解决 Secure Private Access 问题
使用本主题来解决一些应用程序配置、身份验证和 SSO 或应用程序访问相关的问题。从 Secure Private Access 诊断日志的“信息代码”列中复制信息代码,然后在此页面上搜索该代码以找到相应的故障排除步骤。以下是一些常见问题解答,可帮助您更好地使用本主题。
常见问题解答
什么是 Secure Private Access 诊断日志?
在哪里可以找到 Secure Private Access 日志?
我可以在 Secure Private Access 诊断日志中找到哪些详细信息?
Secure Private Access 诊断日志中捕获了哪些事件?
如何使用 Secure Private Access 故障排除主题来解决我遇到的故障?
Secure Private Access 的所有 PoP 地点在哪里?
如果我无法使用信息代码和错误查找表来解决我的故障,该怎么办?
信息代码查询表
以下错误查找表全面概述了用户在使用 Secure Private Access 服务时可能遇到的各种错误。
| 信息代码 | 说明 | 解决方案 |
|---|---|---|
| 0x180006、0x1800B7 | 应用程序启动失败,因为已超出应用程序 FQDN 长度 | 应用程序启动失败,因为已超出应用程序 FQDN 长度 |
| 0x180022 | 由于身份验证服务已关闭,应用程序启动失败 | 由于身份验证服务已关闭,应用程序启动失败 |
| 0x180001、0x18001A、0x18001B、0x18008A、0x1800A9、0x1800AA、0x1800AB、0x1800AC、0x1800AD、0x1800AE、0x1800AF、0x1800B0、0x1800B1、0x1800B2、0x1800B3、0x180048 | 单点登录错误、Citrix Cloud 和本地连接器之间建立连接失败、SAML SSO 失败、应用程序 FQDN 无效 | 应用程序访问被拒绝 |
| 0x1800EF | 连接 Connector Appliance 时出现问题 | 连接 Connector Appliance 时出现问题 |
| 0x18009D | DNS 查找/连接失败 | Secure Browser 服务 - DNS 查找/连接错误 |
| 0x1800A0、0x1800A2、0x1800A3、0x1800A5、0x1800A6、0x1800A7 | 由于无法连接到后端 Web 应用程序,Web 应用程序启动失败 | 由于无法连接到后端 Web 应用程序,Web 应用程序启动失败 |
| 0x1800BC、0x1800BF | 用户无权访问 Web/SaaS 应用程序 | 用户无权访问 Web/SaaS 应用程序 |
| 0x1800BD | 用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序 | 用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序 |
| 0x1800D0 | 获取应用程序配置时 Citrix Secure Access 代理会话启动失败 | 获取应用程序配置时 Citrix Secure Access 代理会话启动失败 |
| 0x1800CD、0x1800CE、0x1800D6、0x1800EA | 获取应用程序配置时 Citrix Secure Access 代理会话启动失败,Citrix Secure Access 代理应用程序在策略评估期间启动失败,Citrix Secure Access 代理应用程序启动失败 | 客户端请求格式不正确 |
| 0x1800DE | 在策略评估期间,Citrix Secure Access 代理应用程序启动失败 | 在策略评估期间,Citrix Secure Access 代理应用程序启动失败 |
| 0x180055、0x1800DF、0x1800E3 | 应用程序受上下文策略限制,由于策略配置,访问被拒绝 | 一个或多个应用程序未在用户控制面板中列出 |
| 0x1800EB | 由于不支持 IPv6,Citrix Secure Access 代理应用程序启动失败 | 由于不支持 IPv6,Citrix Secure Access 代理应用程序启动失败 |
| 0x1800EC、0x1800ED | 由于 IP 地址无效,Citrix Secure Access 代理应用程序启动失败 | IP 地址无效,Citrix Secure Access 代理应用程序启动失败 |
| 0x10000001, 0x10000002, 0x10000003, 0x10000004 | 由于网络问题,Citrix Secure Access 客户端登录失败 | Citrix Secure Access 客户端存在网络连接可访问性问题 |
| 0x10000006 | 由于中间有代理,Citrix Secure Access 客户端登录失败 | 代理服务器干扰客户端与服务的连接 |
| 0x10000007 | 由于证书颁发机构不可信,Citrix Secure Access 客户端登录失败 | 观察到不可信的服务器证书问题 |
| 0x10000008 | 由于证书无效,Citrix Secure Access 客户端登录失败 | 观察到服务器证书无效问题 |
| 0x1000000A | 由于配置问题,Citrix Secure Access 客户端登录失败 | 登录失败,因为用户的配置为空 |
| 0x1000000B | 由于连接失败,Citrix Secure Access 客户端登录失败 | 网络或最终用户终止了连接 |
| 0x10000010 | 由于会话过期,Citrix Secure Access 客户端登录失败 | 由于会话已过期,配置下载失败 |
| 0x10000013 | 由于配置列表庞大,Citrix Secure Access 客户端登录失败 | Citrix Secure Access 客户端登录失败 |
| 0x11000003 | 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 | 由于会话已过期,控制通道建立失败 |
| 0x11000004 | 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 | 控制信道建立失败 |
| 0x11000005 | 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 | 控制信道建立失败 |
| 0x11000006 | 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 | 由于网络问题,控制信道建立失败 |
| 0x12000001 | Citrix Secure Access 客户端注销失败,因为会话已经过期 | 会话终止时无法注销 |
| 0x12000002 | Citrix Secure Access 客户端注销失败,因为会话已经超时 | 会话被强制终止 |
| 0x13000001 | 由于会话过期,应用程序访问失败 | 由于会话已过期,应用程序启动失败 |
| 0x13000002 | 由于许可证不足,应用程序访问失败 | 由于许可证问题,应用程序启动失败 |
| 0x13000003、0x13000008、0x001800DF | 由于禁止访问,应用程序访问失败,TCP/UDP 应用程序启动根据策略被拒绝 | 由于服务拒绝访问,应用程序启动失败 |
| 0x13000004, 0x13000005 | 由于服务器不可用,应用程序访问失败 | 应用程序启动失败,因为客户端无法访问服务 |
| 0x13000007 | 由于访问策略被禁用或用户未订阅,应用程序访问失败 | 由于策略评估和配置验证失败,应用程序启动失败 |
| 0x13000009 | 由于缺少路由条目,应用程序访问失败 | 由于应用程序域表中的问题,应用程序启动失败 |
| 0x1300000B | 客户端关闭了连接 | 客户关闭了与 Secure Private Access 服务的连接 |
| 0x1300000C | 通过 ZTNA 进行的 FQDN 解析失败 | 无法通过 DNS 服务器解析 FQDN |
| 0x001800D3 | 登录时应用程序配置下载失败 | 未能获取已配置的应用程序目标列表 |
| 0x001800D9、0x001800DA | TCP/UDP 应用程序启动在解析策略评估响应期间失败,TCP/UDP 应用程序启动失败,策略评估期间的结果无效 | 应用程序配置问题 |
| 0x001800DB | TCP/UDP 应用程序启动失败,资源位置配置无效 | 资源位置问题 |
| 0x13000006、0x001800DC、0x001800DD | 由于为应用程序配置了不支持的增强安全策略,TCP 应用程序启动失败;由于为 TCP 应用程序配置了不支持 Secure Browser 服务重定向,TCP 应用程序启动失败 | 增强的安全策略绑定到 HTTP 应用程序 |
