Grundlegende Problembehandlung
In diesem Thema sind einige der Fehler aufgeführt, auf die Sie während oder nach der Einrichtung von Secure Private Access stoßen könnten.
Fehler bei der Datenbankerstellung
Ausfall des öffentlichen Gateways/Callback-Gateways
Secure Private Access Server ist nicht erreichbar
Fehler im Zertifikat
Fehlermeldung: Die Zertifikate konnten nicht automatisch von einem oder mehreren Gatewayservern abgerufen werden.
Diese Fehlermeldung wird angezeigt, wenn Sie versuchen, eine öffentliche NetScaler Gateway-Adresse hinzuzufügen, und beim Abrufen des Zertifikats ein Problem auftritt. Dieses Problem kann auftreten, wenn Secure Private Access eingerichtet oder die Einstellungen nach Abschluss der Einrichtung aktualisiert werden.
** Problemumgehung : Aktualisieren Sie das Gateway-Zertifikat auf dieselbe Weise wie für Citrix Virtual Apps and Desktops.
Fehler bei der Datenbankerstellung
-
Fehlermeldung: Datenbank konnte nicht erstellt werden
Lösung: Für den automatischen Fall — Die Maschine muss über READ-, WRITE- und UPDATE-Berechtigungen verfügen, um Tabellen in der Datenbank auf dem SQL-Server zu erstellen.
-
Fehlermeldung: Datenbank konnte nicht erstellt werden: Eine Datenbank ist bereits vorhanden.
Diese Fehlermeldung kann in einem der folgenden Szenarien auftreten.
- Wenn bei der Konfiguration der Datenbanken die Option Automatische Konfiguration ausgewählt ist.
-
Wenn der Administrator eine Datenbank erstellt, muss es sich um eine leere Datenbank handeln. Diese Fehlermeldung kann erscheinen, wenn es sich bei der Datenbank um eine nicht leere Datenbank handelt.
Lösung: Sie müssen eine leere Datenbank erstellen.
-
Sie deinstallieren Secure Private Access und wiederholen das Setup mit demselben Site-Namen. In diesem Fall wäre die Datenbank aus der vorherigen Installation nicht gelöscht worden.
Lösung: Sie müssen die Datenbank manuell löschen.
-
Sie entscheiden, die Datenbank mithilfe des Skripts manuell einzurichten (indem Sie auf der Seite “Datenbanken konfigurieren” die Option Manuelle Konfiguration auswählen) und wechseln dann zur Option Automatische Konfiguration, verwenden jedoch denselben Site-Namen. In diesem Fall wird beim Ausführen des Skripts bereits eine Datenbank mit demselben Namen erstellt.
Lösung: Sie müssen die Site umbenennen und dann das Skript erneut ausführen.
-
Die Maschine verfügt nicht über die READ-, WRITE- und UPDATE-Berechtigungen, um Tabellen in der Datenbank auf dem SQL-Server zu erstellen.
Lösung: Aktivieren Sie die entsprechenden Berechtigungen auf dem Computer. Einzelheiten finden Sie unter Zum Einrichten von Datenbanken erforderliche Berechtigungen.
-
Fehlermeldung: Datenbank konnte nicht erstellt werden: Verbindung fehlgeschlagen
Auflösung:
- Überprüfen Sie die Datenbank-Netzwerkkonnektivität von Ihrem Computer aus. Stellen Sie sicher, dass der SQL-Server-Port an der Firewall geöffnet ist.
- Wenn Sie einen Remote-SQL-Server verwenden, überprüfen Sie, ob für den SQL-Server eine Anmeldung mit der Secure Private Access-Maschinenidentität Domain\hostname$ erstellt wurde.
- Wenn Sie einen Remote-SQL-Server verwenden, stellen Sie sicher, dass der Computeridentität die richtige Rolle zugewiesen wurde, die Systemadministratorrolle.
- Wenn Sie einen lokalen SQL-Server verwenden (nicht vom Installationsprogramm), überprüfen Sie, ob für den Benutzer NT AUTHORITY\ SYSTEM ein Login erstellt werden muss.
