Citrix Secure Private Access

日志记录和故障排除

使用本主题对某些应用程序配置、身份验证和 SSO 或应用程序访问相关问题进行故障排除。 复制 信息代码 从 Secure Private Access 诊断日志中的“信息代码”列中,然后在此页面上搜索该代码以查找相应的故障排除步骤。 以下是一些可帮助您更好地使用此主题的常见问题解答。

常见问题解答?

什么是 Secure Private Access 诊断日志?

在哪里可以找到 Secure Private Access 日志?

哪个小组件显示 Secure Private Access 诊断日志?

我可以在 Secure Private Access 诊断日志中找到哪些详细信息?

Secure Private Access 诊断日志中捕获了哪些事件?

如何筛选诊断日志?

如何使用 Secure Private Access 故障排除主题来解决我遇到的故障?

什么是信息代码? 我在哪里可以找到它们?

什么是交易 ID? 我该如何使用它?

所有 Secure Private Access PoP 位置都有哪些?

如果我无法使用 info 代码和错误查找表解决我的失败,该怎么办?

信息代码查找表

以下错误查找表全面概述了用户在使用 Secure Private Access 服务时可能遇到的各种错误。

信息代码 说明 解决方案
0x180006、0x1800B7 应用程序启动失败,因为超出应用程序 FQDN 长度 应用程序启动失败,因为应用程序 FQDN 长度超出
0x180022 应用程序启动失败,因为身份验证服务已关闭 应用程序启动失败,因为身份验证服务已关闭
0x180001、0x18001A、0x18001B 0x18008A 单点登录错误、Citrix Cloud 与本地连接器之间的连接建立失败、SAML SSO 失败、应用程序 FQDN 无效


应用程序访问被拒绝


0x1800A9、0x1800AA、0x1800AB 0x1800AC
0x1800AD、0x1800AE、0x1800AF 0x1800B0
0x1800B1、0x1800B2、0x1800B3 0x180048
0x1800EF 连接到连接器设备时出现问题 连接到连接器设备时出现问题
0x18009D DNS 查找/连接失败 Secure Browser 服务 - DNS 查找/连接错误
0x1800A0、0x1800A2、0x1800A3 0x1800A5 Web 应用程序启动失败,因为无法连接到后端 Web 应用程序
Web 应用程序启动失败,因为无法连接到后端 Web 应用程序
0x1800A6、0x1800A7
0x1800BC、0x1800BF 用户无权访问 Web/SaaS 应用程序 用户无权访问 Web/SaaS 应用程序
0x1800BD 用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序 用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序
0x1800D0 Citrix Secure Access 代理获取应用程序配置时会话启动失败 Citrix Secure Access 代理获取应用程序配置时会话启动失败
0x1800CD、0x1800CE、0x1800D6 0x1800EA 获取应用程序配置时 Citrix Secure Access 代理会话启动失败,Citrix Secure Access 代理应用程序启动在策略评估期间失败,Citrix Secure Access 代理应用程序启动失败 格式错误的客户端请求
0x1800DE Citrix Secure Access 代理在策略评估期间应用程序启动失败 Citrix Secure Access 代理在策略评估期间应用程序启动失败
0x180055、0x1800DF 0x1800E3 应用程序受上下文策略限制,由于策略配置而被拒绝 用户控制面板中未列出的一个或多个应用程序
0x1800EB Citrix Secure Access 代理应用程序启动失败,因为不支持 IPv6 Citrix Secure Access 代理应用程序启动失败,因为不支持 IPv6
0x1800EC、0x1800ED Citrix Secure Access 代理应用程序启动因 IP 地址无效而失败 Citrix Secure Access 代理应用程序启动因 IP 地址无效而失败
0x10000001、0x10000002、0x10000003 0x10000004 由于网络问题,Citrix Secure Access 客户端登录失败 Citrix Secure Access 客户端的网络连接可访问性问题
0x10000006 由于中间的代理,Citrix Secure Access 客户端登录失败 代理服务器干扰客户端与服务的连接
0x10000007 由于证书颁发机构不受信任的原因,Citrix Secure Access 客户端登录失败 观察到不受信任的服务器证书问题
0x10000008 由于证书无效,Citrix Secure Access 客户端登录失败 观察到无效的服务器证书问题
0x1000000A 由于配置问题,Citrix Secure Access 客户端登录失败 登录失败,因为用户的配置为空
0x1000000B 由于连接失败,Citrix Secure Access 客户端登录失败 连接由网络或最终用户终止
0x10000010 由于会话过期,Citrix Secure Access 客户端登录失败 由于会话已过期,配置下载失败
0x10000013 由于配置列表巨大,Citrix Secure Access 客户端登录失败 Citrix Secure Access 客户端无法登录
0x11000003 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 由于会话过期,控制通道建立失败
0x11000004 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 控制通道建立失败
0x11000005 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 控制通道建立失败
0x11000006 由于控制通道创建失败,Citrix Secure Access 客户端登录失败 由于网络问题,控制通道建立失败
0x12000001 Citrix Secure Access 客户端注销失败,因为会话已过期 会话终止时无法注销
0x12000002 Citrix Secure Access 客户端注销失败,因为会话已超时 会话被强制终止
0x13000001 应用程序访问失败,因为会话过期 应用程序启动失败,因为会话已过期
0x13000002 应用程序访问失败,因为许可证不足 由于许可证问题,Application Launch 失败
0x13000003、0x13000008 0x001800DF 应用程序访问失败,因为访问被禁止,根据策略拒绝 TCP/UDP 应用程序启动 应用程序启动失败,因为服务拒绝访问
0x13000004、0x13000005 由于服务器不可用,应用程序访问失败 应用程序启动失败,因为客户端无法访问服务
0x13000007 由于访问策略被禁用或用户未订阅,应用程序访问失败 应用程序启动失败,因为策略评估和配置验证失败
0x13000009 应用程序访问失败,因为缺少路由条目 由于应用程序域表中的问题,应用程序启动失败
0x1300000B 客户端关闭了连接 客户端关闭了与 Secure Private Access 服务的连接
0x1300000C 通过 ZTNA 进行 FQDN 解析失败 DNS 服务器无法解析 FQDN
0x001800D3 登录时应用程序配置下载失败 无法获取已配置的应用程序目标列表
0x001800D9、0x001800DA 在解析策略评估响应期间 TCP/UDP 应用程序启动失败,在策略评估期间,TCP/UDP 应用程序启动失败并显示无效结果 应用程序配置问题
0x001800DB TCP/UDP 应用程序启动失败,资源位置配置无效 资源位置问题
0x13000006、0x001800DC 0x001800DD 由于为应用程序配置了不受支持的增强安全策略,TCP 应用程序启动失败,TCP 应用程序启动因为 TCP 应用程序配置了不受支持的安全浏览器服务重定向而失败 增强的安全策略已绑定到 HTTP 应用程序
0x001800DE TCP/UDP 应用程序启动失败,因为没有找到目标的应用程序配置 找不到应用程序
0x001800EA 由于目标 FQDN 太长,TCP 应用程序启动失败 主机名长度超过 256 个字符
0x001800ED TCP 应用程序启动因目标 IP 无效而失败 IP 地址无效
0x001800EF 在与私有 TCP 服务器建立连接期间,TCP 应用程序启动失败 无法建立端到端连接
0x001800F5 由于 IPV6 地址,UDP 应用程序启动失败 在应用程序请求中收到的 IPv6
0x001800F9 由于客户端连接丢失,UDP 流量无法传输 UDP 流量无法传输
0x001800FF UDP 数据流量传输失败 UDP 数据流量传输失败
0x10000401 Citrix 会合服务器拨号失败 由于网络连接问题,应用程序启动失败
0x10000402、0x1000040C 无法注册连接器设备,UDP 网络连接初始化失败 连接器设备无法注册到 Secure Private Access 服务
0x10000403、0x10000404、0x10000407 0x1000040A 连接错误、控制数据包传输失败、读取网关服务时出错、控制数据包解析失败、写入网关服务时出错
连接器设备的连接问题
0x1000040B、0x1000040F 0x10000410
0x10000405、0x10000408、0x10000409 0x1000040D 后端无法访问、UDP 数据包传输失败、UDP 数据包接收失败、写入后端错误、后端关闭连接
连接器设备和后端专用 TCP/UDP 服务器的连接问题
0x1000040E、0x10000412
0x10000406 DNS 解析失败 连接器设备无法解析 FQDN 的 DNS
0x10000411 网关服务关闭了连接 私人服务器连接已终止
0x10000413 确定连接拆解原因时出错 无法将数据连接或发送到私有服务 IP 或 FQDN
0x100508 用户上下文与访问规则条件不匹配 无匹配策略条件
0x100509 未与应用程序关联的访问策略 没有与应用程序关联的访问策略
0x10050C 用户可能有权访问的多个应用程序的策略评估结果 应用程序枚举信息
0x00180101 TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目 TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目
0x00180102 TCP/UDP 应用程序启动失败,因为连接器运行状况不佳 TCP/UDP 应用程序启动失败,因为连接器运行状况不佳
0x00180103 UDP/DNS 请求失败,因为无法访问连接器 UDP/DNS 请求失败,因为无法访问连接器
0x20580001 由于 NGS Cookie 已过期,无法加载页面 由于 NGS Cookie 已过期,无法加载页面
0x20580002 由于网络故障,访问策略获取失败 由于网络故障,访问策略获取失败
0x20580003 解析 JSON Web 令牌时访问策略获取失败 解析 JSON Web 令牌时访问策略获取失败
0x20580004 网络无法获取访问策略详细信息 网络无法获取访问策略详细信息
0x20580005 获取公有证书时策略获取失败 获取公有证书时策略获取失败
0x20580007 验证 JWT 的签名时策略获取失败 验证 JWT 的签名时策略获取失败
0x20580008 验证公有证书时策略提取失败 验证公有证书时策略提取失败
0x2058000A 无法确定商店环境以形成策略 URL 无法确定商店环境以形成策略 URL
0x2058000B 无法获取访问策略获取请求的响应 无法获取访问策略获取请求的响应
0x2058000C 由于辅助 DS 身份验证令牌过期,访问策略获取失败 由于辅助 DS 身份验证令牌过期,访问策略获取失败
0x10200002 连接器设备未注册 连接器设备未注册
0x10200003 无法连接到连接器设备 无法连接到连接器设备
0x10000301 与 Citrix SPA 服务的连接失败 连接到 Citrix Secure Private Access 服务失败
0x10000303、0x10000304 无法访问代理服务器 无法访问代理服务器
0x10000305 代理服务器身份验证失败 代理服务器身份验证失败
0x10000306 无法访问已配置的代理服务器 无法访问已配置的代理服务器
0x10000307 收到来自后端服务器的错误响应 收到来自后端服务器的错误响应
0x10000005 无法向目标 URL 发送请求 无法向目标 URL 发送请求
0x10000107 无法处理 SSO 无法处理 SSO
0x10000108、0x1000010B 无法处理 SSO,无法确定 SSO 设置 无法处理 SSO,无法确定 SSO 设置
0x10000101、0x10000102、0x10000103 0x10000104 FormFill SSO 失败,表单应用程序配置不正确 FormFill SSO 失败,表单应用程序配置不正确
0x1000010A FormFill SSO 失败,表单应用程序配置不正确 FormFill SSO 失败,表单应用程序配置不正确
0x10000202 Kerberos SSO 失败 Kerberos SSO 失败
0x10000203 无法处理身份验证类型的 SSO 无法处理身份验证类型的 SSO
0x10000204 Kerberos SSO 失败,但回退到 NTLM Kerberos SSO 失败,但回退到 NTLM
0x14000001 在 Citrix Workspace 应用程序中配置的多个 ZTNA 授权帐户 在 Citrix Workspace 应用程序中配置的多个 ZTNA 授权帐户