| 0x001800DE | TCP/UDP 应用程序启动失败,因为没有找到目标的应用程序配置 | 找不到应用程序 |
| 0x001800EA | 由于目标 FQDN 太长,TCP 应用程序启动失败 | 主机名长度超过 256 个字符 |
| 0x001800ED | 由于目标 IP 无效,TCP 应用程序启动失败 | IP 地址无效 |
| 0x001800EF | 在与专用 TCP 服务器建立连接期间,TCP 应用程序启动失败 | 无法建立端到端连接 |
| 0x001800F5 | 由于 IPV6 地址的原因,UDP 应用程序启动失败 | 在应用程序请求中收到的 IPv6 |
| 0x001800F9 | 由于客户端连接中断,UDP 流量无法传送 | UDP 流量未能传输 |
| 0x001800FF | UDP 数据流量传输失败 | UDP 数据流量传输失败 |
| 0x10000401 | Citrix Rendezvous 服务器拨号失败 | 由于网络连接问题,应用程序启动失败 |
| 0x10000402, 0x1000040C | 无法注册 Connector Appliance,UDP 网络连接初始化失败 | Connector Appliance 未能注册到 Secure Private Access 服务 |
| 0x10000403、0x10000404、0x10000407、0x1000040A、0x1000040B、0x1000040F、0x10000410 | 连接错误,控制数据包传输失败,读取网关服务时出错控制数据包解析失败,写入网关服务时出错 | 连接 Connector Appliance 问题 |
| 0x10000405、0x10000408、0x10000409、0x1000040D、0x1000040E、0x10000412 | 后端无法访问、UDP 数据包传输失败、UDP 数据包接收失败、写入后端时出错、后端关闭连接 | Connector Appliance 和后端专用 TCP/UDP 服务器的连接问题 |
| 0x10000406 | DNS 解析失败 | Connector Appliance 无法解析 FQDN 的 DNS |
| 0x10000411 | 网关服务关闭了连接 | 专用服务器连接已终止 |
| 0x10000413 | 确定连接断开原因时出错 | 无法连接或发送数据到私有服务 IP 或 FQDN |
| 0x100508 | 用户上下文与访问规则条件不匹配 | 没有匹配的策略条件 |
| 0x100509 | 访问策略与应用程序无关 | 没有与应用程序相关的访问策略 |
| 0x10050C | 用户可能有权使用的多个应用程序的策略评估结果 | 应用程序枚举信息 |
| 0x00180101 | TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目 | TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目 |
| 0x00180102 | TCP/UDP 应用程序启动失败,因为连接器不正常 | TCP/UDP 应用程序启动失败,因为连接器不正常 |
| 0x00180103 | UDP/DNS 请求失败,因为无法访问连接器 | UDP/DNS 请求失败,因为无法访问连接器 |
| 0x20580001 | 由于 NGS Cookie 已过期,无法加载页面 | 由于 NGS Cookie 已过期,无法加载页面 |
| 0x20580002 | 由于网络故障,访问策略提取失败 | 由于网络故障,访问策略提取失败 |
| 0x20580003 | 解析 JSON 网络令牌时访问策略提取失败 | 解析 JSON 网络令牌时访问策略提取失败 |
| 0x20580004 | 网络无法获取访问策略的详细信息 | 网络无法获取访问策略的详细信息 |
| 0x20580005 | 获取公共证书时策略提取失败 | 获取公共证书时策略提取失败 |
| 0x20580007 | 验证 JWT 签名时策略提取失败 | 验证 JWT 签名时策略提取失败 |
| 0x20580008 | 验证公共证书时策略提取失败 | 验证公共证书时策略提取失败 |
| 0x2058000A | 无法确定存储环境以形成策略 URL | 无法确定存储环境以形成策略 URL |
| 0x2058000B | 未能获得访问策略提取请求的响应 | 未能获得访问策略提取请求的响应 |
| 0x2058000C | 由于辅助 DS 身份验证令牌过期,访问策略提取失败 | 由于辅助 DS 身份验证令牌过期,访问策略提取失败 |
| 0x10200002 | Connector Appliance 未注册 | Connector Appliance 未注册 |
| 0x10200003 | 无法连接到 Connector Appliance | 无法连接到 Connector Appliance |
| 0x10000301 | 连接到 Citrix SPA 服务失败 | 连接到 Citrix Secure Private Access 服务失败 |
| 0x10000303, 0x10000304 | 无法访问代理服务器 | 无法访问代理服务器 |
| 0x10000305 | 代理服务器身份验证失败 | 代理服务器身份验证失败 |
| 0x10000306 | 无法访问已配置的代理服务器 | 无法访问已配置的代理服务器 |
| 0x10000307 | 收到来自后端服务器的错误响应 | 收到来自后端服务器的错误响应 |
| 0x10000005 | 无法向目标 URL 发送请求 | 无法向目标 URL 发送请求 |
| 0x10000107 | 无法处理 SSO | 无法处理 SSO |
| 0x10000108、0x1000010B | 无法处理 SSO,无法确定 SSO 设置 | 无法处理 SSO,无法确定 SSO 设置 |
| 0x10000101, 0x10000102, 0x10000103, 0x10000104 | FormFill SSO 失败,表单应用程序配置不正确 | FormFill SSO 失败,表单应用程序配置不正确 |
| 0x1000010A | FormFill SSO 失败,表单应用程序配置不正确 | FormFill SSO 失败,表单应用程序配置不正确 |
| 0x10000202 | Kerberos SSO 失败 | Kerberos SSO 失败 |
| 0x10000203 | 无法处理身份验证类型的 SSO | 无法处理身份验证类型的 SSO |
| 0x10000204 | Kerberos SSO 失败但回退到 NTLM | Kerberos SSO 失败但又回到了NTLM |
解决步骤
以下部分提供了大多数信息代码的解析步骤。对于未捕获解析步骤的代码,请联系 Citrix 支持人员。
一个或多个应用程序未在用户控制面板中列出
信息代码: 0x180055、0x1800DF、0x1800E3
由于上下文策略设置,某些用户或设备可能无法看到应用程序。诸如信任因素(Device Posture或风险评分)之类的参数可能会影响应用程序的可访问性。
- 从
reasons列中为诊断日志 csv 文件中的错误代码0x18005C复制事务 ID。 - 修改 csv 文件中的
prod列过滤器,以显示名为SWA.PSE或SWA.PSE.EVENTS的组件中的事件。此筛选器仅显示与策略评估相关的日志。 - 在
reason列中搜索评估的策略有效负载。此负载显示用户订阅的所有应用程序的用户上下文的评估策略。 - 如果策略评估显示该用户的应用程序被拒绝,可能的原因可能是:
- 策略中的匹配条件不正确-检查 Citrix Cloud 中的应用程序策略配置
- 策略中的匹配规则不正确-检查 Citrix Cloud 中的应用程序策略配置
- 策略中的默认规则匹配不正确-这是一个漏洞案例。相应地调整条件。
用户无权访问 Web/SaaS 应用程序
信息代码: 0x1800BC、0x1800BF
用户可能点击了用户可能没有订阅的应用程序链接。
确保用户订阅了应用程序。
- 转到管理门户中的应用程序。
- 编辑应用程序并转到订阅选项卡。
- 确保目标用户在订阅列表中有一个条目。
后端应用程序性能缓慢
信息代码:0x18000F
在某些情况下,由于资源位置的连接器可能已关闭,或者后端服务器本身可能没有响应,客户网络不稳定。
- 确保 Connector Appliance 在地理位置上靠近后端服务器,以排除网络延迟。
- 检查后端服务器的防火墙是否未阻止 Connector Appliance。
-
检查客户端是否正在连接到最近的云 POP。
例如,
nslookup nssvc.dnsdiag.net在客户端上,答案中的规范名称表示特定于地理位置的服务器,例如aws-us-w.g.nssvc.net.