StoreFront-Fehler
-
Fehlermeldung: StoreFront-Eintrag konnte nicht erstellt werden für:
<Store URL>
Aktualisieren Sie die StoreFront-Einträge auf der Registerkarte Einstellungen, falls sie nicht sichtbar sind. Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie StoreFront-Einträge auf der Registerkarte Einstellungen bearbeiten. Notieren Sie sich die StoreFront-Store-URL, für die dieser Fehler aufgetreten ist.
Auflösung:
- Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
- Fügen Sie unter StoreFront Store-URL den StoreFront-Eintrag hinzu, falls er nicht sichtbar ist.
-
Fehlermeldung: StoreFront-Eintrag konnte nicht konfiguriert werden für:
<Store URL>
Auflösung:
-
Möglicherweise besteht eine Einschränkung der PowerShell-Ausführungsrichtlinie. Führen Sie den PowerShell-Skriptbefehl aus,
Get-ExecutionPolicy
um weitere Informationen zu erhalten. - Wenn es eingeschränkt ist, müssen Sie dies Bypass und ein StoreFront-Konfigurationsskript manuell ausführen.
- Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
- Identifizieren Sie unter StoreFront Store URLden StoreFront-URL-Eintrag, für den der Fehler aufgetreten ist.
- Klicken Sie neben dieser Store-URL auf die Schaltfläche Skript herunterladen und führen Sie dieses PowerShell-Skript mit Administratorrechten auf dem Computer aus, auf dem die entsprechende StoreFront-Installation vorhanden ist. Dieses Skript muss auf allen StoreFront-Maschinen ausgeführt werden.
Hinweis:
Wenn Sie die Installation nach der Deinstallation erneut versuchen, stellen Sie sicher, dass Sie in der StoreFront-Konfiguration keinen Eintrag mit dem Namen “Secure Private Access” haben (StoreFront > store > Delivery Controller -> Secure Private Access). Wenn Secure Private Access vorhanden ist, löschen Sie diesen Eintrag. Laden Sie das Skript manuell von der Seite Einstellungen > Integrationen herunter und führen Sie es aus.
-
-
Fehlermeldung: Die StoreFront-Konfiguration ist nicht lokal für:
<Store URL>
Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie die Gateway-Einträge auf der Registerkarte Einstellungen bearbeiten. Notieren Sie sich die StoreFront-Store-URL, für die dieser Fehler aufgetreten ist.
Auflösung:
Dieses Problem tritt auf, wenn StoreFront nicht auf derselben Maschine wie Secure Private Access installiert ist. Sie müssen die StoreFront-Konfiguration manuell auf der Maschine ausführen, auf der Sie StoreFront installiert haben.
- Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
- Identifizieren Sie unter StoreFront Store URLden StoreFront-URL-Eintrag, für den der Fehler aufgetreten ist.
- Klicken Sie neben dieser Store-URL auf die Schaltfläche Skript herunterladen und führen Sie dieses PowerShell-Skript mit Administratorrechten auf dem Computer aus, auf dem die entsprechende StoreFront-Installation vorhanden ist. Dieses Skript muss auf allen StoreFront-Maschinen ausgeführt werden.
Hinweis:
Um das StoreFront PowerShell-Skript auszuführen, öffnen Sie das Windows x64-kompatible PowerShell-Fenster mit Administratorrechten und führen Sie dann ConfigureStoreFront.ps1 aus. Das StoreFront-Skript ist nicht mit Windows PowerShell (x86) kompatibel.
-
Fehlermeldung: “Get-STFStoreService : Exception of type ‘Citrix.DeliveryServices.Framework.Feature.Exceptions.RegistryKeyNotFoundException’ was thrown.” beim Ausführen des StoreFront-Skripts mit PowerShell.
Dieser Fehler tritt auf, wenn das StoreFront-Skript in einem x86-kompatiblen PowerShell-Fenster ausgeführt wird.