解决步骤

以下部分提供了大多数 info 代码的解决步骤。 对于未捕获解决步骤的代码,请联系 Citrix 支持部门。

用户控制面板中未列出的一个或多个应用程序

信息代码: 0x180055、0x1800DF 0x1800E3

由于上下文策略设置,某些用户或设备可能无法看到应用程序。 信任因素(设备状况或风险评分)等参数可能会影响应用程序的可访问性。

  1. 原因 错误代码列 0x18005C 在 Diagnostic Logs csv 文件中。
  2. 修改 column 过滤器,以显示来自名为 SWA.PSESWA.PSE 的。事件. 此筛选条件仅显示与策略评估相关的日志。
  3. 原因 列。 此负载显示用户订阅的所有应用程序的用户上下文的评估策略。
  4. 如果策略评估指示用户的应用程序被拒绝,则可能的原因可能是:
    • 策略中的匹配条件不正确 - 检查 Citrix Cloud 中的应用程序策略配置
    • 策略中的匹配规则不正确 - 检查 Citrix Cloud 中的应用程序策略配置
    • 策略中的匹配默认规则不正确 - 这是一种直通情况。 相应地调整条件。

用户无权访问 Web/SaaS 应用程序

信息代码: 0x1800BC、0x1800BF

用户可能已单击用户可能没有订阅的应用程序链接。

确保用户已订阅应用程序。

  1. 转到管理门户中的应用程序。
  2. 编辑应用程序并转到 订阅 标签。
  3. 确保目标用户在订阅列表中有一个条目。

后端应用程序性能缓慢

信息代码:0x18000F

在某些情况下,由于资源位置中的连接器可能已关闭,或者后端服务器本身可能没有响应,因此客户网络不稳定。

  1. 确保连接器设备在地理位置上靠近后端服务器,以排除网络延迟。
  2. 检查后端服务器的防火墙是否未阻止连接器设备。
  3. 检查客户端是否连接到最近的云 POP。

    例如 nslookup nssvc.dnsdiag.net 在客户端上,答案中的规范名称表示特定于地理位置的服务器,例如 aws-us-w.g.nssvc.net。

应用程序启动失败,因为超出应用程序 FQDN 长度

信息代码: 0x180006、0x1800B7

应用程序 FQDN 的长度不得超过 512 个字符。 在应用程序配置页面中检查应用程序 FQDN。 确保长度不超过 512 字节。

  1. 转到 应用 选项卡。
  2. 查找 FQDN 超过 512 个字符的应用程序。
  3. 编辑应用程序并修复应用程序 FQDN 长度。

超出应用程序详细信息长度

信息代码: 0x18000E

检查策略是否阻止了应用程序访问。

  1. 转到 访问策略.
  2. 查找应用程序具有授权的策略。
  3. 查看最终用户的策略规则和条件。

应用程序访问被拒绝

信息代码: 0x180001、0x18001A、0x18001B、0x18008A、0x1800A9、0x1800AB、0x1800AC、0x1800AD、0x1800AE、0x1800AF、0x1800B0、0x1800B1、0x1800B2、0x1800B3 0x180048

