Citrix Secure Private Access

Dépannage de base

Cette rubrique répertorie certaines des erreurs que vous pourriez rencontrer pendant ou après la configuration de Secure Private Access.

Erreurs de certificat

Erreurs de création de base de données

Défaillances de StoreFront

Défaillances de la passerelle publique/de la passerelle de rappel

Le serveur Secure Private Access n’est pas accessible

Erreurs de certificat

Message d’erreur: Impossible d’obtenir les certificats automatiquement à partir d’un ou de plusieurs serveurs de passerelle.

Ce message d’erreur s’affiche lorsque vous essayez d’ajouter une adresse NetScaler Gateway publique et qu’un problème survient lors de la récupération du certificat. Ce problème peut survenir lors de la configuration de l’accès privé sécurisé ou de la mise à jour des paramètres une fois la configuration terminée.

Solution: mettez à jour le certificat de passerelle de la même manière que vous le feriez pour Citrix Virtual Apps and Desktops.

Erreurs de création de base de données

  • Message d’erreur : Impossible de créer la base de données

    Résolution : pour le cas automatique : la machine doit disposer des autorisations READ, WRITE et UPDATE pour créer des tables dans la base de données du serveur SQL.

  • Message d’erreur : Impossible de créer la base de données : une base de données existe déjà.

    Ce message d’erreur peut apparaître dans l’un des scénarios suivants.

    • Si l’option Configuration automatique est sélectionnée lors de la configuration des bases de données.
    • Si l’administrateur crée une base de données, celle-ci doit être vide. Ce message d’erreur peut apparaître si la base de données n’est pas vide.

      Résolution : vous devez créer une base de données vide.

    • Vous désinstallez Secure Private Access et réessayez la configuration avec le même nom de site. Dans ce cas, la base de données de l’installation précédente n’aurait pas été supprimée.

      Résolution : vous devez supprimer manuellement la base de données.

    • Vous choisissez de configurer la base de données manuellement (en sélectionnant Configuration manuelle sur la page Configuration des bases de données) à l’aide du script, puis de passer à l’option Configuration automatique tout en utilisant le même nom de site. Dans ce cas, une base de données portant le même nom est déjà créée lors de l’exécution du script.

      Résolution : vous devez renommer le site, puis réexécuter le script.

    • La machine ne dispose pas des autorisations READ, WRITE, UPDATE pour créer des tables dans la base de données sur le serveur SQL.

      Résolution : Activez les autorisations appropriées sur la machine. Pour plus de détails, voir Autorisations requises pour configurer les bases de données.

  • Message d’erreur : Impossible de créer la base de données : échec de la connexion

    Résolution :

    • Vérifiez la connectivité réseau de la base de données depuis votre machine. Assurez-vous que le port du serveur SQL est ouvert sur le pare-feu.
    • Si vous utilisez un serveur SQL distant, vérifiez si un identifiant a été créé sur le serveur SQL avec l’identité de machine Secure Private Access, Domain\hostname$.
    • Si vous utilisez un serveur SQL distant, vérifiez que le rôle approprié a été attribué à l’identité de la machine, à savoir le rôle d’administrateur système.
    • Si vous utilisez un serveur SQL local (qui ne provient pas du programme d’installation), vérifiez si l’utilisateur NT AUTHORITY \ SYSTEM doit avoir créé un identifiant.

Défaillances de StoreFront

  • Message d’erreur : Impossible de créer une entrée StoreFront pour : <Store URL>

    Mettez à jour les entrées de StoreFront depuis l’onglet Paramètres si elles ne sont pas visibles. Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de StoreFront depuis l’onglet Paramètres . Notez l’URL du StoreFront Store pour laquelle cette erreur s’est produite.

    Résolution :

    1. Cliquez sur Paramètres, puis sur l’onglet Intégrations .
    2. Dans l’URL du magasin StoreFront, ajoutez l’entrée StoreFront si elle n’est pas visible.
  • Message d’erreur : Impossible de configurer l’entrée StoreFront pour : <Store URL>

    Résolution :

    1. Il se peut qu’une restriction de la stratégie d’exécution de PowerShell soit en place. Exécutez la commande de script PowerShell Get-ExecutionPolicy pour plus de détails.

    2. S’il est restreint, vous devez le contourner et exécuter un script de configuration StoreFront manuellement.
    3. Cliquez sur Paramètres, puis sur l’onglet Intégrations .
    4. Dans StoreFront Store URL, identifiez l’entrée d’URL StoreFront pour laquelle l’erreur s’est produite.
    5. Cliquez sur le bouton Télécharger le script à côté de l’URL de ce magasin et exécutez ce script PowerShell avec des privilèges d’administrateur sur la machine sur laquelle l’installation StoreFront correspondante est présente. Ce script doit être exécuté sur toutes les machines StoreFront.

