Solución de problemas básicos
En este tema se enumeran algunos de los errores que puede encontrar durante o después de configurar Secure Private Access.
Errores de creación de bases de datos
Fallos en la puerta de enlace pública/puerta de enlace de devolución de llamada
No se puede acceder al servidor de Secure Private Access
Errores certificados
Mensaje de error: no se pueden obtener los certificados automáticamente de uno o más servidores de puerta de enlace.
Este mensaje de error aparece cuando intenta agregar una dirección pública de NetScaler Gateway y se produce un problema al obtener el certificado. Este problema puede producirse al configurar el Secure Private Access o al actualizar la configuración una vez finalizada la configuración.
Soluciónalternativa : actualice el certificado de puerta de enlace de la misma manera que lo haría para Citrix Virtual Apps and Desktops.
Errores de creación de bases de datos
-
Mensaje de error: no se pudo crear la base de datos
Solución: en caso automático: la máquina debe tener permisos de LECTURA, ESCRITURA Y ACTUALIZACIÓN para crear tablas en la base de datos del servidor SQL.
-
Mensaje de error: No se pudo crear la base de datos: ya existe una base de datos.
Este mensaje de error puede aparecer en cualquiera de los siguientes escenarios.
- Si se selecciona la opción Configuración automática al configurar las bases de datos.
-
Si el administrador está creando una base de datos, debe ser una base de datos vacía. Este mensaje de error puede aparecer si la base de datos no está vacía.
Solución: Debe crear una base de datos vacía.
-
Desinstale Secure Private Access y vuelva a intentar la configuración con el mismo nombre de sitio. En este caso, la base de datos de la instalación anterior no se habría eliminado.
Solución: debe eliminar manualmente la base de datos.
-
Elija configurar la base de datos manualmente (seleccionando Configuración manual en la página Configuración de bases de datos) mediante el script y después cambie a la opción Configuración automática pero utilice el mismo nombre de sitio. En este caso, ya se ha creado una base de datos con el mismo nombre mientras se ejecuta el script.
Solución: debe cambiar el nombre del sitio y después volver a ejecutar el script.
-
La máquina no tiene los permisos de LECTURA, ESCRITURA NI ACTUALIZACIÓN para crear tablas en la base de datos del servidor SQL.
Solución: habilite los permisos apropiados en la máquina. Para obtener más información, consulte Permisos necesarios para configurar bases de datos.
-
Mensaje de error: No se pudo crear la base de datos: no se pudo conectar
Solución:
- Compruebe la conectividad de la red de la base de datos desde su máquina. Asegúrese de que el puerto de SQL Server esté abierto en el firewall.
- Si usa un servidor SQL remoto, compruebe si el servidor SQL ha creado un inicio de sesión con la identidad de la máquina de Secure Private Access, Domain\hostname$.
- Si usa un servidor SQL remoto, confirme que la identidad de la máquina tenga asignada la función correcta, la función de administrador del sistema.
- Si utiliza un servidor SQL local (no desde el instalador), compruebe si el usuario de NT AUTHORITY\SYSTEM debe tener un inicio de sesión creado.
Fallos de StoreFront
-
Mensaje de error: No se pudo crear una entrada de StoreFront para:
<Store URL>
Actualice las entradas de StoreFront desde la ficha Parámetros si no está visible. Una vez que haya configurado Secure Private Access con el asistente, puede editar las entradas de StoreFront desde la ficha Parámetros. Anote la URL del almacén de StoreFront en la que se produjo este error.
Solución:
- Haga clic en Parámetros y después en la ficha Integraciones.
- En la URL del almacén de StoreFront, añada la entrada de StoreFront si no está visible.
-
Mensaje de error: no se pudo configurar la entrada de StoreFront para:
<Store URL>
Solución:
-
Es posible que haya una restricción en la directiva de ejecución de PowerShell. Ejecute el comando de script de PowerShell
Get-ExecutionPolicy
para obtener más información. - Si está restringido, debe omitirlo y ejecutar manualmente un script de configuración de StoreFront.
- Haga clic en Parámetros y después en la ficha Integraciones.
- En la URL del almacénde StoreFront, identifique la entrada URLde StoreFront en la que se produjo el error.
- Haga clic en el botón Descargar script situado junto a la URL de este almacén y ejecute este script de PowerShell con privilegios de administrador en la máquina en la que se encuentra la instalación de StoreFront correspondiente. Este script debe ejecutarse en todas las máquinas StoreFront.