这与上下文策略有关,其中策略拒绝给定用户的应用程序。

检查策略是否阻止了应用程序访问

  1. 转到 访问策略.
  2. 查找应用程序具有授权的策略。
  3. 查看最终用户的策略规则和条件。

未列举的应用程序

由于策略拒绝或未启用 Secure Private Access 集成,枚举列表中可能会缺少应用程序。

  • 如果必须为某些应用程序启用访问权限,但您看到的应用程序为零,请尝试启用 Secure Private Access 集成。

    • 登录 Citrix Cloud。
    • 选择 工作区配置 从 Hamburger 菜单中,然后单击 服务集成.
    • 单击 Secure Private Access 中的省略号按钮,然后单击 使.
  • 如果 Secure Private Access 集成已启用,请禁用它,然后再次启用它以查看您是否有任何应用程序。

连接到连接器设备时出现问题

信息代码: 0x1800EF

应用程序路由失败,因为与本地连接器的 TCP 连接不可用。

查看控制器组件中的事件

  1. 查找 交易 ID 对于错误代码 0x1800EF 在诊断日志 CSV 文件中。
  2. 过滤与 csv 文件中的交易 ID 匹配的所有事件。
  3. 此外,过滤 CSV 文件中匹配的列 SWA.GOCTRL.

    如果您看到带有 连接类型 消息 MultiConnect::成功? 那么;

    • 这表示隧道建立请求已成功中继到控制器。
    • 检查 资源位置 在日志消息中是正确的。 如果不正确,请在 Citrix 管理门户上的应用程序配置部分中修复资源位置。
    • 检查 VDA IP 和端口 在日志消息中是正确的。 VDA IP 和端口表示后端应用程序 IP 和端口。 如果不正确,请在 Citrix 管理门户的应用程序配置部分中修复应用程序 FQDN 或 IP 地址。
    • 继续查看 连接器事件 如果您没有找到任何前面提到的问题。

    如果您看到带有 连接类型 消息 connect::failureMultiConnect::成功然后;

    • 检查此日志消息的推荐修复是否显示 - 检查连接器是否仍连接到同一 pop. 这表明资源位置的连接器可能已关闭。 继续查看 连接器事件.
    • 如果未看到前面提到的消息,请联系 Citrix 客户支持。

    如果您看到带有 连接类型 消息 IntraAll::failure,然后联系 Citrix 客户支持。

查看连接器组件中的事件

  1. 查找 交易 ID 对于错误代码 0x1800EF 在 Diagnostic Logs csv 文件中。
  2. 过滤与 csv 文件中的交易 ID 匹配的所有事件。
  3. 此外,过滤 CSV 文件中匹配的列 SWA.ConnectorAppliance.WebApps.
  4. 如果您看到 地位失败然后;
    • 查看 原因 消息。
    • UnableToRegister 表示连接器无法成功注册到 Citrix Cloud。 联系 Citrix 技术支持.
    • IsProxyRequiredCheckErrorProxyDialFailedProxyConnectionFailedProxyAuthenticationFailure代理无法访问 表示连接器无法通过代理配置解析后端 URL。 检查代理配置是否正确。
    • 有关进一步的调试,请参阅 连接器 SSO 事件.

单点登录错误

对于单点登录,在应用程序启动期间,将提取并应用应用程序配置中的不同 SSO 属性。 如果该特定用户没有属性或属性不正确,则单点登录可能会失败。 确保配置看起来正确。

  1. 转到 访问策略。
  2. 查找应用程序具有授权的策略。
  3. 查看最终用户的策略规则和条件。

表单 SSO、Kerberos 和 NTLM 等 SSO 方法由本地连接器执行。 查看连接器中的以下诊断日志。

查看连接器组件中的 SSO 事件

  1. 筛选 组件名称 在 CSV 文件中匹配 SWA.ConnectorAppliance.WebApps.
  2. 您是否看到状态为 “failure” 的事件?
    • 查看每个失败事件的消息。
    • IsProxyRequiredCheckErrorProxyDialFailedProxyConnectionFailedProxyAuthenticationFailure代理无法访问 表示连接器无法通过代理配置解析后端 URL。 检查代理配置是否正确。
    • FailedToReadRequestRequestReceivedForNonSecureBrowseUnableToRetrieveUserCredentialsCCSPolicyIsNotLoadedFailedToLoadBaseClient (失败到负载基础客户端)ProcessConnectionFailureWebAppUnSupportedAuthType 表示隧道失败。 联系 Citrix 技术支持.
    • UnableToConnectTargetServer 表示无法从连接器访问后端服务器。 再次检查后端配置。
    • IncorrectFormAppConfiguration 错误未找到登录表单FailedToConstructForLoginActionURLFailedToLoginViaFormBasedAuth 表示基于表单的身份验证失败。 检查 Citrix 管理门户中应用程序配置中的表单 SSO 配置部分。
    • NTLMAuthNotFound 表示基于 NTLM 的身份验证失败。 检查 Citrix 管理门户的应用程序配置中的 NTLM SSO 配置部分。
    • 有关进一步调试,请参阅 连接器事件.

应用程序启动失败,因为身份验证服务已关闭

信息代码: 0x180022

Secure Private Access 允许管理员配置第三方身份验证服务,例如传统的 Active Directory、AAD、Okta 或 SAML。 这些身份验证服务中的中断可能会导致此问题。

检查第三方服务器是否已启动且可访问。

SAML SSO 失败

信息代码: 0x18008A、0x1800A9、0x1800AA、0x1800AB、0x1800AC、0x1800AD、0x1800AE、0x1800AF、0x1800B0、0x1800B1、0x1800B2 0x1800B3

当应用程序由 IdP 启动时,用户在应用程序启动期间面临身份验证失败,或者在 SP 启动时可能会看到无法访问的链接。 还要检查 Secure Private Access 服务端的 SAML 应用程序配置和服务提供商配置。

Secure Private Access 配置:

  1. 转到 应用 标签。
  2. 查找有问题的 SAML 应用程序。
  3. 编辑应用程序并转到 单点登录 标签。
  4. 检查以下字段。
    • 断言 URL
    • 中继状态
    • 受众
    • 名称 ID 格式、名称 ID 和其他属性

服务提供商配置:

  1. 登录服务提供商。
  2. 转到 SAML 设置。
  3. 检查 IdP 证书、受众和 IdP 登录 URL。

如果配置看起来正确,请联系 Citrix 技术支持。

应用 FQDN 无效

信息代码: 0x180048

客户管理员可能提供了无效的 FQDN 或 DNS 解析在后端服务器上失败的 FQDN。

在这种情况下,最终用户会在网页上看到错误。 检查应用程序设置。

SaaS 应用程序验证

检查是否可以从网络访问该应用程序。

Web 应用程序验证

  1. 转到 应用 标签。
  2. 编辑有问题的应用程序。
  3. 转到 应用详细信息 页。
  4. 检查 URL。 URL 必须在 Intranet 或 Internet 中可访问。

