Solución de errores

En este tema se enumeran algunos de los errores que pueden surgir al configurar Secure Private Access.

Errores de certificado Errores [de creación de bases de datos Errores](/es-es/citrix-secure-private-access/2308/spa-onprem-troubleshooting#database-creation-errors) de[StoreFront Errores](/es-es/citrix-secure-private-access/2308/spa-onprem-troubleshooting#storefront-failures) de puerta de enlace[pública/puerta de enlace de devolución de llamada No se puede acceder al servidor de acceso privado](/es-es/citrix-secure-private-access/2308/spa-onprem-troubleshooting#public-gateway-callback-gateway-failures) seguro

Errores certificados

Mensaje de error: no se pueden obtener los certificados automáticamente de uno o más servidores de Gateway. Solución alternativa: actualice el certificado de gateway de la misma manera que lo haría con Citrix Virtual Apps and Desktops.

Errores de creación de bases de datos

  • Mensaje de error: no se pudo crear la base de datos

    Resolución: en caso automático: la máquina debe tener permisos de LECTURA, ESCRITURA Y ACTUALIZACIÓN para crear tablas en la base de datos del servidor SQL.

  • Mensaje de error: No se pudo crear la base de datos: ya existe una base de datos.

    Este mensaje de error puede aparecer en cualquiera de los escenarios siguientes.

    • Si se selecciona la opción Configuración automática al configurar las bases de datos.
    • Si el administrador está creando una base de datos, debe ser una base de datos vacía. Este mensaje de error puede aparecer si la base de datos no está vacía.

      Solución: Debe crear una base de datos vacía.

    • Desinstala Secure Private Access y vuelve a intentar la configuración con el mismo nombre de sitio. En este caso, la base de datos de la instalación anterior no se habría eliminado.

      Resolución: debe eliminar manualmente la base de datos.

    • Elija configurar la base de datos manualmente (seleccionando Configuración manual en la página Configuración de bases de datos) mediante el script y, a continuación, cambie a la opción Configuración automática pero utilice el mismo nombre de sitio. En este caso, ya se ha creado una base de datos con el mismo nombre mientras se ejecuta el script.

      Solución: debe cambiar el nombre del sitio y, a continuación, volver a ejecutar el script.

    • La máquina no tiene los permisos de LECTURA, ESCRITURA NI ACTUALIZACIÓN para crear tablas en la base de datos del servidor SQL.

      Solución: habilite los permisos apropiados en la máquina. Para obtener más información, consulte Permisos necesarios para configurar bases de datos.

  • Mensaje de error: No se pudo crear la base de datos: no se pudo conectar

    Resolución:

    • Compruebe la conectividad de la red de la base de datos desde su máquina. Asegúrese de que el puerto de SQL Server esté abierto en el firewall.
    • Si usa un servidor SQL remoto, compruebe si el servidor SQL ha creado un inicio de sesión con la identidad de la máquina de Secure Private Access, Domain\ hostname$.
    • Si usa un servidor SQL remoto, confirme que la identidad de la máquina tenga asignada la función correcta, la función de administrador del sistema.
    • Si utiliza un servidor SQL local (no desde el instalador), compruebe si el usuario de NT AUTHORITY\ SYSTEM debe tener un inicio de sesión creado.

Fallos de StoreFront

  • Mensaje de error: No se pudo crear una entrada de StoreFront para: <Store URL>

    Actualice las entradas de StoreFront desde la ficha Configuración si no está visible. Una vez que haya configurado Secure Private Access con el asistente, puede editar las entradas de StoreFront desde la ficha Configuración . Anote la URL del almacén de StoreFront en la que se produjo este error.

    Resolución:

    1. Haga clic en Configuración y, a continuación, en la ficha Integraciones .
    2. En la URL de la tienda de StoreFront , añada la entrada de StoreFront si no está visible.
  • Mensaje de error: no se pudo configurar la entrada de StoreFront para: <Store URL>

    Resolución:

    1. Es posible que haya una restricción en la directiva de ejecución de PowerShell. Ejecute el comando de script de PowerShell Get-ExecutionPolicy para obtener más información.

    2. Si está restringido, debe omitirlo y ejecutar manualmente un script de configuración de StoreFront.
    3. Haga clic en Configuración y, a continuación, en la ficha Integraciones .
    4. En la URL del almacénde StoreFront, identifique la entrada URLde StoreFront en la que se produjo el error.
    5. Haga clic en el botón Descargar script situado junto a la URL de esta tienda y ejecute este script de PowerShell con privilegios de administrador en la máquina en la que se encuentra la instalación de StoreFront correspondiente.

    Nota:

    Si vuelve a intentar la instalación después de la desinstalación, asegúrese de no tener ninguna entrada con el nombre “Secure Private Access” en la configuración de StoreFront (StoreFront> store> Delivery Controller-> Secure Private Access). Si existe Secure Private Access, elimine esta entrada. Descargue y ejecute manualmente el script desde la página Configuración > Integraciones.

  • Mensaje de error: la configuración de StoreFront no es local para: <Store URL>

    Una vez que haya configurado Secure Private Access mediante el asistente, puede editar las entradas de la puerta de enlace desde la ficha Configuración . Anote la URL del almacén de StoreFront en la que se produjo este error.

    Resolución:

    Este problema se produce si StoreFront no está instalado en el mismo equipo que Secure Private Access. Debe ejecutar manualmente la configuración de StoreFront en la máquina en la que ha instalado StoreFront.

