Fehlerbehebung bei der Authentifizierung

Terminalserver-Benutzer, z. B. von Citrix, müssen sich über einen Thin Client anmelden. Falls die Authentifizierung fehlschlägt, befolgen Sie die unten stehenden Schritte zur Fehlerbehebung.

Ausgabe

Terminalserver-Benutzer können sich nicht authentifizieren.

Es gibt viele Gründe, warum sich Benutzer möglicherweise nicht authentifizieren können. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Ihre Systeme korrekt konfiguriert sind, und beheben Sie etwaige Probleme.

Lösung

1. Melden Sie sich an der Befehlszeilenschnittstelle der Sophos Firewall an.
2. Option auswählen 4. Gerätekonsole.

3. Geben Sie folgenden Befehl ein:

   system auth thin-client show 

   Dieser Befehl listet die IP-Adressen Ihrer Terminalserver auf. Stellen Sie sicher, dass alle erwarteten IP-Adressen angezeigt werden.

4. Falls der Terminalserver im vorherigen Schritt nicht angezeigt wird, fügen Sie ihn mit folgendem Befehl hinzu:

   system auth thin-client add citrix-ip IPADDRESS 

   Ersetzen Sie IPADDRESS durch die IP-Adresse des Servers.

5. Überprüfen Authentifizierungsservereinstellungen in der Sophos Firewall. Gehen Sie zu Authentifizierung > Dienstleistungen und stellen Sie sicher, dass der Active Directory-Server ausgewählt ist unter Firewall-Authentifizierungsmethoden.

6. Prüfen Sie, ob Ihr Terminalserver so konfiguriert ist, dass er SATC-Ereignisse an die Sophos Firewall sendet. Siehe SATC auf einem Windows-Server über die Registrierung einrichten.
7. Prüfen Sie, ob auf dem Server Proxy- oder Sicherheitssoftware installiert ist, die den Quellport ändern könnte. In diesem Fall liegt ein Portkonflikt in der Sophos Firewall vor, und der Datenverkehr wird als nicht authentifiziert behandelt.

Häufige Kerberos- und NTLM-Probleme beheben.

Ausgabe

Bei der Authentifizierung von Clientgeräten schlägt die Aktivierung von Kerberos und NTLM fehl.

Zu den häufigsten Ursachen für Authentifizierungsfehler zählen Konfigurationsfehler, Fehler beim Domänenbeitritt und, im Falle von Kerberos, eine nicht übereinstimmende Schlüsselversionsnummer (KVNO) zwischen den Endpunkten und der Sophos Firewall.

Lösung

1. Gehe zu Authentifizierung > Server.

2. Klicken Sie auf Ihren AD-Server und dann auf Testverbindung.

   Wenn die Verbindung fehlschlägt, müssen Sie die AD-Konnektivitätsprobleme beheben. Wenn die Verbindung erfolgreich ist, fahren Sie mit den folgenden Schritten fort.

3. Prüfen Sie, ob eine Firewall-Regel vorhanden ist, die Kerberos- und NTLM-Datenverkehr für die betroffenen Clients zulässt. Regeln und Richtlinien > Firewall-Regeln.

4. Gehe zu Verwaltung > Gerätezugriff und stellen Sie sicher AD SSO ist für die Zone konfiguriert, aus der sich Clients authentifizieren. Dies ist typischerweise Ihre LAN-Zone.
5. Wenn Sie die Sophos Firewall als expliziten Proxy konfiguriert haben, stellen Sie sicher, dass der Hostname in den Browsereinstellungen verwendet wird. Der Client unterstützt nur die NTLM-Authentifizierung, wenn Sie eine IP-Adresse verwendet haben.
6. Melden Sie sich an der Befehlszeilenschnittstelle der Sophos Firewall an.
7. Option auswählen 5. Geräteverwaltung dann Option 3. Erweiterte Shell.
8. Verwenden Sie den folgenden Befehl, um zu überprüfen, ob der NASM-Dienst ausgeführt wird: service -S | grep -i "nasm"
9. Wenn der Proxy-Name zwischen Client und Sophos Firewall nicht übereinstimmt, stellen Sie sicher, dass der Host-Eintrag in AD für Sophos Firewall mit dem unter folgenden Einstellungen konfigurierten Hostnamen übereinstimmt: Verwaltung > Administratoreinstellungen > Hostname.
10. Wenn der KVNO nicht übereinstimmt, muss sich der Benutzer ab- und wieder anmelden oder die Sophos Firewall erneut der Domäne hinzufügen. Dieses Problem tritt normalerweise auf, wenn der Hostname der Sophos Firewall geändert wurde.

Ausgabe

Die NTLM-Authentifizierung schlägt fehl, wenn versucht wird, sich über Active Directory SSO mit NTLM und dem HTTP-Proxy im transparenten Modus zu authentifizieren. Der Browser zeigt ein Popup an, in dem nach Anmeldeinformationen gefragt wird, oder leitet die Benutzer zum Captive Portal weiter.