Auflösung:
Um das StoreFront PowerShell-Skript auszuführen, öffnen Sie das Windows x64-kompatible PowerShell-Fenster mit Administratorrechten und führen Sie dann
ConfigureStorefront.ps1
aus.
Ausfall des öffentlichen Gateways/Callback-Gateways
Fehlermeldung: Gateway-Eintrag konnte nicht erstellt werden für: <Gateway URL>
ODER Callback-Gateway-Eintrag konnte nicht erstellt werden für: <Callback Gateway URL>
Auflösung:
Notieren Sie sich die öffentliche Gateway- oder Callback-Gateway-URL, für die der Fehler aufgetreten ist. Nachdem Sie Secure Private Access mithilfe des Assistenten eingerichtet haben, können Sie die Gateway-Einträge auf der Registerkarte Einstellungen bearbeiten.
- Klicken Sie auf Einstellungen und dann auf den Tab Integrationen.
- Aktualisieren Sie die öffentliche Gateway-Adresse oder die Callback-Gateway-Adresse und die virtuelle IP-Adresse, für die der Fehler aufgetreten ist.
Secure Private Access Server ist nicht erreichbar
Fehlermeldung: Der IIS-Pool konnte nicht aktualisiert werden. IIS-Pool konnte nicht neu gestartet werden
Auflösung:
Gehen Sie in den Internetinformationsdiensten (IIS) zu Anwendungspools und überprüfen Sie, ob die folgenden Anwendungspools gestartet wurden und ausgeführt werden:
- Sicherer privater Zugriffs-Laufzeitpool
- Administratorpool für sicheren privaten Zugriff
Stellen Sie außerdem sicher, dass die Standard-IIS-Website "Default Web Site"
aktiv ist.
Fehler bei der Überprüfung der Datenbankkonnektivität
Fehlermeldung: Konnektivitätsprüfung fehlgeschlagen
Die Überprüfung der Datenbankkonnektivität kann aus mehreren Gründen fehlschlagen:
-
Der Datenbankserver ist aufgrund einer Firewall nicht vom Hostcomputer des Secure Private Access-Plug-Ins aus erreichbar.
Lösung: Überprüfen Sie, ob der Datenbankport (Standardport 1433) auf der Firewall geöffnet ist.
-
Der Hostcomputer des Secure Private Access Plug-Ins ist nicht berechtigt, eine Verbindung zur Datenbank herzustellen.
Lösung: Siehe SQL-Datenbankberechtigungen für Secure Private Access.
Die Gateway-Konnektivitätsprüfung ist fehlgeschlagen. Das öffentliche Zertifikat kann nicht abgerufen werden
Fehlermeldung: Die Konfiguration nach der Installation schlägt fehl mit der Meldung “Gateway-Konnektivitätsprüfung fehlgeschlagen. Ein öffentliches Zertifikat kann nicht abgerufen werden…”
Auflösung:
- Laden Sie das öffentliche Gateway-Zertifikat mithilfe des Konfigurationstools manuell in die Secure Private Access-Datenbank hoch.
- Öffnen Sie die PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
- Ändern Sie das Verzeichnis in den Ordner Admin\AdminConfigTool im Secure Private Access-Installationsordner (z. B. cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
-
Führen Sie den folgenden Befehl aus:
.\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
Fehler bei der Anwendungsaufzählung
Die Anwendungsaufzählung wird unterbrochen, wenn die StoreFront-URL oder die NetScaler Gateway-URL einen abschließenden Schrägstrich (/) enthält.
Auflösung:
Löschen Sie den abschließenden Schrägstrich in der StoreFront-Store-URL oder der NetScaler Gateway-URL. Einzelheiten finden Sie unter Aktualisieren von StoreFront- oder NetScaler Gateway-Serverdetails nach dem Setup.
Sonstiges
Die erstmalige Einrichtung kann nicht abgeschlossen werden
Sie können den Lizenzserver möglicherweise nicht neu konfigurieren, wenn die Director-Konfiguration bei der Erstinstallation fehlgeschlagen ist.
