诊断 Device Posture Service 事务
管理员现在可以高效地诊断和排查 Device Posture Service 事务。此更新增强了 Citrix Monitor 中的故障排除功能,提供有关 Device Posture 策略评估、合规性检查和错误诊断的详细见解。
了解 Device Posture Service 评估流程
典型的 Secure Private Access 或 VDI 应用程序访问启动涉及以下三个阶段:
-
预身份验证: 使用 Device Posture Service 执行基本的端点卫生检查。如果设备不符合合规性策略,则在身份验证之前阻止访问。
-
身份验证: 在此阶段对用户进行身份验证。如果存在凭据不匹配或身份提供程序错误,则身份验证失败。
-
应用程序访问: 此阶段涉及以下两个子阶段:
-
策略代理和枚举阶段: 当用户的设备上下文违反策略设置时,对应用程序的访问将受到限制。
-
应用程序启动阶段: 最后阶段,应用程序事务使用 Citrix Enterprise Browser™、Secure Private Access 客户端或本机端点客户端完成。
-
Citrix Monitor 中的故障排除增强功能
通过此更新,Citrix Monitor 提供基于搜索的 Device Posture Service 故障排除功能,使 IT 团队能够:
- 按用户 ID 或事务 ID 筛选事务,以进行有针对性的调试。
- 分析策略评估结果,例如设备是否合规、不合规或因策略违规而被阻止。
- 通过检查详细的合规性检查、预期值和实时上下文值来查明策略失败。
- 查看设备元数据、策略配置和日志,以进行更深入的诊断。
- 识别由于系统错误导致的失败事务,错误消息链接到知识库文章,以便快速解决。
IT 团队如何使用故障排除增强功能
Device Posture 问题分类
搜索用户报告的事务 ID,以快速找到相关的 Device Posture Service 日志。查看合规性检查是通过还是失败,并确定根本原因。
例如,在搜索事务 ID 时,您可以查看 Device Posture 检查策略结果——无论是成功(合规或不合规)还是因错误而失败。系统提供 Device Posture Service 评估的完整上下文,包括客户端元数据、策略详细信息和其他事务详细信息。
调查基于策略的访问阻止
当设备不合规时,IT 可以检查失败的确切策略参数。系统提供配置的预期值与设备的实时数据的并排比较。
使用精确搜索调试大型策略集
管理员可以在具有多个策略的复杂环境中搜索特定参数,并验证预期的用户上下文是否存在。如果发生参数值不匹配,系统会直观地突出显示失败条件,从而加快根本原因识别。此外,管理员可以浏览策略,查看哪些策略已评估以及哪些策略生成了当前事务结果。
要排查大型策略参数工作集,您可以搜索参数并查看所需的 用户上下文是否实时存在。
例如,在前面的屏幕截图中,搜索突出显示的字段后,没有结果(在下图中提及),这表明参数值不匹配。此不匹配导致条件结果为 false,进而导致整体策略结果被拒绝。
处理事务失败和错误
如果策略评估因系统错误而失败,Citrix Monitor 中将显示以下详细信息:
- 包含上下文详细信息的错误描述。
- 指向故障排除文档的链接,可加快解决速度。
诊断 Device Posture Service 事务的步骤
-
从最终用户设备复制失败或访问被拒绝的会话的事务 ID。
- 登录 Citrix Cloud。
- 在 DaaS 磁贴上,单击管理,然后单击监视器选项卡。
-
在搜索字段中输入事务 ID,然后单击详细信息。
您可以查看事务摘要和配置的 Device Posture 策略的验证详细信息。策略评估的不同值为合规、不合规和拒绝。
事务摘要
事务摘要页面提供 Device Posture 策略的结果。对于合规、不合规和拒绝的结果,摘要包括:
- 平台: 客户端设备的操作系统。
- 策略名称: Device Posture 策略的名称。
- 评估结果: 指示 Device Posture 策略是通过还是失败。
- Device Posture 结果: 指示 Device Posture 结果是合规、不合规还是拒绝。
- 上次扫描时间: 上次扫描设备的时间。
验证配置的策略
验证配置的策略部分提供策略评估的全面详细信息,包括:
- 失败原因。
- 失败的具体规则。
- 收集的证据。
此信息允许管理员根据策略详细信息进行故障排除并采取适当的操作。
Device Posture 策略评估过程
-
策略失败和规则识别:
- 识别哪个规则失败以及失败原因。
- 收集与失败相关的证据。
-
结果确定:
- 根据策略评估,结果可以是合规、不合规或拒绝。
- 如果没有策略匹配,结果为“无匹配策略”。
-
查看策略详细信息:
- 管理员可以查看特定事务 ID 的每个设备策略的详细信息。
- 使用向后和向前箭头浏览不同的策略。
在合规、不合规和拒绝结果的情况下,Device Posture 策略评估在“验证配置的策略”部分中包含以下信息:
- 策略名称: 设备策略的名称。
- ID: 策略评估的顺序。
- 评估结果: 指示 Device Posture 策略是通过还是失败。
- 策略结果: 指示 Device Posture 结果是合规、不合规还是拒绝。
-
策略条件:
- 类型: 设备扫描类型。
- 条件标准: 评估策略规则的条件。
- 预期值: 策略条件的配置值。
- 实际值: 从端点收集的证据。
- 条件结果: 指示条件是通过还是失败。
错误代码
当出现问题且 Device Posture 无法评估策略时,将显示错误代码。
如果出现故障,请复制错误代码并联系 Citrix 支持。
策略详细信息和错误代码简化了用户问题的分类和故障排除。
下表提供了错误代码、错误消息和错误的解决方案:
| # | 错误消息 | 错误代码 | 操作 |
|---|---|---|---|
| 1 | 无法读取配置的策略。 | 0x0050001 | 联系 Citrix 支持 |
| 2 | 无法评估端点扫描。 | 0x0050002 | 联系 Citrix 支持 |
| 3 | 无法处理策略或表达式。 | 0x0050003 | 联系 Citrix 支持 |
| 4 | 无法保存端点详细信息。 | 0x0050004 | 联系 Citrix 支持 |
| 5 | 无法处理来自端点的扫描结果。 | 0x0050005 | 联系 Citrix 支持 |
| 6 | 无法读取 Device Posture 模式配置。 | 0x0050006 | 联系 Citrix 支持 |