Browser senden Anmeldeinformationen (Single Sign-On) nur dann automatisch, wenn sie sicher sind, dass die anfragende Website lokal ist. Das heißt, entweder muss die anfragende Website nur als Hostname (ohne Domain, z. B. meinefirewall) angegeben werden, oder der Browser muss der anfragenden Website vertrauen.

Die Sophos Firewall ist standardmäßig so konfiguriert, dass der Proxy an eine URL mit der IP-Adresse weitergeleitet wird. Sie müssen dies ändern, um entweder einen Hostnamen ohne IP-Adresse oder einen FQDN zu verwenden.

Lösung

1. Konfigurieren Sie einen Hostnamen auf der Sophos Firewall. Gehen Sie zu Verwaltung > Administratoreinstellungen > Hostname.

   1. Geben Sie einen ein Hostname: Sie müssen einen vollqualifizierten Domänennamen (FQDN) verwenden, der mit der Domäne Ihrer Organisation übereinstimmt. Zum Beispiel: meinefirewall.meinefirma.com.

2. Wählen Sie ein Zertifikat aus, dem Browser automatisch vertrauen.

   Notiz

   Das auf der Sophos Firewall installierte selbstsignierte Zertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle und enthält weder den konfigurierten Hostnamen noch den FQDN. Um Browserwarnungen zu Zertifikaten zu beheben, muss das Zertifikat den Hostnamen oder FQDN abdecken, an den der Datenverkehr umgeleitet wird.

   1. Wenn Sie ein neues Zertifikat installieren müssen, das den Hostnamen der Sophos Firewall abdeckt, können Sie dies im Menü „Zertifikate“ tun. Weitere Informationen finden Sie unter [Link einfügen]. Installieren Sie eine untergeordnete Zertifizierungsstelle (CA) für die HTTPS-Prüfung..

   2. Unter Interaktion zwischen Administratorkonsole und Endbenutzer > Zertifikat: Wählen Sie das zu verwendende Zertifikat aus dem Dropdown-Menü aus.

      Das Zertifikat kann von einer öffentlichen Zertifizierungsstelle erworben und von allen Clients automatisch als vertrauenswürdig eingestuft werden. Alternativ kann es sich um ein selbstsigniertes Zertifikat einer internen Zertifizierungsstelle handeln, dem die Endpunktcomputer vertrauen.

3. Legen Sie die Proxy-Umleitungs-URL fest.

   1. Um den konfigurierten FQDN der Sophos Firewall zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Interaktion zwischen Administratorkonsole und Endbenutzer: und wählen Sie Verwenden Sie den konfigurierten Hostnamen der Firewall..

   2. Um einen anderen FQDN oder einen einfachen Hostnamen zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Interaktion zwischen Administratorkonsole und Endbenutzer, wählen Verwenden Sie einen anderen Hostnamen: und geben Sie den Hostnamen ein, den Sie verwenden möchten.

      Notiz

      Stellen Sie sicher, dass der Endpunktcomputer die Sophos-Firewall mit der von Ihnen gewählten Methode auflösen kann. Gegebenenfalls müssen Sie Einträge zu Ihrem DNS-Server hinzufügen.

4. Wenn Sie die Weiterleitung mit einem reinen Hostnamen durchführen, erkennt der Browser, dass der Anfragende lokal ist und vertraut ihm automatisch bei der Durchführung von SSO.

5. Wenn Sie eine Weiterleitung über einen FQDN vornehmen, konfigurieren Sie Ihren Browser mithilfe von AD-Gruppenrichtlinien so, dass er dem FQDN der Sophos-Firewall vertraut. Alternativ können Sie den FQDN wie folgt manuell zu einem Browser hinzufügen:

   Microsoft Edge und Google Chrome

   1. Öffnen Sie die Windows-Systemsteuerung.
   2. Gehe zu Internetoptionen > Sicherheit > Lokales Intranet.
   3. Klicken Websites: und dann Fortschrittlich.
   4. Geben Sie den FQDN in das Feld ein. Füge diese Website der Zone hinzu und klicken Hinzufügen.

   Firefox

   1. Typ about:config Geben Sie die Adresse in die Firefox-Adressleiste ein und drücken Sie die Eingabetaste.
   2. Geben Sie den FQDN ein in network.automatic-ntlm-auth.trusted-uris.

Ausgabe

Die Kerberos-Authentifizierung schlägt fehl, wenn versucht wird, sich über Active Directory SSO mit Kerberos und dem HTTP-Proxy im transparenten Modus zu authentifizieren. Daher greift der Browser auf NTLM oder das Captive Portal zur Authentifizierung zurück.

Browser führen eine automatische Kerberos-Anmeldung (Single Sign-On) nur dann durch, wenn sie sicher sind, dass die Website, die Anmeldeinformationen anfordert, Teil der Kerberos-Domäne ist. In diesem Fall muss die anfordernde Website, die Sophos Firewall, einen Hostnamen oder FQDN für die Umleitung verwenden, der mit dem Dienstprinzipalnamen (SPN) der Firewall auf dem Active Directory-Server (AD) übereinstimmt.

Lösung

1. Konfigurieren Sie einen Hostnamen auf der Sophos Firewall. Gehen Sie zu Verwaltung > Administratoreinstellungen > Hostname.