Auflösung:
Bereinigen Sie die Tabelle license_server manuell.
Supportpaket für Secure Private Access-Diagnosen erstellen
Gehen Sie wie folgt vor, um ein Secure Private Access-Diagnosesupportpaket zu erstellen:
- Öffnen Sie die PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
- Ändern Sie das Verzeichnis in den Ordner Admin\ AdminConfigTool im Secure Private Access-Installationsordner (z. B. cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”).
-
Führen Sie den folgenden Befehl aus:
.\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>
SQL-Datenbankberechtigungen für Secure Private Access
Für die automatische Datenbankerstellung muss der Hostcomputer des Secure Private Access Plug-Ins über die Berechtigungen verfügen, um eine Verbindung mit der Datenbank herzustellen und das Datenbankschema zu erstellen.
Entfernte Datenbank:
Führen Sie die folgenden Schritte aus, um die Berechtigungen für eine entfernte Datenbank einzurichten.
-
Erstellen Sie eine leere Datenbank mit der Namenssyntax
CitrixAccessSecurity<Site Name>
.<Site Name>
ist hier der Name der Secure Private Access-Site. (zum Beispiel CitrixAccessSecuritySPA).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Erstellen Sie eine SQL-Serveranmeldung für die Maschinenidentität für die virtuelle Secure Private Access-Maschine. Wenn Ihr Secure Private Access Broker-Maschinenname beispielsweise HOST1 ist und die Maschinendomäne Domäne1 ist, dann lautet die Maschinenidentität “Domäne1\HOST1$”. Wenn die Anmeldung bereits erstellt wurde, können Sie diesen Schritt ignorieren.
USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS
Der Domänenname kann mit der folgenden Abfrage gefunden werden:
SELECT DEFAULT_DOMAIN()[DomainName]
-
Weisen Sie der Maschinenidentität die Rolle db_owner zu.
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'
ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;
Lokale Datenbank:
Führen Sie die folgenden Schritte aus, um die Berechtigungen für eine lokale Datenbank einzurichten.
-
Erstellen Sie eine leere Datenbank mit der Namenssyntax
CitrixAccessSecurity<Site Name>
.<Site Name>
ist hier der Name der Secure Private Access-Site. (z. B. CitrixAccessSecuritySpa).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Erstellen Sie ein SQL-Server-Login für den Benutzer
NT AUTHORITY\SYSTEM
. Wenn die Anmeldung bereits erstellt wurde, können Sie diesen Schritt ignorieren.USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS
-
Weisen Sie dem Benutzer “NT AUTHORITY\SYSTEM” die Rolle db_owner zu.
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'
ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;
Wenn Sie die Datenbank manuell erstellen, fügt das heruntergeladene Datenbankskript der Maschinenidentität die Berechtigungen hinzu.
Protokollebene für Problembehandlungsprotokolle ändern
Problembehandlungsprotokolle sind die Standardstufe für Fehlerprotokolle.
Um die Protokollebene für die Problembehandlungsprotokolle zu ändern, aktualisieren Sie im Runtime Service appsettings.json (C:\Program Files\ Citrix\ Citrix Access Security\ Runtime\ RuntimeService) auf einen der folgenden restrictedToMinimumLevel
Werte TroubleshootingSql
:
- Information
- Debug
- Warning
- Error
"TroubleshootingSql": {
"restrictedToMinimumLevel": "Error",
"batchPostingLimit": 50,
"batchPeriod": "00:00:05" // 5 seconds
}
In diesem Artikel
- Fehler im Zertifikat
- Fehler bei der Datenbankerstellung
- StoreFront-Fehler
- Ausfall des öffentlichen Gateways/Callback-Gateways
- Secure Private Access Server ist nicht erreichbar
- Fehler bei der Überprüfung der Datenbankkonnektivität
- Die Gateway-Konnektivitätsprüfung ist fehlgeschlagen. Das öffentliche Zertifikat kann nicht abgerufen werden
- Fehler bei der Anwendungsaufzählung
- Sonstiges