを修正します。

アプリの詳細の長さを超えました

ポリシーがアプリアクセスをブロックしているかどうかを確認してください。

  1. [ アクセスポリシー]に移動します。
  2. アプリにエンタイトルメントがあるポリシーを探します。
  3. エンドユーザーのポリシールールと条件を確認します。

アプリアクセスが拒否されました

これは、特定のユーザーのアプリをポリシーが拒否するコンテキストポリシーに関連しています。

ポリシーがアプリアクセスをブロックしているかどうかを確認する

  1. [ アクセスポリシー]に移動します。
  2. アプリにエンタイトルメントがあるポリシーを探します。
  3. エンドユーザーのポリシールールと条件を確認します。

Citrix Cloud とオンプレミスコネクタ間の接続確立の失敗

オンプレミスコネクタでの TCP 接続が利用できないため、アプリのルーティングが失敗します。

コントローラーコンポーネントからのイベントを確認する

  1. 診断ログcsvファイルでエラーコード0x1800EFtransaction IDを検索します。
  2. csv ファイル内のトランザクション ID と一致するすべてのイベントをフィルタリングします。
  3. また、 SWA.GOCTRLに一致するCSVファイルのprod列をフィルタリングします。

    connectTypeメッセージmulticonnect::successのイベントが表示されたら ?次に;

    • これは、トンネル確立要求がコントローラに正常に中継されたことを示します。
    • ログメッセージ内のResource Locationが正しいか確認してください。正しくない場合は、Citrix 管理ポータルのアプリ構成セクションでリソースの場所を修正します。
    • ログメッセージ内のVDA Ip and Portが正しいか確認してください。VDA IPとポートは、バックエンドアプリケーションのIPとポートを示します。正しくない場合は、Citrix 管理ポータルのアプリ構成セクションでアプリのFQDNまたはIPアドレスを修正します。
    • 前述の問題が見つからない場合は、 コネクタのイベントを確認します

    connectTypeメッセージconnect::failureまたはmulticonnect::successの付いたイベントが表示された場合は 、

    • このログメッセージに対する推奨される修正に-Check if connector is still connected to same popと記載されているかどうかを確認します。これは、リソースの場所にあるコネクタがダウンした可能性があることを示します。 コネクタイベントの確認に進みます
    • 前述のメッセージが表示されない場合は、Citrix カスタマーサポートに連絡してください。

    connectTypeメッセージIntraAll::failure付きのイベントが表示された場合は 、Citrix カスタマーサポートに連絡してください。

コネクタコンポーネントからのイベントを確認する

  1. 診断ログcsvファイルでエラーコード0x1800EFtransaction IDを検索します。
  2. csv ファイル内のトランザクション ID と一致するすべてのイベントをフィルタリングします。
  3. また、SWA.ConnectorAppliance.WebAppsに一致するCSVファイルの列prodをフィルタリングします。
  4. statusfailureのイベントが表示された場合は 、;
    • これらの各障害イベントのreasonメッセージを確認します。
    • UnableToRegister は、コネクタがCitrix Cloud に正常に登録できなかったことを示します。Citrix サポートに問い合わせてください。
    • IsProxyRequiredCheckErrorまたはProxyDialFailedまたはProxyConnectionFailedまたはProxyAuthenticationFailureまたはProxiesUnReachableは、コネクタがプロキシ構成を介してバックエンド URL を解決できなかったことを示します。プロキシ構成が正しいか確認してください。
    • 詳細なデバッグについては、「 コネクタ SSO イベント」を参照してください。

シングルサインオンエラー

シングルサインオンの場合、アプリ構成から異なるSSO属性が抽出され、アプリの起動時に適用されます。その特定のユーザーが属性を持っていない場合、または属性が正しくない場合、シングルサインオンは失敗する可能性があります。構成が正しいことを確認してください。

  1. [ アクセスポリシー] に移動します。
  2. アプリにエンタイトルメントがあるポリシーを探します。
  3. エンドユーザーのポリシールールと条件を確認します。