    Remarque :

    Si vous réessayez l’installation après la désinstallation, assurez-vous qu’aucune entrée portant le nom « Secure Private Access » ne figure dans la configuration de StoreFront (StoreFront> store> Delivery Controller-> Secure Private Access). Si Secure Private Access est présent, supprimez cette entrée. Téléchargez et exécutez le script manuellement depuis la page Paramètres > Intégrations.

  • Message d’erreur : la configuration de StoreFront n’est pas locale pour : <Store URL>

    Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de la passerelle depuis l’onglet Paramètres . Notez l’URL du StoreFront Store pour laquelle cette erreur s’est produite.

    Résolution :

    Ce problème se produit si StoreFront n’est pas installé sur la même machine que Secure Private Access. Vous devez exécuter manuellement la configuration de StoreFront sur la machine sur laquelle vous avez installé StoreFront.

    1. Cliquez sur Paramètres, puis sur l’onglet Intégrations .
    2. Dans StoreFront Store URL, identifiez l’entrée d’URL StoreFront pour laquelle l’erreur s’est produite.
    3. Cliquez sur le bouton Télécharger le script à côté de l’URL de ce magasin et exécutez ce script PowerShell avec des privilèges d’administrateur sur la machine sur laquelle l’installation StoreFront correspondante est présente. Ce script doit être exécuté sur toutes les machines StoreFront.

    Remarque :

    pour exécuter le script StoreFront PowerShell, ouvrez la fenêtre PowerShell compatible avec Windows x64 avec des privilèges d’administrateur, puis exécutez ConfigureStoreFront.ps1. Le script StoreFront n’est pas compatible avec Windows PowerShell (x86).

  • Message d’erreur : « Get-STFStoreService : une exception de type ‘Citrix.DeliveryServices.Framework.Feature.Exceptions.RegistryKeyNotFoundException’ a été générée. » lors de l’exécution du script StoreFront à l’aide de PowerShell.

    Cette erreur se produit lorsque le script StoreFront est exécuté sur une fenêtre PowerShell compatible x86.

    Résolution :

    Pour exécuter le script StoreFront PowerShell, ouvrez la fenêtre PowerShell compatible avec Windows x64 avec des privilèges d’administrateur, puis exécutezConfigureStorefront.ps1.

Défaillances de la passerelle publique/de la passerelle de rappel

Message d’erreur : Impossible de créer une entrée de passerelle pour : <Gateway URL> OU Impossible de créer une entrée de passerelle de rappel pour : <Callback Gateway URL>

Résolution :

Notez l’URL de la passerelle publique ou de la passerelle de rappel pour laquelle l’échec s’est produit. Après avoir configuré Secure Private Access à l’aide de l’assistant, vous pouvez modifier les entrées de la passerelle depuis l’onglet Paramètres .

  1. Cliquez sur Paramètres, puis sur l’onglet Intégrations .
  2. Mettez à jour l’adresse de la passerelle publique ou l’adresse de la passerelle de rappel et l’adresse IP virtuelle pour laquelle l’échec s’est produit.

Le serveur Secure Private Access n’est pas accessible

Message d’erreur : Impossible de mettre à jour le pool IIS. Impossible de redémarrer le pool IIS

Résolution :

Accédez aux pools d’applications dans Internet Information Services (IIS) et vérifiez que les pools d’applications suivants ont démarré et sont en cours d’exécution :

  • Pool d’exécution à accès privé sécurisé
  • Pool d’administrateurs d’accès privé sécurisé

Vérifiez également que le site IIS par défaut "Default Web Site" est opérationnel.

Échec des contrôles de connectivité de la base

Message d’erreur : échec de la vérification de connectivité

La vérification de la connectivité de la base de données peut échouer pour plusieurs raisons :

  • Le serveur de base de données n’est pas accessible depuis la machine hôte du plug-in Secure Private Access en raison d’un pare-feu.

    Résolution : Vérifiez si le port de base de données (port 1433 par défaut) est ouvert sur le pare-feu.

  • La machine hôte du plug-in Secure Private Access n’est pas autorisée à se connecter à la base de données.

    Résolution : consultez les autorisations de base de données SQL pour Secure Private Access.

La vérification de la connectivité de la passerelle a échoué. Impossible de récupérer le certificat public

Message d’erreur : La configuration après l’installation échoue avec l’erreur « La vérification de la connectivité de la passerelle a échoué. Impossible de récupérer un certificat public… »

Résolution :

  • Téléchargez manuellement le certificat public de la passerelle dans la base de données Secure Private Access à l’aide de l’outil de configuration.
  • Ouvrez le PowerShell ou la fenêtre d’invite de commande avec les privilèges d’administrateur.
  • Remplacez le répertoire par le dossier Admin\AdminConfigTool dans le dossier d’installation de Secure Private Access (par exemple, cd « C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool »)
  • Exécutez la commande suivante :

    .\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

Échec de l’énumération des applications

L’énumération des applications est interrompue si l’URL StoreFront ou l’URL NetScaler Gateway contient une barre oblique (/) à la fin.