    1. Haga clic en Configuración y, a continuación, en la ficha Integraciones .
    2. En la URL del almacénde StoreFront, identifique la entrada URLde StoreFront en la que se produjo el error.
    3. Haga clic en el botón Descargar script situado junto a la URL de este almacén y ejecute este script de PowerShell con privilegios de administrador en la máquina en la que esté presente la instalación de StoreFront correspondiente.

    Nota:

    Para ejecutar el script de PowerShell de StoreFront, abra la ventana de PowerShell compatible con Windows x64 con privilegios de administrador y, a continuación, ejecute ConfigureStoreFront.ps1. El script de StoreFront no es compatible con Windows PowerShell (x86).

Fallos en la puerta de enlace pública/puerta de enlace de devolución de llamada

Mensaje de error: No se pudo crear la entrada de puerta de enlace para: <Gateway URL> O BIEN No se pudo crear la entrada de puerta de enlace de devolución de llamada para: <Callback Gateway URL>

Resolución:

Anote la URL de la puerta de enlace pública o de la puerta de enlace de devolución de llamada en la que se produjo el error. Una vez que haya configurado Secure Private Access mediante el asistente, puede editar las entradas de la puerta de enlace desde la ficha Configuración .

  1. Haga clic en Configuración y, a continuación, en la ficha Integraciones .
  2. Actualice la dirección de la puerta de enlace pública o la dirección de la puerta de enlace de devolución de llamada y la dirección IP virtual en la que se produjo el error.

No se puede acceder al servidor de Secure Private Access

Mensaje de error: no se pudo actualizar el grupo de IIS. No se pudo reiniciar el grupo de IIS

Resolución:

  1. Vaya a los grupos de aplicaciones de Internet Information Services (IIS) y compruebe que los siguientes grupos de aplicaciones se hayan iniciado y estén en ejecución:
  • Pool de tiempo de ejecución de acceso privado seguro
  • Grupo de administradores de acceso privado seguro

Compruebe también que el sitio predeterminado de IIS "Default Web Site" esté en funcionamiento.

Fallos en la comprobación de conectividad de bases

Mensaje de error: error en la comprobación de conectividad

La comprobación de conectividad de la base de datos puede fallar debido a varios motivos:

  • No se puede acceder al servidor de base de datos desde la máquina host del complemento Secure Private Access debido a un firewall.

    Solución: compruebe si el puerto de la base de datos (el puerto predeterminado 1433) está abierto en el firewall.

  • La máquina host del complemento Secure Private Access no tiene permiso para conectarse a la base de datos.

    Solución: consulte Permisos de bases de datos SQL para Secure Private Access.

Falló la comprobación de conectividad de la pasarela. No se puede obtener el certificado público

Mensaje de error: La configuración posterior a la instalación falla con el error “Falló la comprobación de conectividad de la puerta de enlace. No se puede obtener un certificado público…”

Solución:

  • Cargue el certificado público de la puerta de enlace a la base de datos de Secure Private Access manualmente mediante la herramienta de configuración.
  • Abra PowerShell o la ventana de línea de comandos con privilegios de administrador.
  • Cambie el directorio a la carpeta Admin\ AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ AdminConfigTool”)
  • Ejecute este comando:

    .\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

Problemas de autenticación

Es posible que la configuración de autenticación IIS del servicio de ejecución de Secure Private Access no funcione, ya que no se admite la autenticación integrada de Windows (IWA).

Otros

Cree un paquete de soporte de diagnóstico de Secure Private Access

Realice los siguientes pasos para crear un paquete de soporte de diagnóstico de Secure Private Access:

  • Abra PowerShell o la ventana de línea de comandos con privilegios de administrador.
  • Cambie el directorio a la carpeta Admin\ AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ AdminConfigTool”).
  • Ejecute este comando:

    .\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>

Permisos de bases de datos SQL para Secure Private Access

Para la creación automática de bases de datos, la máquina host del complemento Secure Private Access debe tener los permisos para conectarse a la base de datos y crear un esquema de base de datos.

Base de datos remota:

Realice los siguientes pasos para configurar los permisos de una base de datos remota.

  1. Cree una base de datos vacía con la sintaxis del nombre CitrixAccessSecurity<Site Name>. Este <Site Name> es el nombre del sitio de Secure Private Access. (por ejemplo, CitrixAccessSecuritySPA).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Cree un inicio de sesión de SQL Server para la identidad de la máquina virtual de Secure Private Access. Por ejemplo, si el nombre de la máquina intermediaria de Secure Private Access es HOST1 y el dominio de la máquina es DOMAIN1, la identidad de la máquina es “DOMAIN1\HOST1$”. Si el inicio de sesión ya está creado, puede ignorar este paso.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS

    El nombre de dominio se puede encontrar mediante la siguiente consulta:

    SELECT DEFAULT_DOMAIN()[DomainName]

  3. Asigne la función db_owner a la identidad de la máquina.

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'

    ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;

Base de datos local:

Realice los siguientes pasos para configurar los permisos de una base de datos local.

  1. Cree una base de datos vacía con la sintaxis del nombre CitrixAccessSecurity<Site Name>. Este <Site Name> es el nombre del sitio de Secure Private Access. (por ejemplo, CitrixAccessSecuritySPA).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Cree un inicio de sesión de SQL Server para el usuario NT AUTHORITY\SYSTEM. Si el inicio de sesión ya está creado, puede ignorar este paso.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS

  3. Asigne la función db_owner al usuario “NT AUTHORITY\ SYSTEM”.

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'

    ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;

Al crear manualmente la base de datos, el script de base de datos descargado agrega los permisos a la identidad de la máquina.