应用程序启动失败,因为已超出应用程序 FQDN 长度
信息代码: 0x180006、0x1800B7
应用程序 FQDN 的长度不得超过 512 个字符。在应用程序配置页面中检查应用程序 FQDN。确保长度大小不超过 512 字节。
- 转到管理控制台上的应用程序选项卡。
- 查找 FQDN 超过 512 个字符的应用程序。
- 编辑应用程序并修复应用程序 FQDN 长度。
已超出应用程序详情长度
信息代码: 0x18000E
检查策略是否阻止应用程序访问。
- 转到访问策略。
- 查找应用程序有权限的策略。
- 查看最终用户的策略规则和条件。
应用程序访问被拒绝
信息代码: 0x180001、0x18001A、0x18001B、0x18008A、0x1800A9、0x1800AB、0x1800AC、0x1800AD、0x1800AE、0x1800AF、0x1800B0、0x1800B1、0x1800B2、0x1800B3、0x180048
这与情境策略有关,在这种策略中,策略拒绝为给定用户提供应用程序。
检查策略是否阻止应用程序访问
- 转到访问策略。
- 查找应用程序有权限的策略。
- 查看最终用户的策略规则和条件。
未列举应用程序
由于策略拒绝或未启用 Secure Private Access 集成,枚举列表中可能缺少应用程序。
-
如果必须为某些应用程序启用访问权限,但您看到的应用程序为零,请尝试启用 Secure Private Access 集成。
- 登录 Citrix Cloud。
- 从汉堡菜单中选择“Workspace 配置”,然后单击“服务集成”。
- 单击“Secure Private Access”中的省略号按钮,然后单击“启用”。
-
如果已经启用了 Secure Private Access 集成,请将其禁用,然后再次启用以查看是否有任何应用程序。
连接 Connector Appliance 时出现问题
信息代码: 0x1800EF
由于与本地连接器的 TCP 连接不可用,应用程序路由失败。
查看来自控制器组件的事件
- 在诊断日志 csv 文件中查找错误代码
0x1800EF的transaction ID。 - 在 csv 文件中过滤与事务 ID 匹配的所有事件。
-
此外,筛选 csv 文件中匹配的
prod列SWA.GOCTRL。If you see events with the
connectTypemessagemulticonnect::success? then;- 这表明通道建立请求已成功中继到控制器。
- 检查日志消息中的
Resource Location是否正确。如果不正确,请在 Citrix 管理门户的应用程序配置部分中修复资源位置。 - 检查日志消息中的
VDA Ip and Port是否正确。VDA IP 和端口表示后端应用程序 IP 和端口。如果不正确,请在 Citrix 管理门户的应用程序配置部分中修复应用程序 FQDN 或 IP 地址。 - 如果您没有发现任何前面提到的问题,请继续查看 连接器事件 。
如果您看到带有
connectType消息的事件connect::failure或multiconnect::success,那么;- 检查此日志消息的建议修复是否显示-
Check if connector is still connected to same pop。这表示资源位置的连接器可能已关闭。继续查看 连接器事件。 - 如果未看到前面提到的消息,请联系 Citrix 客户支持。
如果您看到带有
connectType消息的事件IntraAll::failure,请联系 Citrix 客户支持。
查看连接器组件中的事件
- 在诊断日志 csv 文件中查找错误代码
0x1800EF的transaction ID。 - 在 csv 文件中过滤与事务 ID 匹配的所有事件。
- 同时筛选 csv 文件中匹配的
prod列SWA.ConnectorAppliance.WebApps。 - If you see events with
statusasfailure, then;- 查看每个失败事件的
reason消息。 -
UnableToRegister表示连接器无法成功注册到 Citrix Cloud。请联系 Citrix 支持部门。 -
IsProxyRequiredCheckError、ProxyDialFailed、ProxyConnectionFailed、ProxyAuthenticationFailure或ProxiesUnReachable表示连接器无法通过代理配置解析后端 URL。检查代理配置是否正确。 - 有关进一步调试的信息,请参阅 连接器 SSO 事件。
- 查看每个失败事件的
单点登录错误
对于单点登录,将在应用程序启动期间从应用程序配置中提取和应用不同的 SSO 属性。如果该特定用户没有属性或者属性不正确,则单点登录可能会失败。确保配置看起来正确。
- 转到访问策略。
- 查找应用程序有权限的策略。
- 查看最终用户的策略规则和条件。
表单 SSO、Kerberos 和 NTLM 等 SSO 方法由本地连接器执行。查看连接器中的以下诊断日志。
查看连接器组件中的 SSO 事件
- 在匹配
SWA.ConnectorAppliance.WebApps的 csv 文件中过滤component name。 - 您是否看到状态为“失败”的事件?
- 查看每个失败事件的消息。
-
IsProxyRequiredCheckError、ProxyDialFailed、ProxyConnectionFailed、ProxyAuthenticationFailure或ProxiesUnReachable表示连接器无法通过代理配置解析后端 URL。检查代理配置是否正确。 -
FailedToReadRequest或RequestReceivedForNonSecureBrowse或UnableToRetrieveUserCredentials或CCSPolicyIsNotLoaded或FailedToLoadBaseClient或ProcessConnectionFailure或WebAppUnSupportedAuthType表示通道出现故障。请联系 Citrix 支持部门。 -
UnableToConnectTargetServer表示无法从连接器访问后端服务器。再次检查后端配置。 -
IncorrectFormAppConfiguration或NoLoginFormFound或FailedToConstructForLoginActionURL或FailedToLoginViaFormBasedAuth表示基于表单的身份验证失败。查看 Citrix 管理门户中应用程序配置中的表单 SSO 配置部分。 -
NTLMAuthNotFound表示基于 NTLM 的身份验证失败。查看 Citrix 管理门户中应用程序配置中的 NTLM SSO 配置部分。 - 有关进一步的调试,请参阅 连接器事件。
由于身份验证服务已关闭,应用程序启动失败
信息代码: 0x180022
Secure Private Access 允许管理员配置第三方身份验证服务,例如传统的 Active Directory、AAD、Okta 或 SAML。这些身份验证服务中断可能会导致出现此问题。
检查第三方服务器是否已启动且可访问。
SAML SSO 失败
信息代码: 0x18008A、0x1800A9、0x1800AA、0x1800AB、0x1800AC、0x1800AD、0x1800AE、0x1800AF、0x1800B0、0x1800B1、0x1800B2、0x1800B3
在 IdP 启动应用程序时,用户在启动应用程序时会面临身份验证失败,或者在 SP 启动时可能会看到无法访问的链接。检查 Secure Private Access 服务端的 SAML 应用程序配置以及服务提供商配置。
Secure Private Access 配置:
- 转到应用程序选项卡。
- 寻找有问题的 SAML 应用程序。
- 编辑应用程序,然后转到单点登录选项卡。
- 请检查以下字段。
- 断言 URL
- 中继状态
- 受众
- 名称 ID 格式、名称 ID 和其他属性
服务提供商配置:
- 登录到服务提供商。
- 转到 SAML 设置。
- 检查 IdP 证书、受众和 IdP 登录 URL。
如果配置看起来正确,请联系 Citrix 支持部门。
应用程序 FQDN 无效
信息代码: 0x180048
客户管理员可能提供了无效的 FQDN 或后端服务器上的 DNS 解析失败的 FQDN。
在这种情况下,最终用户会在网页上看到错误。检查应用程序设置。
SaaS 应用程序验证
检查是否可以从网络访问该应用程序。
Web 应用程序验证
- 转到应用程序选项卡。
- 编辑有问题的应用程序。
- 转到 应用程序详细信息 页面。