Nota:
Si vuelve a intentar la instalación después de la desinstalación, asegúrese de no tener ninguna entrada con el nombre “Secure Private Access” en la configuración de StoreFront (StoreFront> store> Delivery Controller-> Secure Private Access). Si existe Secure Private Access, elimine esta entrada. Descargue y ejecute manualmente el script desde la página Parámetros > Integraciones.
-
-
Mensaje de error: la configuración de StoreFront no es local para:
<Store URL>
Una vez que haya configurado Secure Private Access mediante el asistente, puede editar las entradas de la puerta de enlace desde la ficha Parámetros. Anote la URL del almacén de StoreFront en la que se produjo este error.
Solución:
Este problema se produce si StoreFront no está instalado en el mismo equipo que Secure Private Access. Debe ejecutar manualmente la configuración de StoreFront en la máquina en la que ha instalado StoreFront.
- Haga clic en Parámetros y después en la ficha Integraciones.
- En la URL del almacénde StoreFront, identifique la entrada URLde StoreFront en la que se produjo el error.
- Haga clic en el botón Descargar script situado junto a la URL de este almacén y ejecute este script de PowerShell con privilegios de administrador en la máquina en la que se encuentra la instalación de StoreFront correspondiente. Este script debe ejecutarse en todas las máquinas StoreFront.
Nota:
Para ejecutar el script de PowerShell de StoreFront, abra la ventana de PowerShell compatible con Windows x64 con privilegios de administrador y después ejecute ConfigureStoreFront.ps1. El script de StoreFront no es compatible con Windows PowerShell (x86).
-
Mensaje de error: “Get-STFStoreService: Se produjo una excepción del tipo ‘Citrix.DeliveryServices.Framework.Feature.Exceptions.RegistryKeyNotFoundException’. “mientras se ejecuta el script de StoreFront con PowerShell.
Este error se produce cuando el script de StoreFront se ejecuta en una ventana de PowerShell compatible con x86.
Solución:
Para ejecutar el script PowerShell de StoreFront, abra la ventana de PowerShell compatible con Windows x64 con privilegios de administrador y después ejecute
ConfigureStorefront.ps1
.
Fallos en la puerta de enlace pública/puerta de enlace de devolución de llamada
Mensaje de error: No se pudo crear la entrada de puerta de enlace para: <Gateway URL>
O BIEN No se pudo crear la entrada de puerta de enlace de devolución de llamada para: <Callback Gateway URL>
Solución:
Anote la URL de la puerta de enlace pública o de la puerta de enlace de devolución de llamada en la que se produjo el error. Una vez que haya configurado Secure Private Access mediante el asistente, puede editar las entradas de la puerta de enlace desde la ficha Parámetros.
- Haga clic en Parámetros y después en la ficha Integraciones.
- Actualice la dirección de la puerta de enlace pública o la dirección de la puerta de enlace de devolución de llamada y la dirección IP virtual en la que se produjo el error.
No se puede acceder al servidor de Secure Private Access
Mensaje de error: no se pudo actualizar el grupo de IIS. No se pudo reiniciar el grupo de IIS
Solución:
Vaya a los grupos de aplicaciones de Internet Information Services (IIS) y compruebe que los siguientes grupos de aplicaciones se hayan iniciado y estén en ejecución:
- Pool de tiempo de ejecución de Secure Private Access
- Grupo de administradores de Secure Private Access
Compruebe también que el sitio predeterminado de IIS "Default Web Site"
esté en funcionamiento.
Fallos en la comprobación de conectividad de bases
Mensaje de error: error en la comprobación de conectividad
La comprobación de conectividad de la base de datos puede fallar debido a varios motivos:
-
No se puede acceder al servidor de base de datos desde la máquina host del plug-in Secure Private Access debido a un firewall.
Solución: compruebe si el puerto de la base de datos (el puerto predeterminado 1433) está abierto en el firewall.
-
La máquina host del plug-in Secure Private Access no tiene permiso para conectarse a la base de datos.
Solución: consulte Permisos de bases de datos SQL para Secure Private Access.
Falló la comprobación de conectividad de la pasarela. No se puede obtener el certificado público
Mensaje de error: La configuración posterior a la instalación falla con el error “Falló la comprobación de conectividad de la puerta de enlace. No se puede obtener un certificado público…”
Solución:
- Cargue el certificado público de la puerta de enlace a la base de datos de Secure Private Access manualmente mediante la herramienta de configuración.
