解决自适应身份验证问题

根据配置中的不同阶段对问题进行分类:

您也可以使用自适应身份验证 CLI 对问题进行故障排除。要连接到 CLI,请执行以下操作:

  • 在您的机器上下载 SSH 客户端,比如 putty/securecrt。
  • 使用管理 IP(主)地址访问自适应身份验证实例。
  • 使用您的凭据登录。

有关详细信息,请参阅 访问 NetScaler 设备

启用自适应身份验证日志的记录

确保启用日志级别以捕获自适应身份验证日志。

使用 CLI 启用日志:

  1. 登录到自适应身份验证实例 CLI。
  2. 使用 PuTTY 输入管理证书。
  3. 运行以下命令 set audit syslogParams logLevel ALL

使用 GUI 启用日志:

  1. 使用浏览器登录自适应身份验证实例。
  2. 导航到 配置 > 系统 > 审计
  3. 在“审核”页的“设置”下,单击“更改审核 syslog 设置”
  4. 日志级别中,选择 全部。

预配问题

  • 无法访问自适应身份验证 UI

    检查您的客户 ID/租户是否启用了授权。

  • 在配置页面停留超过 45 分钟

    收集错误的屏幕截图(如果有),然后联系 Citrix 支持部门寻求帮助。

  • VNet 对等项已关闭

    • 检查 Azure 门户中是否存在与此对等对等对应的警报,并采取建议的操作。
    • 删除对等,然后从自适应身份验证 UI 中再次添加。
  • 取消预配未完成

    联系 Citrix 支持部门以获得帮助。

实例可访问性问题

  • 无法访问该实例的管理 IP 地址

    • 检查客户端用于访问的公有 IP 地址是否属于允许的源 IP 地址。

    • 验证是否有任何代理更改客户端源 IP 地址。

  • 无法登录到实例

    确保管理员访问权限使用您在预配期间输入的凭据正常工作。

  • 最终用户没有完全权限

    在添加用户时,请确保您已绑定了适当的访问命令策略。有关更多信息,请参阅 用户、用户组和命令策略

AD 或 RADIUS 连接问题

Azure Vnet 对等连接类型存在问题:

  • 检查是否可以从自适应身份验证实例访问客户管理的 Azure VNet。
  • 检查从客户管理的 Azure VNet 到 AD 的连接/可访问性是否正常。
  • 确保添加适当的路由,以便将流量从本地引导到 Azure VNet。

基于 Windows 的连接器:

  • 所有日志都在 /var/log/ns.log 目录中可用,每个日志都带有 [NS_AAUTH_TUNNEL] 前缀。
  • 日志中的 ConnectionID 可用于关联不同的事务。
  • 确保将连接器虚拟机的专用 IP 地址添加为 RADIUS 服务器中的一个 RADIUS 客户端,因为该 IP 地址是连接器的源 IP 地址。

    对于每个身份验证请求,将在自适应身份验证实例(NS-AAAD 进程)和身份验证服务器之间建立通道。成功建立通道后,将进行身份验证。

    确保连接器虚拟机可以解析自适应身份验证 FQDN。

  • 连接器已安装,但本地连接失败。

    验证是否正在建立 NSAUTH-TUNNEL。

    cat ns.log | grep -I “tunnel”

    如果身份验证请求的 ns.log 文件中没有打印以下示例日志,则可能在建立通道时出现问题,或者连接器端出现问题。

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    检查日志详细信息并采取相应的措施。

    日志详情 更正措施
    日志文件中 [NS_AAUTH_TUNNEL] 不包含带前缀的日志 运行 show cloudtunnel vserver 命令。此命令必须列出状态为“UP”的两个(TCP 和 UDP)云通道虚拟服务器。“
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector 对于此日志,如果未收到以下响应: [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" 检查连接器计算机是否能够访问自适应身份验证 FQDN,或者检查连接器端防火墙是否有与自适应身份验证 FQDN 的出站连接
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" 请联系 Citrix 支持人员。

连接器无响应:

  • 确保可从连接器虚拟机访问自适应身份验证 FQDN。
  • 确保已绑定中间证书并将其链接到自适应身份验证实例上的服务器证书。

LDAP/RADIUS 设置不正确:

如果您的 AD/RADIUS 服务器 IP 地址是公有 IP 地址,则必须在 NetScaler 中为表达式添加子网或 IP 地址。不要编辑现有范围。

  • 要使用 CLI 添加子网或 IP 地址,请执行以下操作:

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • 要使用 GUI 添加子网或 IP 地址,请执行以下操作:

    1. 导航到 Appexpert > 表达式
    2. 添加表达式 aauth_allow_rfc1918_subnets

如果通道已建立,但身份验证仍然失败,请使用以下步骤对问题进行故障排除。

LDAP:

  • 验证绑定 DN 详细信息。
  • 使用测试连通性确认错误。
  • 使用 aaad 调试验证错误。
  • 使用 CLI 登录到自适应身份验证实例。

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

常见的 LDAP 错误:

Radius:

  • 连接器 IP 地址必须添加为 RADIUS 服务器配置中的 RADIUS 客户端源 IP 地址。

身份验证问题

  • OAuth 的发布断言错误

    • 确保所有索赔均由 AD 提供。您需要 7 个索赔才能成功。

    • 验证 /var/log/ns.log 中的日志以找到 OAuth 失败的错误。

     cat /var/log/ns.log
     <!--NeedCopy-->
    
    • 验证 OAuth 配置文件参数。
  • 断言后 Azure AD 身份验证停滞不前

    将 AD 身份验证作为身份验证设置为 off 的下一个因素。这是为了获得成功身份验证所需的所有声明。

与 EPA 相关的问题

  • 插件已经存在,但用户收到下载插件的提示。

    可能的原因:版本不匹配或文件损坏

    • 运行开发人员工具并验证插件列表文件是否包含与 NetScaler 和客户端计算机相同的版本。

    • 确保 NetScaler 上的客户端版本与客户端计算机上的客户端版本相同。

      在 NetScaler 上更新客户端。

      在自适应身份验证实例上,导航到 Citrix Gateway > 全局设置 > 更新客户端库

      Citrix 下载上的 EPA 插件库页面为您提供了详细信息。

    • 有时,即使版本已更新,也可以在 NetScaler 上缓存请求。

      show cache object 显示缓存的插件详细信息。您可以使用命令将其删除;

      flush cache object -locator 0x00000023345600000007

    有关 EPA 日志收集的详细信息,请参阅 https://support.citrix.com/article/CTX209148

  • 用户选择选项后,有没有办法恢复 EPA 设置(始终、是、否)。

    目前,EPA 设置还原是手动完成的。

    • 在客户端计算机上,导航到 C:\Users<user_name>\ AppData\ Local\ Citrix\ AGEE。
    • 打开 config.js 文件并将 trustAlways 设置为空 - "trustAlways":null

智能访问标签问题

  • 配置智能访问后,应用程序不可用

    确保在自适应身份验证实例和 Citrix VDA 交付组上定义了标记。

    检查是否在所有大写字母的 Workspace 交付组中添加了标记。

    如果这样做不起作用,您可以收集 ns.log 并联系 Citrix 支持部门。

自适应身份验证实例的常规日志收集

请联系 Citrix 支持部门以获取指导。

解决自适应身份验证问题