- 检查 URL。该 URL 必须可在内部网或互联网中访问。
Secure Browser 服务 - DNS 查找/连接失败
信息代码: 0x18009D
通过 Remote Browser Isolation 服务获得的浏览体验不正常。检查最终用户正在尝试连接的后端服务器。
- 转到后端服务器,检查它是否已启动并正在运行,是否能够接收请求。
- 如果它正在停止与后端服务器的连接,请检查代理设置。
注意:
Citrix Remote Browser Isolation 服务以前称为 Secure Browser 服务。
CWA Web-Web 应用程序的 DNS 查找/连接错误
信息代码: 0x1800A0、0x1800A2、0x1800A3、0x1800A5、0x1800A6、0x1800A7
在公司网络内运行的 Web 应用程序的浏览体验不佳。
- 筛选无法解析的 FQDN 的诊断日志。
- 检查企业网络内部后端服务器的可访问性。
- 检查代理设置,查看连接器是否被阻止访问后端服务器。
直接访问-错误配置为 Web 应用程序
由于 Web 应用程序流量始终通过连接器路由,因此在它们上配置直接访问会导致应用程序访问错误。
检查路由域表和应用程序配置之间是否存在冲突的配置。
- 转到管理门户中的应用程序。
- 编辑应用程序并检查是否启用了直接访问。
- 检查路由域表中的应用程序 FQDN 是否已标记为内部。
用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序
信息代码: 0x1800BD
应用程序配置禁止直接访问来自基于浏览器的客户端的流量。
确保用户订阅了应用程序。
- 转到管理门户中的应用程序。
- 编辑应用程序并检查无代理访问配置。
增强的安全策略 - Secure Browser 服务配置错误
信息代码: 0x1800C3
看到的行为不符合策略规则的预期。查看上下文访问策略。
- 转到策略选项卡。
- 检查与应用程序相关的策略。
- 查看这些策略的规则。
增强的安全策略-策略配置错误
看到的行为不符合策略规则的预期。检查增强的安全设置。
- 转到应用程序。
- 单击访问策略选项卡。
- 检查 可用安全限制: 部分中的设置。
获取应用程序配置时 Citrix Secure Access 代理会话启动失败
信息代码: 0x1800D0
Citrix Secure Access 应用程序无法成功建立通往 Citrix Cloud 的完整通道。
- 查看 TCP/UDP 应用程序的路由域配置。
- 确保最大条目数完全在 16k 限制之内。
TCP/UDP 应用程序-格式错误的客户端请求
信息代码: 0x1800CD、0x1800CE、0x1800D6、0x1800EA
VPN 通道未建立,或者某些 FQDN 可能未通过通道传输。
- 确保请求不是由中间的代理捏造或重建的。
- 疑似中间人袭击。
TCP/UDP 应用程序 - Secure Browser 服务重定向配置错误
信息代码: 0x1800DD
Remote Browser Isolation 服务重定向只能应用于 Web 应用程序,不能应用于 TCP/UDP 应用程序。查看 Secure Private Access 服务 GUI 中的应用程序配置。
注意:
Citrix Remote Browser Isolation 服务以前称为 Secure Browser 服务。
在策略评估期间,Citrix Secure Access 代理应用程序启动失败
信息代码: 0x1800DE
确保 Citrix Secure Access 客户端通过通道传输的所有内部 FQDN 在路由域表中都有相应的条目。
由于不支持 IPv6,Citrix Secure Access 代理应用程序启动失败
信息代码: 0x1800EB
查看路由域条目。确保表中没有 IPV6 条目。
由于 IP 地址无效,Citrix Secure Access 代理应用程序启动失败
信息代码:0x1800EC,0x1800ED
查看路由域条目。确保 IP 地址有效且指向正确的后端。
Citrix Secure Access 客户端存在网络连接可访问性问题
信息代码: 0x10000001、0x10000002、0x10000003、0x10000004
- 检查客户端计算机网络是否可访问。如果网络可以访问,请联系 Citrix 支持人员并提供客户端调试日志。
- 检查代理或防火墙是否阻塞了网络。
要收集客户端调试日志,请参阅如何收集客户端日志。
代理服务器干扰客户端与服务的连接
信息代码: 0x10000006
- 检查客户端计算机网络是否可访问。
- 检查客户端中的代理配置是否正确。
- 如果两者都没有问题,请联系 Citrix 支持人员提供客户端调试日志。
要收集客户端调试日志,请参阅如何收集客户端日志。
观察到不可信的服务器证书问题
信息代码: 0x10000007
联系 Citrix 支持部门,检查服务器证书是否由有效 CA 正确生成。
观察到服务器证书无效问题
信息代码: 0x10000008
联系 Citrix 支持人员,检查服务器证书是自签名证书、已过期证书还是来自不可信来源。
登录失败,因为用户的配置为空
信息代码: 0x1000000A
- 确保至少配置了一个 TCP/UDP/HTTP 应用程序。有关详细信息,请参阅添加和管理应用程序。
- 确保“应用程序域”表(“Secure Private Access”>“设置”>“应用程序域”)不为空或未禁用所有条目。在 TCP/UDP/HTTP 应用程序中配置的目的地将自动添加到此表中。
建议不要删除或禁用活动的 TCP/UDP/HTTP 应用程序的目标或 URL。
连接被网络和/或最终用户终止
信息代码: 0x1000000B
在 ZTNA 会话连接期间,检查网络是否中断或最终用户是否取消了连接。
由于会话已过期,配置下载失败
信息代码: 0x10000010
在 ZTNA 会话配置下载请求期间,VPN 会话可能已过期。尝试重新登录 Citrix Secure Access 客户端。
Citrix Secure Access 客户端登录失败
信息代码: 0x10000013
由于配置大小超过最大配置限制,Citrix Secure Access 客户端无法登录。
- 在 Secure Private Access > 设置 > 应用程序域中查看 TCP/UDP 应用程序的路由域配置
-
确保条目数量不大。如果条目列表很大,请禁用或删除未使用的目的地。
如果目标列表预计超过 1000 个,请尝试通过更新 ConfigSize 注册表项来增加最大配置下载大小。有关详细信息,请参阅 Citrix Gateway VPN 客户端注册表项。
由于会话已过期,控制通道建立失败
信息代码: 0x11000003
由于会话已过期,建立 DNS 请求的控制通道出现故障。
在控制通道设置期间,ZTNA 会话可能已过期。
尝试重新登录 Citrix Secure Access 客户端。
控制信道建立失败
信息代码: 0x11000004
建立 DNS 请求的控制通道已失败。
- 保持资源位置健康:
- 登录 Citrix Cloud。
- 从汉堡菜单中单击“资源位置”。
- 在相应的资源位置对 Connector Appliance 运行运行状况检查。
- 如果这不能解决问题,请尝试重新启动连接器虚拟机。
- 维护 HA Connector Appliance:
- 登录 Citrix Cloud。
- 从汉堡菜单中单击“资源位置”。
- 确保预期的资源位置至少有两个 Connector Appliance。
请务必满足以下各项条件:
- 资源位置 LAN 处于工作状态。
- 中间没有防火墙或代理来阻止 Connector Appliance 连接到服务或后端服务器。
- 客户端网络运行正常。
- 后端私有服务器已启动并正在运行。
- DNS 服务器已启动并正在运行。
- FQDN 是可解析的。
如果您符合上述建议,请执行以下操作。
- 从诊断日志中获取此错误的交易 ID。
- 在 Secure Private Access 控制面板中筛选与交易 ID 匹配的所有事件。
- 检查客户端或 Connector Appliance 或服务诊断日志中是否出现任何与事务 ID 匹配的错误。然后相应地采取适当的操作。
-
检查在应用程序域表(Secure Private Access > 设置 > 应用程序域)中为目标选择的资源位置是否正确。
- 检查应用程序是否配置了正确的端口、IP 范围和域。有关详细信息,请参阅添加和管理应用程序。
如果您仍然无法解决问题,请联系 Citrix 支持部门,提供与事务 ID 和客户端日志相对应的错误代码。
要收集客户端调试日志,请参阅如何收集客户端日志。
控制信道建立失败
信息代码: 0x11000005
控制通道(用于 DNS 请求)建立失败。