Résolution :

Supprimez la barre oblique finale dans l’URL du magasin StoreFront ou dans l’URL de NetScaler Gateway. Pour plus de détails, consultez Mettre à jour StoreFront ou les informations relatives au serveur NetScaler Gatewayaprès la configuration.

Divers

La première configuration ne peut pas être terminée

Il est possible que vous ne puissiez pas reconfigurer le serveur de licences si la configuration de Director échouait lors de la première installation.

Résolution :

Nettoyez manuellement la table license_server.

Créez un pack d’assistance pour les diagnostics Secure Private Access

Procédez comme suit pour créer un pack de support pour les diagnostics Secure Private Access :

  • Ouvrez le PowerShell ou la fenêtre d’invite de commande avec les privilèges d’administrateur.
  • Remplacez le répertoire par le dossier Admin \ AdminConfigTool dans le dossier d’installation de Secure Private Access (par exemple, cd « C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool »).
  • Exécutez la commande suivante :

    .\AdminConfigTool.exe /SUPPORTBUNDLE <output folder>

Autorisations de base de données SQL pour Secure Private Access

Pour la création automatique de la base de données, la machine hôte du plug-in Secure Private Access doit disposer des autorisations nécessaires pour se connecter à la base de données et créer le schéma de base de données.

Base de données distante :

Procédez comme suit pour configurer les autorisations pour une base de données distante.

  1. Créez une base de données vide avec la syntaxe du nom CitrixAccessSecurity<Site Name>. Ici <Site Name> est le nom du site Secure Private Access. (par exemple. CitrixAccessSecuritySPA).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Créez un identifiant SQL Server pour l’identité de la machine virtuelle Secure Private Access. Par exemple, si le nom de votre machine de courtage Secure Private Access est HOST1 et que le domaine de la machine est DOMAIN1, l’identité de la machine est « DOMAIN1\HOST1$ ». Si l’identifiant est déjà créé, vous pouvez ignorer cette étape.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [DOMAIN1\HOST1$] FROM WINDOWS

    Le nom de domaine peut être trouvé à l’aide de la requête suivante :

    SELECT DEFAULT_DOMAIN()[DomainName]

  3. Attribuez le rôle db_owner à l’identité de la machine.

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'DOMAIN1\HOST1$'

    ALTER USER [DOMAIN1\HOST1$] WITH DEFAULT_SCHEMA = dbo;

Base de données locale :

Procédez comme suit pour configurer les autorisations pour une base de données locale.

  1. Créez une base de données vide avec la syntaxe du nom CitrixAccessSecurity<Site Name>. Ici <Site Name> est le nom du site Secure Private Access. (par exemple, Citrix AccessSecuritySPA).

    CREATE DATABASE CitrixAccessSecurity<SiteName>

  2. Créez un identifiant SQL Server pour l’utilisateur NT AUTHORITY\SYSTEM. Si l’identifiant est déjà créé, vous pouvez ignorer cette étape.

    USE CitrixAccessSecurity<SiteName>

    CREATE LOGIN [NT AUTHORITY\SYSTEM] FROM WINDOWS

  3. Attribuez le rôle db_owner à l’utilisateur « NT AUTHORITY\SYSTEM ».

    USE CitrixAccessSecurity<SiteName>

    EXEC sys.sp_addrolemember [db_owner], 'NT AUTHORITY\SYSTEM'

    ALTER USER [NT AUTHORITY\SYSTEM] WITH DEFAULT_SCHEMA = dbo;

Lorsque vous créez manuellement la base de données, le script de base de données téléchargé ajoute les autorisations à l’identité de la machine.

Modifier le niveau de journalisation pour les journaux de dépannage

Les journaux de dépannage constituent le niveau de journal des erreurs par défaut.

Pour modifier le niveau de journalisation des journaux de dépannage, dans le service d’exécution appsettings.json (C:\Program Files \ Citrix \ Citrix Access Security \ Runtime \ RuntimeService), mettez à jour restrictedToMinimumLevel pour TroubleshootingSql avec l’une des valeurs suivantes :

-  Information
-  Debug
-  Warning
-  Error

"TroubleshootingSql": {
  "restrictedToMinimumLevel": "Error",
  "batchPostingLimit": 50,
  "batchPeriod": "00:00:05" // 5 seconds
}