安全浏览器服务 - DNS 查找/连接失败

信息代码: 0x18009D

通过 Remote Browser Isolation 服务破坏浏览体验。 检查最终用户尝试连接的后端服务器。

  1. 转到后端服务器,检查它是否已启动并正在运行,并且能够接收请求。
  2. 如果代理服务器正在停止与后端服务器的连接,请检查代理服务器设置。

注意:

Citrix Remote Browser 隔离服务以前称为 Secure Browser 服务。

CWA Web - Web 应用程序的 DNS 查找/连接错误

信息代码: 0x1800A0、0x1800A2、0x1800A3、0x1800A5、0x1800A6 0x1800A7

在公司网络内运行的 Web 应用程序的浏览体验中断。

  1. 筛选诊断日志中无法解析的 FQDN。
  2. 检查后端服务器从公司网络内部的可访问性。
  3. 检查代理设置,查看连接器是否被阻止访问后端服务器。

直接访问 - 错误配置为 Web 应用程序

由于 Web 应用程序流量始终通过连接器路由,因此在其上配置直接访问会导致应用程序访问错误。

检查路由域表和应用程序配置之间的配置是否冲突。

  1. 转到管理门户中的应用程序。
  2. 编辑应用程序并检查是否启用了直接访问。
  3. 检查路由域表中的应用程序 FQDN 是否已标记为内部。

用户无权访问用于 DirectAccess 的 Web/SaaS 应用程序

信息代码: 0x1800BD

应用程序配置将禁用对源自基于浏览器的客户端的流量的直接访问。

确保用户已订阅应用程序。

  1. 转到管理门户中的应用程序。
  2. 编辑应用程序并检查无代理访问配置。

增强的安全策略 - Secure Browser Service 配置错误

信息代码: 0x1800C3

看到的行为与策略规则的预期不正确。 检查上下文访问策略。

  1. 转到 政策 标签。
  2. 检查与应用程序关联的策略。
  3. 检查这些策略的规则。

增强的安全策略 - 策略配置错误

看到的行为与策略规则的预期不正确。 检查增强的安全性设置。

  1. 转到应用程序。
  2. 单击 访问策略 标签。
  3. 检查 可用的安全限制: 部分。

获取应用程序配置时,Citrix Secure Access 代理会话启动失败

信息代码: 0x1800D0

Citrix Secure Access 应用程序无法成功建立到 Citrix Cloud 的完整隧道。

  1. 查看 TCP/UDP 应用程序的路由域配置。
  2. 确保最大条目数在 16k 限制范围内。

TCP/UDP 应用程序 - 格式错误的客户端请求

信息代码: 0x1800CD、0x1800CE、0x1800D6 0x1800EA

VPN 隧道未建立,或者某些 FQDN 可能未通过隧道传输。

  1. 确保请求不是由中间的代理捏造或重建的。
  2. 疑似中间人攻击。

TCP/UDP 应用程序 - Secure Browser Service 重定向配置错误

信息代码: 0x1800DD

Remote Browser Isolation 服务重定向只能应用于 Web 应用程序,而不能应用于 TCP/UDP 应用程序。 在 Secure Private Access 服务 GUI 中查看应用程序配置。

注意:

Citrix Remote Browser 隔离服务以前称为 Secure Browser 服务。

在策略评估期间,Citrix Secure Access 代理应用程序启动失败

信息代码: 0x1800DE

确保 Citrix Secure Access 客户端要通过隧道传输的所有内部 FQDN 在路由域表中都有相应的条目。

Citrix Secure Access 代理应用程序启动失败,因为不支持 IPv6

信息代码: 0x1800EB

查看路由域条目。 确保表中没有 IPV6 条目。

由于 IP 地址无效,Citrix Secure Access 代理应用程序启动失败

信息代码:0x1800EC、0x1800ED

查看路由域条目。 确保 IP 地址有效并指向正确的后端。

Citrix Secure Access 客户端的网络连接可访问性问题

信息代码: 0x10000001、0x10000002、0x10000003 0x10000004

  1. 检查客户端计算机网络是否可访问。 如果网络可访问,请与 Citrix 技术支持联系并提供客户端调试日志。
  2. 检查代理或防火墙是否阻止了网络。

要收集客户端调试日志,请参阅 如何收集客户端日志.

代理服务器干扰客户端与服务的连接

信息代码: 0x10000006

  1. 检查客户端计算机网络是否可访问。
  2. 检查客户端中是否正确配置了代理。
  3. 如果两者都没有问题,请联系 Citrix 支持部门并提供客户端调试日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

观察到不受信任的服务器证书问题

信息代码: 0x10000007

请联系 Citrix 技术支持部门,以检查服务器证书是否由有效的 CA 正确生成。

观察到无效的服务器证书问题

信息代码: 0x10000008

请联系 Citrix 支持部门以检查服务器证书是自签名的、已过期的还是来自不受信任的来源。

登录失败,因为用户的配置为空

信息代码: 0x1000000A

  1. 确保至少配置了一个 TCP/UDP/HTTP 应用程序。 有关详细信息,请参阅 添加和管理应用程序.
  2. 确保应用程序域表 (Secure Private Access > 设置 > 应用领域) 不为空,或者未禁用所有条目。 在 TCP/UDP/HTTP 应用程序中配置的目标将自动添加到此表中。

建议您不要删除或禁用活动的 TCP/UDP/HTTP 应用程序的目标或 URL。

连接由网络和/或最终用户终止

信息代码: 0x1000000B

检查网络是否中断,或者最终用户是否在 ZTNA 会话连接期间取消了连接。

由于会话已过期,配置下载失败

信息代码: 0x10000010

VPN 会话可能在 ZTNA 会话配置下载请求期间过期。 尝试重新登录 Citrix Secure Access 客户端。

Citrix Secure Access 客户端无法登录

信息代码: 0x10000013

Citrix Secure Access 客户端无法登录,因为配置大小超过最大配置限制。

  1. 在 中查看 TCP/UDP 应用程序的路由域配置 Secure Private Access > 设置 > 应用领域
  2. 确保条目数不大。 如果条目列表很大,请禁用或删除未使用的目标。

    如果目标列表预计超过 1000 秒,请尝试通过更新 ConfigSize 注册表项来增加最大配置下载大小。 有关详细信息,请参阅 Citrix Gateway VPN 客户端注册表项.

由于会话过期,控制通道建立失败

信息代码: 0x11000003

由于会话已过期,DNS 请求建立的控制通道已失败。

ZTNA 会话可能在控制通道设置期间过期。

尝试重新登录 Citrix Secure Access 客户端。

控制通道建立失败

信息代码: 0x11000004

用于建立 DNS 请求的控制通道失败。

  • 保持资源位置正常运行:
  1. 登录到 Citrix Cloud。
  2. 点击 资源位置 从汉堡菜单。
  3. 在相应资源位置上对连接器设备运行运行状况检查。
  4. 如果这不能解决问题,请尝试重新启动连接器虚拟机。
  • 维护 HA 连接器设备:
  1. 登录到 Citrix Cloud。
  2. 点击 资源位置 从汉堡菜单。
  3. 确保预期的资源位置至少有两个连接器设备。

:确保以下事项:

  • 资源位置 LAN 处于工作状态。
  • 中间没有防火墙或代理阻止 Connector Appliance 访问服务或后端服务器。
  • 客户端网络运行状况良好。
  • 后端专用服务器已启动并运行。
  • DNS 服务器已启动并正在运行。
  • FQDN 是可解析的。

如果您满足上述建议,请执行以下操作。

  1. 从诊断日志中获取此错误的事务 ID。
  2. 在 Secure Private Access 控制面板中筛选与交易 ID 匹配的所有事件。
  3. 检查客户端或连接器设备或服务诊断日志中是否发生了与事务 ID 匹配的错误。 然后相应地采取适当的措施。
  4. 检查是否为应用程序域表 (Secure Private Access > 设置 > 应用领域).