- 检查 Secure Private Access 服务许可证授权。
- 如果未获得授权,请联系 Citrix 支持部门检查许可证。
有关详细信息,请参阅 https://www.citrix.com/buy/licensing/product.html。
由于网络问题,控制信道建立失败
信息代码: 0x11000006
由于网络问题,控制通道(用于 DNS 请求)建立失败。
- 检查 Secure Private Access 服务是否可访问。
- 如果无法访问,请使用错误代码和客户端日志与 Citrix 支持部门联系。
要收集客户端调试日志,请参阅如何收集客户端日志。
由于 IIP 不足,控制信道建立失败
信息代码: 0x11000007
由于 IIP 不足,控制通道(用于 DNS 请求)建立失败。
请联系 Citrix 支持部门,提供错误代码和客户端日志。
要收集客户端调试日志,请参阅如何收集客户端日志。
会话终止时无法注销
出现此问题可能是因为客户端计算机(键盘或鼠标)的空闲时间超过了配置的超时时间。
信息代码: 0x12000001
尝试重新登录 Citrix Secure Access 客户端。
会话被强制终止
当达到配置的强制超时时,会话将被强制终止。
信息代码: 0x12000002
尝试重新登录 Citrix Secure Access 客户端。
由于会话已过期,应用程序启动失败
信息代码: 0x13000001
- ZTNA 会话在应用程序启动期间已过期。
- 尝试重新登录 Citrix Secure Access 客户端。
由于许可证问题,应用程序启动失败
信息代码: 0x13000002
- 检查 Secure Private Access 服务许可证是否有效。
- 如果未获得授权,请联系 Citrix 支持部门检查许可证。
有关详细信息,请参阅 https://www.citrix.com/buy/licensing/product.html。
由于服务拒绝访问,应用程序启动失败
信息代码: 0x13000003、0x13000008、0x001800DF
根据用户和应用程序的策略配置,应用程序启动被拒绝。
确保满足以下条件。
- 多个应用程序(HTTP、HTTPS、TCP、UDP)中不使用相同的目的地
- 多个应用程序上没有重叠的目的地。
- 访问策略绑定到应用程序。
还要检查为被拒绝的应用程序配置的策略的条件和操作。然后查看策略条件和操作。
有关详细信息,请参阅 访问策略。
应用程序启动失败,因为客户端无法访问服务
信息代码: 0x13000004、0x13000005
- 检查 Secure Private Access 服务是否可访问。
- 再次启动应用程序。
- 如果长时间无法访问该应用程序,请使用错误代码和客户端日志与 Citrix 支持人员联系。
要收集客户端调试日志,请参阅如何收集客户端日志。
由于策略评估和配置验证失败,应用程序启动失败
信息代码: 0x13000007
由于 Secure Private Access 服务未能通过策略评估和配置验证,应用程序启动失败。
由于应用程序域表中的问题,应用程序启动失败
信息代码: 0x13000009
应用程序启动失败,因为应用程序域表中没有访问目标的条目。
在“Secure Private Access”>“设置”>“应用程序域”中检查应用程序的路由条目配置是否正确。
客户关闭了与 Secure Private Access 服务的连接
信息代码: 0x1300000B
- 检查最终用户是否手动关闭了连接。
- 如果不是,请联系 Citrix 支持部门,提供错误代码和客户端日志。
要收集客户端调试日志,请参阅如何收集客户端日志。
无法通过 DNS 服务器解析 FQDN
信息代码: 0x1300000C
当 Connector Appliance 无法解析 FQDN 的 DNS 时,就会出现此问题。
- 在 DNS 服务器中检查相应应用程序 FQDN 的 DNS 条目。
- 确保在 Connector Appliance 中配置了适当的 DNS 服务器。有关详细信息,请参阅 Connector Appliance 管理页面上的配置网络设置。
找不到应用程序
信息代码: 0x001800DE
您可能无法找到用户访问目标的应用程序。如果应用程序域表中缺少目标到资源位置的映射,则可能会出现这种情况。
- 确保为访问的目标配置 TCP/UDP 或 HTTP 应用程序。
- 确保用户订阅了所访问目标的应用程序。
- 转到管理门户中的应用程序。
- 编辑应用程序并转到订阅选项卡。
- 确保目标用户在订阅列表中有一个条目。
- 确保 应用程序域 表有目标和相应的资源位置。
未能获取已配置的应用程序目标列表
信息代码: 0x001800D3
- 确保至少配置了一个 TCP/UDP/HTTP 应用程序。有关详细信息,请参阅添加和管理应用程序。
- 确保应用程序域表(Secure Private Access > 设置 > 应用程序域)页面不为空或未禁用所有条目。在 TCP/UDP/HTTP 应用程序中配置的目的地将自动添加到此表中。建议不要在应用程序域表中删除或禁用活动 TCP/UDP/HTTP 应用程序的目标或 URL。
应用程序配置问题
应用程序配置包含特殊字符或某些策略配置问题。
信息代码: 0x001800D9、0x001800DA
请务必满足以下各项条件:
- 应用程序配置不包含不支持的字符。
- 目标 IP 地址或 IP 地址范围或 IP CIDR 是有效的。
- 应用程序目标已在应用程序域表(Secure Private Access > 设置 > 应用程序域)中启用。
- 策略已配置并绑定到相应的应用程序。
- 访问策略配置正确。
资源位置问题
信息代码: 0x001800DB
-
确保配置了资源位置。
- 在 Citrix Cloud 汉堡菜单中,选择资源位置。
- 确保配置了预期的资源位置并且资源位置处于活动状态。
-
确保在应用程序域表(Secure Private Access > 设置 > 应用程序域)中为目标选择了正确的资源位置。
在 TCP/UDP/HTTP 应用程序中配置的目的地将自动添加到此表中。建议不要在“应用程序域”表中删除或禁用活动 TCP/UDP/HTTP 应用程序的目标或 URL。
增强的安全策略绑定到 HTTP 应用程序
信息代码: 0x001800DC、0x001800DD、0x13000006
绑定了增强安全策略的 HTTP 应用程序可通过 Citrix Secure Access 客户端进行访问。
- 确保 TCP/UDP 和 HTTP 应用程序不使用相同的目的地。
- 如果为 HTTP/HTTPS 应用程序启用了增强的安全策略,则建议仅通过 Citrix Workspace 应用程序或 Citrix Remote Browser Isolation 服务访问该应用程序。
-
禁用 HTTP/HTTPS 应用的增强安全控制,以便通过 Citrix Secure Access 客户端访问该应用。
- 转到 Secure Private Access 管理门户。
- 单击“应用程序”选项卡,搜索访问的目标 HTTP/HTTPS 应用程序的策略名称。
- 单击“访问策略”选项卡,搜索之前确定的策略名称。
- 选择策略并单击“编辑”。
- 将操作从“允许有限制的访问”更改为“允许访问”。
有关配置的详细信息,请参阅 添加和管理应用程序。
注意:
Citrix Remote Browser Isolation 服务以前称为 Secure Browser 服务。
主机名长度超过 256 个字符
信息代码: 0x001800EA
在应用程序启动请求中收到的主机名超过 256 个字符。
建议 FDQN 字符不要超过 256 个字符。
IP 地址无效
信息代码: 0x001800ED
在应用程序启动请求中收到的 IP 地址无效。
建议仅从客户端访问有效的私有 IP 地址。
无法建立端到端连接
信息代码: 0x001800EF
无法在客户端和资源位置中配置的服务器之间建立端到端连接。
- 确保资源位置处于活动状态。
- 在 Citrix Cloud 汉堡菜单中,选择资源位置。
- 在相应的资源位置对 Connector Appliance 运行运行状况检查。
- 如果这不能解决问题,请重新启动连接器虚拟机。
- 保持高可用性 Connector Appliance
- 在 Citrix Cloud 汉堡菜单中,选择资源位置。
- 确保资源位置至少有两个 Connector Appliance。
-
请务必满足以下各项条件:
- 资源位置 LAN 处于工作状态。
- 中间没有防火墙或代理阻止 Connector Appliance 访问服务或后端服务器。
- 客户端网络运行正常。
- 后端私有服务器运行良好。
- DNS 服务器运行正常。
- FQDN 是可解析的。