フォーム SSO、Kerberos、NTLM などの SSO メソッドは、オンプレミスコネクタによって実行されます。コネクタの次の診断ログを確認します。

コネクタコンポーネントの SSO イベントを確認する

  1. SWA.ConnectorAppliance.WebAppsに一致するCSVファイル内のcomponent nameをフィルタリングします。
  2. ステータスが「失敗」のイベントが表示されますか?
    • これらの各障害イベントのメッセージを確認します。
    • IsProxyRequiredCheckErrorまたはProxyDialFailedまたはProxyConnectionFailedまたはProxyAuthenticationFailureまたはProxiesUnReachableは、コネクタがプロキシ構成を介してバックエンド URL を解決できなかったことを示します。プロキシ構成が正しいか確認してください。
    • FailedToReadRequestまたはRequestReceivedForNonSecureBrowseまたはUnableToRetrieveUserCredentialsまたはCCSPolicyIsNotLoadedまたはFailedToLoadBaseClientまたはProcessConnectionFailureまたはWebAppUnSupportedAuthTypeは、トンネリングの失敗を示します。Citrix サポートに問い合わせてください。
    • UnableToConnectTargetServerはバックエンドサーバーがコネクタから到達不能であることを示します。バックエンドの設定をもう一度確認します。
    • IncorrectFormAppConfigurationまたはNoLoginFormFoundまたはFailedToConstructForLoginActionURLまたはFailedToLoginViaFormBasedAuthは、フォームベースの認証の失敗を示します。Citrix 管理ポータルの[アプリ構成]の[SSO構成]セクションを確認します。
    • NTLMAuthNotFoundはNTLM ベースの認証の失敗を示します。Citrix 管理ポータルのアプリ構成で[NTLM SSO構成]セクションを確認します。
    • 詳細なデバッグについては、「 コネクタイベント」を参照してください。

認証サーバーがダウンしています

セキュアプライベートアクセスにより、管理者は従来の Active Directory、AAD、Okta、または SAML などのサードパーティ認証サービスを構成できます。これらの認証サービスが停止すると、この問題が発生する可能性があります。

サードパーティ製のサーバーが稼働していて、到達可能かどうかを確認します。

SAML SSO の失敗

IdP 起動時にアプリの起動中にユーザーに認証エラーが発生するか、SP 起動時にアクセスできないリンクが表示される場合があります。Secure Private Access サービス側の SAML アプリ構成とサービスプロバイダーの構成も確認します。

セキュアプライベートアクセス構成:

  1. [ アプリケーション ] タブに移動します。
  2. 問題のあるSAMLアプリを探してください。
  3. アプリケーションを編集し、[ シングルサインオン ] タブに移動します。
  4. 次のフィールドを確認します。
    • アサーション URL
    • リレーステート
    • オーディエンス
    • 名前 ID の形式、名前 ID、および追加の属性

サービスプロバイダの構成:

  1. サービスプロバイダーにログインします。
  2. SAML 設定に移動します。
  3. IdP 証明書、対象ユーザー、および IdP ログイン URL を確認します。

構成が正しいと思われる場合は、Citrix サポートに連絡してください。

アプリ FQDN が無効です

カスタマー管理者が、無効な FQDN または DNS 解決がバックエンドサーバーで失敗する FQDN を提供した可能性があります。

この場合、エンドユーザーには Web ページにエラーが表示されます。アプリケーション設定を確認します。

SaaS アプリ検証

ネットワークからアプリにアクセスできるかどうかを確認します。

Web アプリ検証

  1. [ アプリケーション ] タブに移動します。
  2. 問題のあるアプリケーションを編集します。
  3. [ アプリの詳細 ] ページに移動します。
  4. URL を確認します。この URL は、イントラネットまたはインターネットのいずれかでアクセスできる必要があります。

Secure Browserサービス-DNS ルックアップ/接続エラー

Secure Browserサービスによる壊れたブラウジング体験。エンドユーザーが接続しようとしているバックエンドサーバーを確認します。

  1. バックエンドサーバーに移動して、サーバーが稼働していて、リクエストを受信できるかどうかを確認します。
  2. バックエンドサーバーへの接続が停止している場合は、プロキシ設定を確認します。