  5. 检查应用程序是否配置了正确的端口、IP 范围、域。 有关详细信息,请参阅 添加和管理应用程序.

如果您仍然无法解决问题,请联系 Citrix 技术支持,并提供与事务 ID 和客户端日志相对应的错误代码。

要收集客户端调试日志,请参阅 如何收集客户端日志.

控制通道建立失败

信息代码: 0x11000005

控制通道(用于 DNS 请求)建立失败。

  1. 检查 Secure Private Access 服务许可证授权。
  2. 如果未获得授权,请联系 Citrix 技术支持以检查许可证。

有关详细信息,请访问 https://www.citrix.com/buy/licensing/product.html

由于网络问题,控制通道建立失败

信息代码: 0x11000006

由于网络问题,控制通道(用于 DNS 请求)建立失败。

  1. 检查是否可以访问 Secure Private Access 服务。
  2. 如果无法访问,请联系 Citrix 技术支持并提供错误代码和客户端日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

由于 IIP 不足,控制通道建立失败

信息代码: 0x11000007

由于 IIP 不足,控制通道(用于 DNS 请求)建立失败。

请与 Citrix 技术支持联系,并提供错误代码和客户端日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

会话终止时无法注销

出现此问题可能是因为客户端计算机(键盘或鼠标)的空闲时间超过配置的超时时间。

信息代码: 0x12000001

尝试重新登录 Citrix Secure Access 客户端。

会话被强制终止

当达到配置的强制超时时,会话将被强制终止。

信息代码: 0x12000002

尝试重新登录 Citrix Secure Access 客户端。

Application Launch 失败,因为会话已过期

信息代码: 0x13000001

  1. ZTNA 会话在应用程序启动期间已过期。
  2. 尝试重新登录 Citrix Secure Access 客户端。

由于许可证问题,Application Launch 失败

信息代码: 0x13000002

  1. 检查 Secure Private Access 服务许可证是否授权。
  2. 如果未获得授权,请联系 Citrix 技术支持以检查许可证。

有关详细信息,请访问 https://www.citrix.com/buy/licensing/product.html

应用程序启动失败,因为服务拒绝访问

信息代码: 0x13000003、0x13000008 0x001800DF

根据用户和应用程序的策略配置,应用程序启动被拒绝。

请确保满足以下条件。

  • 在多个应用程序(HTTP、HTTPS、TCP、UDP)中不使用相同的目标
  • 多个应用程序上没有重叠的目标。
  • 访问策略绑定到应用程序。

此外,检查为被拒绝的应用程序配置的策略的条件和操作。 然后查看策略条件和操作。

有关详细信息,请参阅 访问策略.

应用程序启动失败,因为客户端无法访问服务

信息代码: 0x13000004、0x13000005

  1. 检查是否可以访问 Secure Private Access 服务。
  2. 再次启动应用程序。
  3. 如果长时间无法访问该应用程序,请联系 Citrix 技术支持并提供错误代码和客户端日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

应用程序启动失败,因为策略评估和配置验证失败

信息代码: 0x13000007

应用程序启动失败,因为 Secure Private Access 服务无法进行策略评估和配置验证。

无法发现访问目标的应用程序.

应用程序启动失败,因为服务拒绝访问.

由于应用程序域表中的问题,应用程序启动失败

信息代码: 0x13000009

应用程序启动失败,因为 Application domain (应用程序域) 表没有访问目标的条目。

检查是否为 Secure Private Access > 设置 > 应用领域.

客户端关闭了与 Secure Private Access 服务的连接

信息代码: 0x1300000B

  1. 检查最终用户是否手动关闭了连接。
  2. 如果没有,请联系 Citrix 技术支持并提供错误代码和客户端日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

DNS 服务器无法解析 FQDN

信息代码: 0x1300000C

当连接器设备无法解析 FQDN 的 DNS 时,会出现此问题。

  1. 检查 DNS 服务器中相应应用程序 FQDN 的 DNS 条目。
  2. 确保在连接器设备中配置了适当的 DNS 服务器。 有关详细信息,请参阅 在 Connector Appliance 管理页面上配置网络设置.

找不到应用程序

信息代码: 0x001800DE

您可能无法找到用户访问目标的应用程序。 如果 Application Domain 表中缺少目标到资源位置的映射,则可能会发生这种情况。

  • 确保为访问的目标配置了 TCP/UDP 或 HTTP 应用程序。
  • 确保用户订阅了所访问目标的应用程序。
  1. 转到管理门户中的应用程序。
  2. 编辑应用程序并转到 订阅 标签。
  3. 确保目标用户在订阅列表中有一个条目。
  4. 确保 应用领域 table 具有目标和相应的资源位置。

无法获取已配置的应用程序目标列表

信息代码: 0x001800D3

  • 确保至少配置了一个 TCP/UDP/HTTP 应用程序。 有关详细信息,请参阅 添加和管理应用程序.
  • 确保应用程序域表 (Secure Private Access > 设置 > 应用领域) 页面不为空或并非所有条目都被禁用。 在 TCP/UDP/HTTP 应用程序中配置的目标将自动添加到此表中。 建议不要删除或禁用应用程序域中活动 TCP/UDP/HTTP 应用程序的目标或 URL。

应用程序配置问题

应用程序配置包含特殊字符或某些策略配置问题。

信息代码: 0x001800D9、0x001800DA

:确保以下事项:

  • 应用程序配置不包含不支持的字符。
  • 目标 IP 地址或 IP 地址范围或 IP CIDR 有效。
  • 应用程序目标在应用程序域表 (Secure Private Access > 设置 > 应用领域).
  • 策略已配置并绑定到相应的应用程序。
  • 访问策略配置正确。

资源位置问题

信息代码: 0x001800DB

  • 确保已配置资源位置。

    1. 在 Citrix Cloud 汉堡菜单中,选择 资源位置.
    2. 确保已配置预期的资源位置,并且资源位置处于活动状态。
  • 确保在应用程序域表 (Secure Private Access > 设置 > 应用领域).

在 TCP/UDP/HTTP 应用程序中配置的目标将自动添加到此表中。 建议不要在应用程序域表中删除或禁用活动 TCP/UDP/HTTP 应用程序的目标或 URL。

增强的安全策略已绑定到 HTTP 应用程序

信息代码: 0x001800DC、0x001800DD 0x13000006

通过 Citrix Secure Access 客户端访问绑定了增强安全策略的 HTTP 应用程序。

  • 确保 TCP/UDP 和 HTTP 应用程序不使用相同的目标。
  • 如果为 HTTP/HTTPS 应用程序启用了增强的安全策略,则建议仅通过 Citrix Workspace 应用程序或 Citrix Remote Browser Isolation 服务访问应用程序。
  • 禁用 HTTP/HTTPS 应用程序的增强安全控制,以便通过 Citrix Secure Access 客户端访问应用程序。

    • 转到 Secure Private Access 管理员门户。
    • 单击 应用 选项卡,然后搜索访问的目标 HTTP/HTTPS 应用程序的策略名称。
    • 单击 访问策略 选项卡并搜索之前确定的策略名称。
    • 选择策略,然后单击 编辑.
    • 将操作从 允许访问(带限制)允许访问。

有关配置的详细信息,请参阅 添加和管理应用程序.