如果这些没有问题,请执行以下操作:
- 从诊断日志中获取此错误的交易 ID。
- 在 Secure Private Access 服务控制面板中筛选与交易 ID 匹配的所有事件。
- 从 Secure Private Access 服务控制面板中检查与交易 ID 对应的诊断日志,然后相应地采取相应的措施。
- 检查是否在应用程序域表(Secure Private Access > 设置 > 应用程序域)中选择了正确的资源位置作为目标。
- 检查应用程序是否配置了正确的 IP 地址、端口和 FQDN(Secure Private Access > 应用程序)。
如果这些步骤都不能解决问题,请联系 Citrix 支持并提供与事务 ID 相关的错误代码并收集客户端日志。
要收集客户端调试日志,请参阅如何收集客户端日志。
在应用程序请求中收到的 IPv6
信息代码: 0x001800F5
在不支持的应用程序请求中收到的 IPv6。目前,仅支持 IPv4。
编辑应用程序以修复应用程序 IP 地址问题。
- 转到 Secure Private Access 管理门户。
- 单击应用程序选项卡。
- 搜索应用程序,然后单击“编辑”。
有关详细信息,请参阅 添加和管理应用程序。
UDP 流量未能传输
信息代码: 0x001800F9
由于客户端连接中断,UDP 流量无法传输
- 检查客户端会话是否处于活动状态。
- 注销然后重新登录。
UDP 数据流量传输失败
信息代码: 0x001800FF
- 在 Secure Private Access 服务控制面板中查找错误代码的交易 ID 并筛选与交易 ID 匹配的所有事件。
- 检查与事务 ID 匹配的其他组件中是否出现任何错误。如果在其他组件中发现问题,则采取相应的措施。
- 如果这不能解决问题,请联系 Citrix 支持部门,提供错误代码和相应的交易 ID。
由于网络连接问题,应用程序启动失败
信息代码: 0x10000401
由于 Connector Appliance 和 Secure Private Access 服务之间的网络连接问题,应用程序启动失败
- 检查 Connector Appliance 的公共 Internet 连接。
- 检查是否有任何代理或防火墙规则阻止了连接。
- 如果有任何代理导致了问题,请绕过代理,然后再次尝试启动应用程序。
- 检查 Connector Appliance 运行状况(Citrix Cloud > 资源位置)。
有关网络设置的详细信息,请参阅 Connector Appliance 的网络设置。
Connector Appliance 未能注册到 Secure Private Access 服务
信息代码: 0x10000402,0x1000040C
- 转到 Connector Appliance 管理页面并查看连接器摘要。
- 如果连接器状态不佳,则转到管理门户中的资源位置。
- 在相应的资源位置对 Connector Appliance 运行运行状况检查。
- 如果运行状况检查失败,请重新启动连接器虚拟机。
- 检查连接器摘要并再次运行运行状况检查。
有关网络设置的详细信息,请参阅 Connector Appliance 的网络设置。
连接 Connector Appliance 问题
信息代码: 0x10000403、0x10000404、0x10000407、0x1000040A、0x1000040B、0x1000040F、0x10000410
- 在交易 ID 中查找错误代码。
- 在 Secure Private Access 控制面板中筛选与交易 ID 匹配的所有事件。
- 检查与事务 ID 匹配的其他组件中是否出现任何错误(如果找到),相应的解决方法与该错误代码相匹配。
-
如果在其他组件中未发现错误,请执行以下操作:
- 请联系 Citrix 支持部门,提供此诊断报告和数据包跟踪信息以及错误代码和交易 ID。
Connector Appliance 和后端专用 TCP/UDP 服务器的连接问题
信息代码: 0x10000405、0x10000408、0x10000409、0x1000040D、0x1000040E、0x10000412
Connector Appliance 与后端专用 TCP/UDP 服务器存在连接问题。
- 检查最终用户尝试连接的后端服务器是否已启动并正在运行并且能够接收请求。
- 从公司网络内部检查后端服务器的可访问性。
- 检查代理设置,查看连接器是否被阻止访问后端服务器。
- 如果请求基于 FQDN 的应用程序,请在 DNS 服务器中检查相应应用程序的 DNS 条目。
Connector Appliance 无法解析 FQDN 的 DN
信息代码: 0x10000406
- 在 DNS 服务器中检查相应应用程序 FQDN 的 DNS 条目。
- 确保在 Connector Appliance 中配置了适当的 DNS 服务器。有关详细信息,请参阅 Connector Appliance 管理页面上的配置网络设置。
专用服务器连接已终止
信息代码: 0x10000411
与专用服务器的连接由客户端或 Secure Private Access 服务终止。
- 检查最终用户是否已关闭应用程序。
- 检查与该日志的交易 ID 相匹配的其他诊断日志,并相应地采取相应的操作。
- 再次启动应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门,提供错误代码和交易 ID。
无法连接或发送数据到私有服务 IP 或 FQDN
信息代码: 0x10000413
- 专用服务器连接已终止
- [Connector Appliance 和后端专用 TCP/UDP 服务器的连接问题] (/zh-cn/citrix-secure-private-access/service/secure-private-access-troubleshooting html#connectivity-issues-with-connector-appliance-and-backend-private-tcpudp-servers)。 查看路由域条目。确保 IP 地址有效且指向正确的后端。
没有匹配的策略条件
信息代码: 0x100508
用户上下文与分配给应用程序的策略中定义的访问规则条件不匹配。
更新策略配置以匹配用户的上下文。
没有与应用程序相关的访问策略
信息代码: 0x100509
- 在 Citrix Secure Private Access 服务 GUI 中,单击左侧导航栏中的访问策略。
- 确保访问策略与相应的应用程序相关联。
-
如果访问策略与应用程序无关,请为该应用程序创建访问策略。有关详细信息,请参阅创建访问策略。
- 如果这不能解决问题,请联系 Citrix 支持部门。
未找到 FQDN 或 IP 地址的应用程序配置
信息代码: 0x10050A
未找到与传入的 FQDN 或 IP 地址请求匹配的应用程序。因此,该应用程序被归类为未发布的应用程序。如果这不是预料之中的,请执行以下操作。
- 转到 Secure Private Access 服务管理门户。
- 点击左侧导航栏上的 应用程序 。
- 搜索应用程序,然后单击“编辑”。
-
向应用程序添加 FQDN 或 IP 地址。您可以添加确切的域、IP 地址或通配符域。
注意: 在“Secure Private Access”>“设置”>“应用程序域”中添加 FQDN 或 IP 地址并不能解决此问题。它必须作为应用程序配置的一部分进行添加。
应用程序枚举信息
信息代码: 0x10050C
此代码捕获了用户可能有权使用的多个应用程序的策略评估结果。应用程序访问可能由于以下原因而被拒绝:
- 用户上下文与分配给应用程序的策略中定义的访问规则条件不匹配-有关详细信息,请参阅不匹配策略条件。
- 没有与应用程序关联的访问策略-有关详细信息,请参阅不与应用程序关联的访问策略。
- 与应用程序关联的策略配置为拒绝访问 — 在这种情况下,无需按预期执行任何操作。
- 执行访问策略时出现意外内部错误。有关详细信息,请联系 Citrix 支持部门。
TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目
信息代码: 0x00180101
如果应用程序配置存在但路由条目丢失或之前已删除,则可能会出现此问题。
为访问的目标添加路由条目(Secure Private Access > 设置 > 应用程序域)。
TCP/UDP 应用程序启动失败,因为连接器不正常
信息代码: 0x00180102
如果所有连接器均未启动/响应新连接,则可能会出现此问题。
在相应的资源位置对 Connector Appliance 运行运行状况检查。
由于无法访问连接器,UDP/DNS 请求失败
信息代码: 0x00180103