CWA Web-Web アプリの DNS ルックアップ/接続エラー

企業ネットワーク内で実行されている Web アプリケーションのブラウジングエクスペリエンスが損なわれる。

  1. 解決できない FQDN の診断ログをフィルタリングします。
  2. 企業ネットワーク内からバックエンドサーバーの到達可能性を確認します。
  3. プロキシ設定をチェックして、コネクタがバックエンドサーバーに到達するのをブロックされているかどうかを確認します。

CWA Web-SaaS アプリの DNS ルックアップ/接続エラー

パブリッククラウドで実行される SaaS アプリケーションのブラウジングエクスペリエンスが失われました。

  1. 解決できない FQDN の診断ログをフィルタリングします。
  2. バックエンドサーバーの到達可能性を確認します。

直接アクセス-Web アプリとして誤って構成されている

Web アプリのトラフィックは常にコネクタ経由でルーティングされるため、直接アクセスを構成するとアプリアクセスエラーが発生します。

ルーティングドメインテーブルとアプリ設定の間に競合する設定がないか確認します。

  1. 管理ポータルのアプリケーションに移動します。
  2. アプリを編集し、ダイレクトアクセスが有効になっているか確認します。
  3. 内部としてマークされている場合は、ルーティングドメインテーブル内のアプリの FQDN をクロスチェックします。

Citrix Workspace 以外のクライアントではダイレクトアクセスが無効になっています

アプリの設定により、ブラウザベースのクライアントから発信されるトラフィックへの直接アクセスが無効になります。

ユーザーがアプリケーションのサブスクリプションを持っていることを確認します。

  1. 管理ポータルのアプリケーションに移動します。
  2. アプリを編集し、エージェントレスアクセス設定を確認します。

強化されたセキュリティポリシー-Secure Browserサービスの設定ミス

ポリシールールで意図された動作よりも不正な動作が見られる。コンテキストに応じたアクセスポリシーを確認します。

  1. [ ポリシー ] タブに移動します。
  2. アプリケーションに関連付けられているポリシーを確認します。
  3. これらのポリシーのルールを確認してください。

強化されたセキュリティポリシー-ポリシーの設定ミス

ポリシールールで意図された動作よりも不正な動作が見られる。強化されたセキュリティ設定を確認します。

  1. アプリケーションに移動します。
  2. [ アクセスポリシー ] タブをクリックします。
  3. [ 利用可能なセキュリティ制限: ] セクションの設定を確認します。

TCP/UDP アプリ-構成が最大許容長を超えています

Citrix Secure AccessアプリがCCitrix Cloud への完全なトンネルを正常に確立できない。

  1. TCP/UDP アプリのルーティングドメイン構成を確認します。
  2. エントリの最大数が 16k の制限内であることを確認してください。

TCP/UDP アプリ-不正な形式のクライアント要求

VPN トンネルが確立されていないか、特定の FQDN がトンネリングされていない可能性があります。

  1. リクエストが途中でプロキシによって作成または再構築されていないことを確認してください。
  2. 中間者攻撃の疑い。

TCP/UDP アプリ-強化されたセキュリティポリシーの設定ミス

拡張セキュリティ制御は、Web アプリにのみ適用でき、TCP/UDP アプリには適用できません。セキュアプライベートアクセスサービスの GUI でアプリ構成を確認します。

TCP/UDP アプリ-Secure Browserサービスのリダイレクト設定ミス

Secure Browserサービスのリダイレクトは、Webアプリにのみ適用でき、TCP/UDPアプリには適用できません。セキュアプライベートアクセスサービスの GUI でアプリ構成を確認します。

TCP/UDP アプリ-特定の FQDN にはルーティングドメインエントリがありません

Citrix Secure Accessクライアントによってトンネリングされる必要があるすべての内部FQDNが、ルーティングドメインテーブルに対応するエントリを持つ必要があることを確認します。

TCP/UDP アプリ-IPV6 はサポートされていません

ルーティングドメインエントリを確認します。テーブルに IPV6 エントリがないことを確認します。

TCP/UDP アプリ-無効な IP アドレス

ルーティングドメインエントリを確認します。IP アドレスが有効で、正しいバックエンドを指していることを確認します。

アプリ関連の問題のトラブルシューティング

この記事の概要