注意:

Citrix Remote Browser 隔离服务以前称为 Secure Browser 服务。

主机名长度超过 256 个字符

信息代码: 0x001800EA

应用程序启动请求中收到的主机名超过 256 个字符。

建议 FDQN 字符不超过 256 个字符。

IP 地址无效

信息代码: 0x001800ED

在应用程序启动请求中收到的 IP 地址无效。

建议仅从客户端访问有效的私有 IP 地址。

无法建立端到端连接

信息代码: 0x001800EF

无法在客户端和资源位置中配置的服务器之间建立端到端连接。

  • 确保资源位置处于活动状态。
    • 在 Citrix Cloud 汉堡菜单中,选择 资源位置.
    • 在相应的资源位置上对连接器设备运行运行状况检查。
    • 如果这无法解决问题,请重新启动连接器虚拟机。
  • 维护高可用性 Connector 设备
    • 在 Citrix Cloud 汉堡菜单中,选择 资源位置.
    • 确保资源位置至少有两个连接器设备。
  • :确保以下事项:

    • 资源位置 LAN 处于工作状态。
    • 中间没有防火墙或代理阻止 Connector Appliance 连接到服务或后端服务器。
    • 客户端网络正常。
    • 后端专用服务器运行状况良好。
    • DNS 服务器运行状况良好。
    • FQDN 是可解析的。

如果这些没有问题,请执行以下操作:

  1. 从诊断日志中获取此错误的事务 ID。
  2. 在 Secure Private Access 服务控制面板中筛选与事务 ID 匹配的所有事件。
  3. 从 Secure Private Access 服务控制面板检查与事务 ID 对应的诊断日志,然后相应地采取适当的措施。
  4. 检查是否在应用程序域表 (Secure Private Access > 设置 > 应用领域).
  5. 检查应用程序是否已配置 (Secure Private Access > 应用) 替换为正确的 IP 地址、端口和 FQDN。

如果这些步骤都无法解决问题,请联系 Citrix 支持部门并提供与事务 ID 对应的错误代码并收集客户端日志。

要收集客户端调试日志,请参阅 如何收集客户端日志.

在应用程序请求中收到的 IPv6

信息代码: 0x001800F5

在应用程序请求中收到不支持的 IPv6。 目前仅支持 IPv4。

编辑应用程序以修复应用程序 IP 地址问题。

  1. 转到 Secure Private Access 管理员门户。
  2. 单击应用程序选项卡。
  3. 搜索应用程序,然后单击 编辑.

有关详细信息,请参阅 添加和管理应用程序.

UDP 流量无法传输

信息代码: 0x001800F9

由于客户端连接丢失,UDP 流量无法传输

  1. 检查客户端会话是否处于活动状态。
  2. 注销,然后重新登录。

UDP 数据流量传输失败

信息代码: 0x001800FF

  • 在 Secure Private Access 服务控制面板中查找错误代码的事务 ID,并筛选与事务 ID 匹配的所有事件。
  • 检查与交易 ID 匹配的其他组件中是否发生任何错误。 如果在其他组件中发现问题,请相应地采取适当的措施。
  • 如果这无法解决问题,请联系 Citrix 技术支持并提供错误代码以及相应的事务 ID。

由于网络连接问题,应用程序启动失败

信息代码: 0x10000401

由于连接器设备和 Secure Private Access 服务之间的网络连接问题,应用程序启动失败

  1. 检查 Connector 设备的公共 Internet 连接。
  2. 检查是否有任何代理或防火墙规则阻止连接。
  3. 如果任何问题是由任何代理引起的,请绕过该代理并再次尝试启动应用程序。
  4. 检查连接器设备的运行状况 (Citrix 云 > 资源位置).

有关网络设置的详细信息,请参阅 连接器设备的网络设置.

连接器设备无法注册到 Secure Private Access 服务

信息代码: 0x10000402、0x1000040C

  1. 转到 Connector Appliances 管理页面并检查 Connector Summary (连接器摘要)。
  2. 如果连接器状态不佳,请转到管理门户中的资源位置。
  3. 在相应的资源位置上对连接器设备运行运行状况检查。
  4. 如果运行状况检查失败,请重新启动连接器虚拟机。
  5. 检查连接器摘要并再次运行运行状况检查。

有关网络设置的详细信息,请参阅 连接器设备的网络设置.

连接器设备的连接问题

信息代码: 0x10000403、0x10000404、0x10000407、0x1000040A、0x1000040B、0x1000040F 0x10000410

  • 查找错误代码的交易 ID。
  • 在 Secure Private Access 控制面板中筛选与交易 ID 匹配的所有事件。
  • 检查与交易 ID 匹配的其他组件中是否发生了任何错误(如果找到),请执行与该错误代码匹配的相应解决方法。
  • 如果在其他组件中未发现错误,请执行以下操作:

  • 请与 Citrix 技术支持联系,并提供此诊断报告和数据包跟踪以及错误代码和事务 ID。

连接器设备和后端专用 TCP/UDP 服务器的连接问题

信息代码: 0x10000405、0x10000408、0x10000409、0x1000040D、0x1000040E 0x10000412

连接器设备与后端专用 TCP/UDP 服务器存在连接问题。

  • 检查最终用户尝试连接的后端服务器是否已启动并正在运行,并且能够接收请求。
  • 检查后端服务器从公司网络内部的可访问性。
  • 检查代理设置,查看连接器是否被阻止访问后端服务器。
  • 如果请求基于 FQDN 的应用程序,请检查 DNS 服务器中相应应用程序的 DNS 条目。

连接器设备无法解析 FQDN 的 DNS

信息代码: 0x10000406

私人服务器连接已终止

信息代码: 0x10000411

与私有服务器的连接由客户端或 Secure Private Access 服务终止。

  1. 检查最终用户是否已关闭应用程序。
  2. 检查与此日志的事务 ID 匹配的其他诊断日志,并相应地采取适当的措施。
  3. 再次启动应用程序。
  4. 如果这无法解决问题,请联系 Citrix 技术支持并提供错误代码和事务 ID。

无法将数据连接或发送到私有服务 IP 或 FQDN

信息代码: 0x10000413

  • 私人服务器连接已终止
  • [连接器设备和后端专用 TCP/UDP 服务器的连接问题](/zh-cn/citrix-secure-private-access/service/secure-private-access-troubleshooting。 html#connectivity-issues-with-connector-appliance-and-backend-private-tcpudp-servers)的 查看路由域条目。 确保 IP 地址有效并指向正确的后端。