- Abra PowerShell o la ventana de línea de comandos con privilegios de administrador.
- Cambie el directorio a la carpeta Admin\AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
-
Ejecute este comando:
.\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
Fallo en la enumeración de la aplicación
La enumeración de aplicaciones se interrumpe si la URL de StoreFront o la URL de NetScaler Gateway contienen una barra diagonal final (/).
Solución:
Elimine la barra diagonal final de la URL del almacén de StoreFront o de la URL de NetScaler Gateway. Para obtener más información, consulte Actualizar los detalles del servidor StoreFront o NetScaler Gateway después de la configuración.
Otros
No se puede completar la configuración inicial
Es posible que no pueda volver a configurar el servidor de licencias si la configuración de Director falló durante la configuración por primera vez.
Solución:
Limpia manualmente la tabla license_server.
Cree un paquete de soporte de diagnóstico de Secure Private Access
Realice los siguientes pasos para crear un paquete de soporte de diagnóstico de Secure Private Access:
- Abra PowerShell o la ventana de línea de comandos con privilegios de administrador.
- Cambie el directorio a la carpeta Admin\AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”).
-
Ejecute este comando:
.\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>
Permisos de bases de datos SQL para Secure Private Access
Para la creación automática de bases de datos, la máquina host del plug-in Secure Private Access debe tener los permisos para conectarse a la base de datos y crear el esquema de la base de datos.
Base de datos remota:
Realice los siguientes pasos para configurar los permisos de una base de datos remota.
-
Cree una base de datos vacía con la sintaxis del nombre
CitrixAccessSecurity<Site Name>
. Este<Site Name>
es el nombre del sitio de Secure Private Access. (por ejemplo, CitrixAccessSecuritySPA).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Cree un inicio de sesión de SQL Server para la identidad de la máquina virtual de Secure Private Access. Por ejemplo, si el nombre de la máquina intermediaria de Secure Private Access es HOST1 y el dominio de la máquina es DOMAIN1, la identidad de la máquina es “DOMAIN1\HOST1$”. Si el inicio de sesión ya está creado, puede ignorar este paso.
USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS
El nombre de dominio se puede encontrar mediante la siguiente consulta:
SELECT DEFAULT_DOMAIN()[DomainName]
-
Asigne la función db_owner a la identidad de la máquina.
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'
ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;
Base de datos local:
Realice los siguientes pasos para configurar los permisos de una base de datos local.
-
Cree una base de datos vacía con la sintaxis del nombre
CitrixAccessSecurity<Site Name>
. Este<Site Name>
es el nombre del sitio de Secure Private Access. (por ejemplo, CitrixAccessSecuritySPA).CREATE DATABASE CitrixAccessSecurity<SiteName>
-
Cree un inicio de sesión de SQL Server para el usuario
NT AUTHORITY\SYSTEM
. Si el inicio de sesión ya está creado, puede ignorar este paso.USE CitrixAccessSecurity<SiteName>
CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS
-
Asigne la función db_owner al usuario “NT AUTHORITY\SYSTEM”.
USE CitrixAccessSecurity<SiteName>
EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'
ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;
Al crear manualmente la base de datos, el script de base de datos descargado agrega los permisos a la identidad de la máquina.
Cambiar el nivel de registro para los registros de solución de problemas
Los registros de solución de problemas son el nivel de registro de errores predeterminado.
Para cambiar el nivel de registro de los registros de solución de problemas, en el servicio de tiempo de ejecución appsettings.json (C:\Program Files\Citrix\Citrix Access Security\Runtime\RuntimeService) actualice restrictedToMinimumLevel
para TroubleshootingSql
a uno de los valores siguientes:
- Information
- Debug
- Warning
- Error
"TroubleshootingSql": {
"restrictedToMinimumLevel": "Error",
"batchPostingLimit": 50,
"batchPeriod": "00:00:05" // 5 seconds
}
En este artículo
- Errores certificados
- Errores de creación de bases de datos
- Fallos de StoreFront
- Fallos en la puerta de enlace pública/puerta de enlace de devolución de llamada
- No se puede acceder al servidor de Secure Private Access
- Fallos en la comprobación de conectividad de bases
- Falló la comprobación de conectividad de la pasarela. No se puede obtener el certificado público
- Fallo en la enumeración de la aplicación
- Otros