如果 UDP/DNS 流量无法到达连接器,则可能会出现此问题。
在相应的资源位置对 Connector Appliance 运行运行状况检查。
由于 NGS cookie 已过期,无法加载页面
信息代码: 0x20580001
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
由于网络故障,访问策略提取失败
信息代码: 0x20580002
- 检查 URL 和网络连接。
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
解析 JSON 网络令牌时访问策略提取失败
信息代码:0x20580003
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
网络无法获取访问策略的详细信息
信息代码:0x20580004
- 检查访问策略是否已启用。
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
获取公共证书时策略提取失败
信息代码: 0x20580005
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
验证 JSON 网络令牌的签名时策略提取失败
信息代码: 0x20580007
- 检查网络时间和用户设备时间是否同步。
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
验证公共证书时策略提取失败
信息代码: 0x20580008
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
未能确定形成策略 URL 的存储环境
信息代码: 0x2058000A
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
未能获得访问策略提取请求的响应
信息代码: 0x2058000B
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
由于辅助 DS 身份验证令牌过期,访问策略提取失败
信息代码: 0x2058000C
- 重新启动浏览器,然后尝试再次打开应用程序。
- 如果这不能解决问题,请联系 Citrix 支持部门。
Connector Appliance 未注册
信息代码: 0x10200002
检查 Connector Appliance 的注册。
有关详细信息,请参阅向 Citrix Cloud 注册您的 Connector Appliance。
无法连接到 Connector Appliance 设备
信息代码: 0x10200003
Connector Appliance 无法在 Citrix Cloud 和资源位置之间进行通信。
检查连接器注册。
有关详细信息,请参阅向 Citrix Cloud 注册您的 Connector Appliance。
连接到 Citrix Secure Private Access 服务失败
信息代码: 0x10000301
检查 Connector Appliance 的网络设置。有关详细信息,请参阅 Connector Appliance 的网络设置。
无法访问代理服务器
信息代码: 0x10000303、0x10000304
检查代理服务器设置,并确保 Connector Appliance 可以访问代理服务器设置。有关详细信息,请参阅向 Citrix Cloud 注册您的 Connector Appliance。
代理服务器身份验证失败
信息代码: 0x10000305
检查代理服务器凭据,并确保在 Connector Appliance 中正确配置了这些凭据。有关详细信息,请参阅注册您的 Connector Appliance 之后。
无法访问已配置的代理服务器
信息代码: 0x10000306
检查 Connector Appliance 网络设置、防火墙设置或代理服务器设置。有关详细信息,请参阅以下主题:
收到来自后端服务器的错误响应
信息代码: 0x10000307
如果不是预期的代码,请检查后端 Web 服务器的 HTTP 状态码。
无法向目标 URL 发送请求
信息代码: 0x10000005
检查目标 URL 或检查 Connector Appliance 的网络设置。有关详细信息,请参阅 Connector Appliance 的网络设置。
无法处理 SSO
信息代码: 0x10000107
无法从 Citrix Cloud 检索应用程序配置数据。
检查 Connector Appliance 网络设置,确保已配置 NTP 服务器且没有时差问题。有关详细信息,请参阅 Connector Appliance 的网络设置。
连接到 Citrix Secure Private Access 服务失败
信息代码: 0x10000108、0x1000010B
检查 Connector Appliance 的网络设置。有关详细信息,请参阅 Connector Appliance 的网络设置。
无法处理 SSO,无法确定 SSO 设置
信息代码: 0x1000010A
检查 SSO 配置,确保 Connector Appliance 可以访问服务器。
FormFill SSO 失败,表单应用程序配置不正确
信息代码: 0x10000101、0x10000102、0x10000103、0x10000104
检查 SSO 表单应用程序配置,并确保在应用程序设置中正确配置了用户名、密码、操作和登录 URL 字段。
Kerberos SSO 失败
信息代码: 0x10000202
检查后端服务器和域控制器上的 Kerberos SSO 设置。还要检查备用 NTLM 身份验证设置。
有关 Kerberos SSO 设置,请参阅验证您的 Kerberos 配置。
无法处理身份验证类型的 SSO
信息代码: 0x10000203
检查 Secure Private Access 服务和后端服务器中的 SSO 设置。有关 Secure Private Access 服务,请参阅设置首选登录方法。
Kerberos SSO 失败但回退到 NTLM
信息代码: 0x10000204
从域控制器检索 Kerberos 票证失败。作为辅助身份验证,Connector Appliance 已尝试使用备用 NTLM 身份验证。
要成功启用 Kerberos 身份验证,请检查后端服务器和域控制器上的 Kerberos SSO 设置。
有关详细信息,请参阅验证您的 Kerberos 配置。
如何收集客户端日志
-
Windows 客户端:
- 打开应用程序并确保已启用日志记录。
- 现在连接到 Secure Private Access 服务并重复您面临的问题。
- 在应用程序中,转到“日志”,然后单击“收集日志文件”。这将生成日志文件。
- 将日志文件保存在客户端计算机的桌面上。
-
Mac 客户端:
- 打开应用程序并转到日志 > 详细。
- 清除日志并继续重现问题。
- 返回 日志 > 导出日志。这将创建一个包含日志文件的 zip 文件。
常见问题解答
什么是 Secure Private Access 诊断日志
Secure Private Access 诊断日志捕获用户访问任何应用程序(Web/SaaS/TCP/UDP)时发生的所有事件。这些日志捕获Device Posture、应用程序身份验证、应用程序枚举和应用程序访问日志。
在哪里可以找到 Secure Private Access 日志
- 登录 Citrix Cloud。
- 在“Secure Private Access 服务”图块上,单击管理。
- 在管理员用户界面左侧导航栏中单击“控制面板”。
- 在“诊断日志”图表中,单击“查看更多”链接。
我可以在 Secure Private Access 诊断日志中找到哪些详细信息
默认情况下,Secure Private Access 用户日志控制板提供以下详细信息。
- 时间戳 -以 UTC 为单位的事件时间。
- 用户名 -访问应用程序的最终用户的用户名。
- 应用程序名称 -访问的应用程序/应用程序的名称。
- 策略信息 -显示事件期间触发的一个或多个访问策略的名称。
- 状态 -显示事件、成功或失败的状态。
- 信息代码 - 查看有关信息代码的更多信息。
- 描述 -显示失败的原因或有关该事件的更多详细信息。
- 应用程序 FQDN:访问的应用程序的 FQDN
- 事件类型 - 显示与所执行操作相关的事件类型。
- 操作类型 -显示生成日志的操作。
- 类别 -根据事件的类型,有三个类别可用。即应用程序身份验证、应用程序枚举或应用程序访问权限。这些选项也可用作筛选选项。您可以使用这些选项根据所面临问题的类型筛选日志。