无匹配策略条件

信息代码: 0x100508

用户上下文与分配给应用程序的策略中定义的访问规则条件不匹配。

更新策略配置以匹配用户的上下文。

没有与应用程序关联的访问策略

信息代码: 0x100509

  1. 在 Citrix Secure Private Access 服务 GUI 中,单击 访问策略 在左侧导航栏中。
  2. 确保访问策略与相应的应用程序相关联。
  3. 如果访问策略未与 App 关联,请为 App 创建访问策略。 有关详细信息,请参阅 创建访问策略

  4. 如果这无法解决问题,请联系 Citrix 支持部门。

未找到 FQDN 或 IP 地址的应用程序配置

信息代码: 0x10050A

未找到与传入 FQDN 或 IP 地址请求匹配的应用程序。 因此,该应用程序被归类为未发布的应用程序。 如果这不是预期的,请执行以下操作。

  1. 转到 Secure Private Access 服务管理员门户。
  2. 点击 应用 在左侧导航栏中。
  3. 搜索应用程序,然后单击 编辑.
  4. 将 FQDN 或 IP 地址添加到应用程序。 您可以添加确切的域、IP 地址或通配符域。

    注意: 在 中添加 FQDN 或 IP 地址 Secure Private Access > 设置 > 应用领域 不解决该问题。 它必须作为应用程序配置的一部分添加。

应用程序枚举信息

信息代码: 0x10050C

此代码捕获用户可能有权访问的多个应用程序的策略评估结果。 应用程序访问可能由于以下原因而被拒绝:

  • 用户上下文与分配给应用程序的策略中定义的访问规则条件不匹配 – 有关详细信息,请参阅 无匹配策略条件.
  • 没有与应用程序关联的访问策略 – 有关详细信息,请参阅 没有与应用程序关联的访问策略.
  • 与应用程序关联的策略配置为拒绝访问 – 在这种情况下,无需执行任何操作,因为这是预期的。
  • 意外 实施访问策略时出现内部错误。 有关详细信息,请联系 Citrix 技术支持。

TCP/UDP 应用程序启动失败,因为应用程序域表中缺少路由条目

信息代码: 0x00180101

如果应用程序配置存在,但路由条目缺失或以前已删除,则可能会出现此问题。

添加路由条目 (Secure Private Access > 设置 > 应用领域) 访问的目标。

TCP/UDP 应用程序启动失败,因为连接器运行状况不佳

信息代码: 0x00180102

如果没有任何连接器启动/响应新连接,则可能会出现此问题。

在相应的资源位置上对连接器设备运行运行状况检查。

UDP/DNS 请求失败,因为无法访问连接器

信息代码: 0x00180103

如果 UDP/DNS 流量无法到达连接器,则可能会出现此问题。

在相应的资源位置上对连接器设备运行运行状况检查。

信息代码: 0x20580001

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

由于网络故障,访问策略获取失败

信息代码: 0x20580002

  1. 检查 URL 和网络连接。
  2. 重新启动浏览器并尝试再次打开应用程序。
  3. 如果这无法解决问题,请联系 Citrix 支持部门。

解析 JSON Web 令牌时访问策略获取失败

信息代码:0x20580003

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

网络无法获取访问策略详细信息

信息代码:0x20580004

  1. 检查访问策略是否开启。
  2. 重新启动浏览器并尝试再次打开应用程序。
  3. 如果这无法解决问题,请联系 Citrix 支持部门。

获取公有证书时策略提取失败

信息代码: 0x20580005

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

验证 JSON Web 令牌的签名时策略获取失败

信息代码: 0x20580007

  1. 检查网络时间和用户设备时间是否同步。
  2. 重新启动浏览器并尝试再次打开应用程序。
  3. 如果这无法解决问题,请联系 Citrix 支持部门。

验证公有证书时策略提取失败

信息代码: 0x20580008

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

无法确定存储环境以形成策略 URL

信息代码: 0x2058000A

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

未能获得访问策略获取请求的响应

信息代码: 0x2058000B

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

由于辅助 DS 身份验证令牌过期,访问策略获取失败

信息代码: 0x2058000C

  1. 重新启动浏览器并尝试再次打开应用程序。
  2. 如果这无法解决问题,请联系 Citrix 支持部门。

连接器设备未注册

信息代码: 0x10200002

检查 Connector Appliance 注册。

有关详细信息,请参阅 向 Citrix Cloud 注册您的连接器设备.

无法连接到 Connector 设备

信息代码: 0x10200003

连接器设备无法在 Citrix Cloud 和资源位置之间进行通信。

检查连接器注册。

有关详细信息,请参阅 向 Citrix Cloud 注册您的连接器设备.

连接到 Citrix Secure Private Access 服务失败

信息代码: 0x10000301

检查 Connector Appliance 网络设置。 有关详细信息,请参阅 连接器设备的网络设置.

无法访问代理服务器

信息代码: 0x10000303、0x10000304

检查代理服务器设置,并确保连接器设备可以访问它。 有关详细信息,请参阅 向 Citrix Cloud 注册您的连接器设备.

代理服务器身份验证失败

信息代码: 0x10000305

检查代理服务器凭据,并确保它们在连接器设备中配置正确。 有关详细信息,请参阅 注册连接器设备后.

无法访问已配置的代理服务器

信息代码: 0x10000306

检查 Connector Appliance 网络设置、防火墙设置或代理服务器设置。 有关详细信息,请参阅以下主题:

收到来自后端服务器的错误响应

信息代码: 0x10000307

检查后端 Web 服务器的 HTTP 状态代码(如果不是预期的代码)。

无法向目标 URL 发送请求

信息代码: 0x10000005

检查目标 URL 或检查 Connector Appliance 网络设置。 有关详细信息,请参阅 连接器设备的网络设置.

无法处理 SSO

信息代码: 0x10000107

无法从 Citrix Cloud 检索应用程序配置数据。

检查连接器设备网络设置,确保 NTP 服务器已配置,并且没有时间条问题。 有关详细信息,请参阅 连接器设备的网络设置.

与 Citrix Secure Private Access 服务的连接失败

信息代码: 0x10000108、0x1000010B

检查 Connector Appliance 网络设置。 有关详细信息,请参阅 连接器设备的网络设置.

无法处理 SSO,无法确定 SSO 设置

信息代码: 0x1000010A

检查 SSO 配置,并确保连接器设备可以访问服务器。

FormFill SSO 失败,表单应用程序配置不正确

信息代码: 0x10000101、0x10000102、0x10000103 0x10000104

检查 SSO 表单应用程序配置,并确保在应用程序设置中正确配置了用户名、密码、操作和登录 URL 字段。

Kerberos SSO 失败

信息代码: 0x10000202

检查后端服务器和域控制器上的 Kerberos SSO 设置。 此外,请检查回退 NTLM 身份验证设置。

有关 Kerberos SSO 设置,请参阅 验证 Kerberos 配置.

无法处理身份验证类型的 SSO

信息代码: 0x10000203

检查 Secure Private Access 服务和后端服务器中的 SSO 设置。 有关 Secure Private Access 服务,请参阅 设置首选登录方法.

Kerberos SSO 失败,但回退到 NTLM

信息代码: 0x10000204

从域控制器检索 Kerberos 票证失败。 作为辅助身份验证,连接器设备已尝试回退 NTLM 身份验证。

要启用成功的 Kerberos 身份验证,请检查后端服务器和域控制器上的 Kerberos SSO 设置。

有关详细信息,请参阅 验证 Kerberos 配置.

