诊断设备状态服务事务
管理员现在可以有效地诊断和排除设备姿态服务事务的故障。 此更新增强了 Citrix Monitor 中的故障排除功能,提供了有关设备姿态策略评估、合规性检查和错误诊断的详细见解。
了解设备状态服务评估流程
典型的安全私有访问或 VDI 应用程序访问启动涉及以下三个阶段:
-
预认证:使用设备姿态服务进行基本的端点卫生检查。 如果设备不符合合规性策略,则在身份验证之前会阻止访问。
-
身份验证:在此阶段对用户进行身份验证。 如果凭证不匹配或身份提供者错误,则身份验证失败。
-
应用程序访问:此阶段涉及以下两个子阶段:
-
策略代理和枚举阶段:当用户的设备环境违反策略设置时,对应用程序的访问将受到限制。
-
应用程序启动阶段:最后阶段,应用程序事务使用 Citrix Enterprise Browser、Secure Private Access 客户端或本机端点客户端完成。
-
Citrix Monitor 中的故障排除增强功能
通过此更新,Citrix Monitor 提供基于搜索的设备状态服务故障排除,使 IT 团队能够:
- 通过用户 ID 或交易 ID 过滤交易,以进行有针对性的调试。
- 分析策略评估结果,例如设备是否合规、不合规或是否因违反策略而被阻止。
- 通过检查详细的合规性检查、预期值和实时上下文值来查明政策失败之处。
- 查看设备元数据、策略配置和日志以进行更深入的诊断。
- 识别由于系统错误导致的交易失败,并将错误消息链接到知识库文章以便快速解决问题。
IT 团队如何使用故障排除增强功能
分类设备状态问题
搜索用户报告的交易 ID 以快速找到相关的设备姿态服务日志。 审查合规性检查是否通过或失败并确定根本原因。
例如,在搜索交易 ID 时,您可以查看设备状态检查策略结果 - 它是成功(合规或不合规)还是由于错误而失败。 该系统提供设备姿态服务评估的完整背景,包括客户端元数据、策略详细信息和其他交易详细信息。
调查基于策略的访问阻止
当设备不合规时,IT 可以检查失败的确切策略参数。 系统提供配置的预期值与设备实时数据的并排比较。
使用精确搜索调试大型策略集
管理员可以在具有多种策略的复杂环境中搜索特定参数,并验证是否存在预期的用户上下文。 如果发生参数值不匹配的情况,系统会以视觉方式突出显示失败情况,从而加速根本原因的识别。 此外,管理员可以浏览策略来查看哪些策略经过了评估以及哪些策略产生了当前的交易结果。
为了排除大量策略参数工作集的故障,您可以搜索这些参数并查看所需的用户上下文是否实时存在。
例如,在上面的屏幕截图中,搜索突出显示的字段时没有结果(如下图所示),这表明参数值不匹配。 这种不匹配导致条件结果为假,并且,如果失败,则整体政策结果将被拒绝。
处理交易失败和错误
如果由于系统错误导致策略评估失败,Citrix Monitor 中将显示以下详细信息:
- 带有上下文详细信息的错误描述。
- 链接到故障排除文档,以便更快地解决问题。
诊断设备状态服务事务的步骤
-
从最终用户设备复制失败或拒绝访问的会话的交易 ID。
- 登录 Citrix Cloud。
- 在 DaaS 磁贴上,单击 管理,然后单击 监控 标签。
-
在 搜索 字段中输入交易 ID,然后单击 详细信息。
您可以查看已配置 Device Posture 策略的事务摘要和验证详细信息。 策略评估的不同值为 compliant、non-compliant 和 deny。
交易摘要
交易摘要 页面提供了设备姿态策略的结果。 对于合规、不合规和被拒绝的结果,摘要包括:
- 平台:客户端设备的操作系统。
- 策略名称:设备状态策略的名称。
- 评估结果:指示设备状态策略是通过还是失败。
- 设备状态结果:指示 Device Posture 结果是合规、不合规还是被拒绝。
- 上次扫描时间:上次扫描设备的时间。
验证配置的策略
验证已配置的策略 部分提供了策略评估的全面详细信息,包括:
- 失败的原因。
- 失败的具体规则。
- 已收集证据。
此信息允许管理员根据策略详细信息进行故障排除并采取适当的措施。
设备态势策略评估过程
-
策略失败和规则识别:
- 确定哪个规则失败以及失败的原因。
- 收集与失败相关的证据。
-
结局确定:
- 根据策略评估,结果可能是 COMPLIANT、UNCOMPLIANT 或 DENIED。
- 如果没有匹配的策略,则结果为“无匹配的策略”。
-
查看策略详细信息:
- 管理员可以查看特定交易 ID 的每个设备策略的详细信息。
- 使用后退和前进箭头浏览不同的策略。
在出现合规、不合规和被拒绝的结果时,设备终端安全评估策略评估在 Verify Configured Policies (验证配置的策略) 部分中包括以下信息:
- 策略名称:设备策略的名称。
- 身份证:评估策略的顺序。
- 评估结果:指示设备状态策略是通过还是失败。
- 策略结果:指示 Device Posture 结果是合规、不合规还是被拒绝。
-
策略条件:
- 类型:设备扫描类型。
- 条件条件:评估策略规则的条件。
- 期望值:策略条件的配置值。
- 实际值:从终端节点收集的证据。
- 条件结果:指示条件是通过还是失败。
错误代码
当出现问题并且 Device Posture 无法评估策略时,将显示错误代码。
如果出现故障,请复制错误代码并联系 Citrix 支持。
策略详细信息和错误代码简化了用户问题的分类和故障排除。
下表提供了错误的错误代码、错误消息和解决方案:
| # | 错误消息 | 错误代码 | 操作 |
|---|---|---|---|
| 1 | 无法读取配置的策略。 | 0x0050001 | 联系 Citrix 支持 |
| 2 | 无法评估终端节点扫描。 | 0x0050002 | 联系 Citrix 支持 |
| 3 | 无法处理策略或表达式。 | 0x0050003 | 联系 Citrix 支持 |
| 4 | 无法保存终端节点详细信息。 | 0x0050004 | 联系 Citrix 支持 |
| 5 | 无法处理来自终端节点的扫描结果。 | 0x0050005 | 联系 Citrix 支持 |
| 6 | 无法读取设备状态模式配置。 | 0x0050006 | 联系 Citrix 支持 |