- 交易 ID - 了解如何使用交易 ID 单击控制面板最右侧的 + 按钮可以获取以下详细信息:
- SPA PoP 位置 - 显示应用程序访问期间使用的 Secure Private Access 服务 PoP 位置的名称/ID。请参阅 Secure Private Access PoP 位置
Secure Private Access 诊断日志中捕获了哪些事件
Secure Private Access 诊断日志会捕获以下事件:
- Device Posture: 最终用户Device Posture。这些日志捕获有关Device Posture结果的信息。根据您的设备状态策略,设备是否被视为合规、不合规或被拒绝访问。
- 登录/注销: 有关最终用户登录 Citrix Secure Access 客户端或注销状态以及工作区(内部或外部提供商)身份验证的事件。
- 应用程序枚举:在 Secure Private Access 服务中,管理员配置的访问策略决定哪个用户可以访问哪个应用程序。在 Citrix Workspace 应用程序中,最终用户不可见(未枚举)被拒绝的应用程序。这些事件可帮助您了解根据在 Secure Private Access 服务中配置的访问策略允许或拒绝用户访问哪些应用程序。
- 应用程序访问:根据所选时间间隔内配置的访问策略,最终用户应用程序/端点访问、允许/拒绝状态、单点登录状态和连接状态的事件。
如何使用 Secure Private Access 故障排除主题来解决我遇到的故障
什么是信息代码?我在哪里找到他们
某些日志事件(例如故障)有相关的信息代码。在错误查找表中搜索此信息代码以查找解决步骤或有关该事件的更多信息。
什么是交易 ID?我该如何使用它
交易 ID 关联访问请求的所有 Secure Private Access 日志。一个应用程序访问请求可以生成多个日志,首先是身份验证,然后是工作区应用程序中的应用程序枚举,然后是应用程序访问本身。所有这些事件都会生成自己的日志。事务 ID 用于关联所有这些日志。您可以使用事务 ID 筛选诊断日志,以查找与特定应用程序访问请求相关的所有日志。
Secure Private Access 的所有 PoP 地点在哪里
以下是“Secure Private Access PoP”位置列表。
| PoP 名称 | 区域 | 地理区域 |
|---|---|---|
| az-us-e | Azure east | 弗吉尼亚州 |
| az-us-w | Azure 西部 | 加利福尼亚 |
| az-us-sc | Azure 中南部 | 德克萨斯州 |
| az-aus-e | Azure 澳大利亚东部 | 新南威尔士州 |
| az-eu-n | Azure 北欧 | 爱尔兰 |
| az-eu-w | Azure 的西欧 | 荷兰 |
| az-jp-e | Azure 日本东部 | 东京、埼玉 |
| az-bz-s | Azure 巴西南部 | 圣保罗州 |
| az-asia-se | Azure 东南亚 | 新加坡 |
| az-uae-n | Azure 阿联酋北部 | 迪拜 |
| az-in-s | Azure 印度南部 | 钦奈 |
| az-asia-hk | Azure 东亚 | 中国香港特别行政区 |
如果我无法使用信息代码和错误查找表来解决我的故障,该怎么办
请联系 Citrix 支持部门。
引用
- 添加 Web 应用程序
- 添加 SaaS 应用程序
- 配置客户端-服务器应用程序
- 创建访问策略
- 路由表
在本文中
- 常见问题解答
- 信息代码查询表
-
解决步骤
- 一个或多个应用程序未在用户控制面板中列出
- 用户无权访问 Web/SaaS 应用程序
- 后端应用程序性能缓慢
- 应用程序启动失败,因为已超出应用程序 FQDN 长度
- 已超出应用程序详情长度
- 应用程序访问被拒绝
- 未列举应用程序
- 连接 Connector Appliance 时出现问题
- 单点登录错误
- 由于身份验证服务已关闭,应用程序启动失败
- SAML SSO 失败
- 应用程序 FQDN 无效
- Secure Browser 服务 - DNS 查找/连接失败
- CWA Web-Web 应用程序的 DNS 查找/连接错误
- 直接访问-错误配置为 Web 应用程序
- 用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序
- 增强的安全策略 - Secure Browser 服务配置错误
- 增强的安全策略-策略配置错误
- 获取应用程序配置时 Citrix Secure Access 代理会话启动失败
- TCP/UDP 应用程序-格式错误的客户端请求
- TCP/UDP 应用程序 - Secure Browser 服务重定向配置错误
- 在策略评估期间,Citrix Secure Access 代理应用程序启动失败
- 由于不支持 IPv6,Citrix Secure Access 代理应用程序启动失败
- 由于 IP 地址无效,Citrix Secure Access 代理应用程序启动失败
- Citrix Secure Access 客户端存在网络连接可访问性问题
- 代理服务器干扰客户端与服务的连接
- 观察到不可信的服务器证书问题
- 观察到服务器证书无效问题
- 登录失败,因为用户的配置为空
- 连接被网络和/或最终用户终止
- 由于会话已过期,配置下载失败
- Citrix Secure Access 客户端登录失败
- 由于会话已过期,控制通道建立失败
- 控制信道建立失败
- 控制信道建立失败
- 由于网络问题,控制信道建立失败
- 由于 IIP 不足,控制信道建立失败
- 会话终止时无法注销
- 会话被强制终止
- 由于会话已过期,应用程序启动失败
- 由于许可证问题,应用程序启动失败
- 由于服务拒绝访问,应用程序启动失败
- 应用程序启动失败,因为客户端无法访问服务
- 由于策略评估和配置验证失败,应用程序启动失败
- 由于应用程序域表中的问题,应用程序启动失败
- 客户关闭了与 Secure Private Access 服务的连接
- 无法通过 DNS 服务器解析 FQDN
- 找不到应用程序
- 未能获取已配置的应用程序目标列表
- 应用程序配置问题
- 资源位置问题
- 增强的安全策略绑定到 HTTP 应用程序
- 主机名长度超过 256 个字符
- IP 地址无效
- 无法建立端到端连接
- 在应用程序请求中收到的 IPv6
- UDP 流量未能传输
- UDP 数据流量传输失败
- 由于网络连接问题,应用程序启动失败
- Connector Appliance 未能注册到 Secure Private Access 服务
- 连接 Connector Appliance 问题
- Connector Appliance 和后端专用 TCP/UDP 服务器的连接问题
- Connector Appliance 无法解析 FQDN 的 DN
- 专用服务器连接已终止
- 无法连接或发送数据到私有服务 IP 或 FQDN
- 没有匹配的策略条件
- 没有与应用程序相关的访问策略
- 未找到 FQDN 或 IP 地址的应用程序配置
- 应用程序枚举信息
- TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目
- TCP/UDP 应用程序启动失败,因为连接器不正常
- 由于无法访问连接器,UDP/DNS 请求失败
- 由于 NGS cookie 已过期,无法加载页面
- 由于网络故障,访问策略提取失败
- 解析 JSON 网络令牌时访问策略提取失败
- 网络无法获取访问策略的详细信息
- 获取公共证书时策略提取失败
- 验证 JSON 网络令牌的签名时策略提取失败
- 验证公共证书时策略提取失败
- 未能确定形成策略 URL 的存储环境
- 未能获得访问策略提取请求的响应
- 由于辅助 DS 身份验证令牌过期,访问策略提取失败
- Connector Appliance 未注册
- 无法连接到 Connector Appliance 设备
- 连接到 Citrix Secure Private Access 服务失败
- 无法访问代理服务器
- 代理服务器身份验证失败
- 无法访问已配置的代理服务器
- 收到来自后端服务器的错误响应
- 无法向目标 URL 发送请求
- 无法处理 SSO
- 连接到 Citrix Secure Private Access 服务失败
- 无法处理 SSO,无法确定 SSO 设置
- FormFill SSO 失败,表单应用程序配置不正确
- Kerberos SSO 失败
- 无法处理身份验证类型的 SSO
- Kerberos SSO 失败但回退到 NTLM
- 如何收集客户端日志
- 常见问题解答
- 引用