在 Citrix Workspace 应用程序中配置的多个 ZTNA 授权帐户

信息代码: 0x14000001

在 Citrix Workspace 应用程序中仅配置一个 ZTNA 授权帐户。

如何收集客户端日志

  • Windows 客户端:

    1. 打开应用程序并确保已启用日志记录。
    2. 现在连接到 Secure Private Access 服务并复制您面临的问题。
    3. 在应用程序中,转到 伐木 ,然后单击 收集日志文件. 这将生成日志文件。
    4. 将日志文件保存在客户端计算机的桌面上。
  • Mac 客户端:

    1. 打开应用程序并转到 原木 > 详细.
    2. 清除日志并继续重现问题。
    3. 返回 原木 > 导出日志. 这将创建一个包含日志文件的 zip 文件。

常见问题解答

什么是 Secure Private Access 诊断日志

Secure Private Access 诊断日志捕获用户访问任何应用程序 (Web/SaaS/TCP/UDP) 时发生的所有事件。 这些日志捕获设备状态、应用程序身份验证、应用程序枚举和应用程序访问日志。 详细信息以表格格式显示。 您可以查看预设时间或自定义时间线的日志。 您可以通过单击 + 号向图表添加列,具体取决于您希望在控制面板中看到的信息。 您可以将用户日志导出为 CSV 格式。

在哪里可以找到 Secure Private Access 日志

  1. 登录到 Citrix Cloud。
  2. 在 Secure Private Access 服务磁贴上,单击 管理.
  3. 点击 挡泥板 在 Admin 用户界面的左侧导航栏中。
  4. 诊断日志 图表中,单击 查看更多 链接。

哪个小组件显示 Secure Private Access 诊断日志

诊断日志 widgets 中的 日志记录和故障排除 部分显示与身份验证、应用程序启动、应用程序枚举相关的所有 Secure Private Access 事件的饼图视图,以及与设备状态相关的日志。 Secure Private Access 诊断日志从多个内部组件获取事件,每个组件在最终用户访问应用程序时发送一个事件。 这些事件分为几类; 登录/注销, 应用程序枚举App 访问. 饼图显示每个类别的总体成功/失败比率。 单击任何图表上的彩色饼图将转到诊断日志,您可以在其中找到相应的事件。 如果您启用了 Device Posture 服务,则还会提供设备状态日志。 您还可以单击 查看更多 链接以查看完整的诊断日志。

诊断日志

详细视图

我可以在 Secure Private Access 诊断日志中找到哪些详细信息

默认情况下,Secure Private Access 用户日志控制面板提供以下详细信息。

  • 时间戳 - 事件时间(UTC 格式)。
  • 用户名 - 访问应用程序的最终用户的用户名。
  • 应用名称 - 访问的应用程序的名称。
  • 策略信息 - 显示在事件期间触发的一个或多个访问策略的名称。
  • 地位 - 显示事件的状态、成功或失败。
  • 信息代码 - Secure Private Access 诊断日志控制面板中的每个失败事件都有一个关联的信息代码。 查看有关 info code 的更多信息.
  • 描述 - 显示失败的原因或有关事件的更多详细信息。
  • 应用 FQDN:访问的应用程序的 FQDN
  • 事件类型 - 显示与执行的操作关联的事件类型。
  • 操作类型 - 显示为其生成日志的操作。
  • 类别 - 根据活动类型,有三个类别可供选择。 即应用程序身份验证、应用程序枚举或应用程序访问。 这些选项也可用作过滤器选项。 您可以使用这些选项根据您面临的问题类型筛选日志。
  • 交易 ID - 事务 ID 将访问请求的所有 Secure Private Access 日志关联起来。 了解如何使用交易 ID. 单击仪表板最右侧的 + 按钮可以获取以下详细信息:
  • SPA PoP 位置 - 显示在应用程序访问期间使用的 Secure Private Access 服务 PoP 位置的名称/ID。 看 安全的私有访问 PoP 位置.

如何筛选诊断日志

您可以使用 添加过滤器 选项,根据各种条件(如应用程序类型、类别、描述)来优化搜索。 例如,在搜索字段中,您可以单击交易 ID、=(等于某个值),然后输入 21538289-0c88-414a-9de2-7f3e32a1470b,以搜索与该交易 ID 相关的所有日志。 有关可与 filter 选项一起使用的搜索运算符的详细信息,请参阅 搜索运算符.

按用户名筛选

按 ID 筛选

您还可以使用各种筛选条件选项来优化对 Device Posture (设备状态) 日志的搜索。

设备姿态日志

Secure Private Access 诊断日志中捕获了哪些事件

Secure Private Access 诊断日志捕获以下事件:

  • 设备状态: 最终用户设备状态。 这些日志捕获有关设备状态结果的信息。 根据您的设备状态策略,设备是否被视为合规、不合规或被拒绝访问。
  • 登录/注销:有关最终用户登录或注销 Citrix Secure Access 客户端以及对工作区(内部或外部提供商)的身份验证的事件。
  • 应用程序枚举:在 Secure Private Access 服务中,管理员配置的访问策略决定哪个用户可以访问哪个应用程序。 被拒绝的应用程序对 Citrix Workspace 应用程序中的最终用户不可见(未列举)。 这些事件可帮助您根据 Secure Private Access 服务中配置的访问策略了解允许或拒绝哪些应用程序访问用户。
  • App 访问:根据所选时间间隔内配置的访问策略,最终用户应用程序/端点访问、允许/拒绝状态、单点登录状态和连接状态的事件。

如何使用 Secure Private Access 故障排除主题来解决我遇到的故障

  1. 获取 信息代码 对于您尝试解决的故障。
  2. 错误查找表.
  3. 按照为该信息代码提供的解决步骤进行操作。

什么是信息代码? 我在哪里可以找到它们

某些日志事件(如失败)具有关联的信息代码。 在 错误查找表 以查找解决步骤或有关该事件的更多信息。

什么是交易 ID? 我该如何使用它

通过 Citrix Enterprise Browser 访问失败/问题会向最终用户显示事务 ID。 管理员可以从最终用户那里获取此事务 ID,并使用此事务 ID 来 滤波器 导致问题的确切日志,使他们能够识别确切的问题。 管理员使用交易 ID 筛选事件后,仅显示与手头问题相关的事件,并向管理员提供有关失败或问题发生原因的所有详细信息。 然后,管理员可以使用 错误代码 以进一步解决问题。

所有 Secure Private Access PoP 位置都有哪些

以下是 Secure Private Access PoP 位置的列表。

PoP 名称 区域 地理区域
az-us-e Azure eastus 弗吉尼亚州
az-us-w Azure westus 加利福尼亚
az-us-sc Azure southcentralus 得克萨斯州
az-aus-e Azure 澳大利亚东部 新南威尔士州
az-eu-n Azure northeurope 爱尔兰
az-eu-w Azure westeurope 荷兰
az-jp-e Azure japaneast 东京, 埼玉县
AZ-BZ-S Azure 巴西南部 圣保罗州
az-asia-se Azure 东南亚 新加坡
az-阿联酋-n Azure uaenorth 迪拜
az-in-s Azure southindia 钦奈
az-asia-hk (亚洲香港) Azure 东亚 香港

如果我无法使用 info 代码和错误查找表解决我的失败,该怎么办

联系 Citrix 技术支持.

引用

日志记录和故障排除

在本文中