   Geben Sie einen Hostnamen ein. Sie müssen einen vollqualifizierten Domänennamen (FQDN) verwenden, der mit der Domäne Ihrer Organisation übereinstimmt. Zum Beispiel: myfirewall.mycompany.com.

   Wenn die Sophos Firewall der AD-Domäne beitritt, erhält sie einen AD-Computernamen, und es werden automatisch zwei SPN-Einträge erstellt.

   • Für den reinen Hostnamen wird ein SPN erstellt. Dies ist der erste Teil des FQDN, den Sie konfigurieren. Administratoreinstellungen > Hostname Feld.
   • Es wird ein SPN für den reinen Hostnamen erstellt, gefolgt von der AD-Domäne.

   Wenn Sie also die Sophos-Firewall konfigurieren Hostname Das Feld soll myfirewall.mycompany.com lauten und der AD-Domäne mycompany.local beitreten. Es werden zwei SPNs erstellt: myfirewall und myfirewall.mycompany.local.

   Warnung

   Bei vielen Kunden ist der in DNS und Active Directory verwendete Domänenname identisch, d. h. der DNS-FQDN und der Active Directory-Computername stimmen überein. Der automatisch erstellte SPN stimmt mit dem überein. Administratoreinstellungen > Hostname Angenommen, Ihr DNS und Ihr Active Directory verwenden unterschiedliche Domänennamen, z. B. mycompany.com und mycompany.local, und Sie möchten den DNS-Namen für die Umleitung verwenden. In diesem Fall müssen Sie den SPN manuell auf Ihrem AD-Domänencontroller erstellen.

2. Legen Sie die Proxy-Umleitungs-URL fest. Dies kann der konfigurierte FQDN, ein anderer FQDN (z. B. der AD-Computername) oder ein einfacher Hostname sein. Der verwendete Wert muss mit einem SPN übereinstimmen.

   1. Um den konfigurierten FQDN der Sophos Firewall zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Interaktion zwischen Administratorkonsole und Endbenutzer: und wählen Sie Verwenden Sie den konfigurierten Hostnamen der Firewall..

   2. Um einen anderen FQDN oder einen einfachen Hostnamen zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Interaktion zwischen Administratorkonsole und Endbenutzer und auswählen Verwenden Sie einen anderen Hostnamen: und geben Sie den Hostnamen ein, den Sie verwenden möchten.

      Notiz

      Stellen Sie sicher, dass der Endpunktcomputer die Sophos-Firewall mit der von Ihnen gewählten Methode auflösen kann. Gegebenenfalls müssen Sie Einträge zu Ihrem DNS-Server hinzufügen.

      Bei der Weiterleitung zur Durchführung von AD SSO versucht der Browser, einen SPN abzugleichen und muss diesem vertrauen, um die Kerberos-Authentifizierung durchführen zu können.

      • Handelt es sich um einen reinen Hostnamen, muss dieser mit dem automatisch erstellten reinen Hostnamen-SPN übereinstimmen.
      • Handelt es sich um einen AD-FQDN, muss dieser mit dem automatisch erstellten AD-Computernamen-FQDN-SPN übereinstimmen.
      • Handelt es sich um einen DNS-FQDN, muss dieser mit dem manuell erstellten DNS-SPN übereinstimmen.

Ausgabe

Der Name eines Endgeräts wird als Benutzername angezeigt in Live-Nutzer.

Endgeräte, die Webanfragen an das Betriebssystem stellen, während ein Benutzer nicht angemeldet ist, wie z. B. Windows Update, senden möglicherweise den Namen des Endgeräts in den SSO-Anmeldeinformationen anstelle eines Benutzernamens.

Lösung

Lassen Sie einen Benutzer sich am Endgerät anmelden.

Ausgabe

Bei Verwendung der NTLM-Authentifizierung werden die Benutzer auf das Captive Portal weitergeleitet.

Die NTLM-Authentifizierung ist fehlgeschlagen. Häufige Gründe für einen Fehler bei der NTLM-Authentifizierung sind folgende:

• Die Zugriffszeit des Benutzers ist beschränkt.
• Das Surf- oder Netzwerkverkehrskontingent des Benutzers wurde überschritten.
• Die eingegebenen Anmeldedaten sind falsch.

Lösung

• Prüfen Sie, ob für die betroffenen Benutzer eine Zugriffszeit, ein Surfzeitkontingent oder ein Netzwerkverkehrskontingent gilt. Siehe Profile.
• Stellen Sie sicher, dass der Benutzer die korrekten Anmeldedaten eingibt.

Ausgabe

Wenn die Firewall Datenverkehr von einer IP-Adresse erkennt, sendet sie eine Anfrage an den STAS-Collector, um Benutzerinformationen abzurufen. Während sie auf eine Antwort wartet, verwirft die Firewall den von dieser Adresse generierten Datenverkehr.

Es kann vorkommen, dass die Kommunikation zwischen der Firewall und dem STAS-Collector abbricht.

Lösung

Überprüfen Sie die folgenden Elemente auf dem Endpunktcomputer, auf dem der STAS-Collector installiert ist:

• Stellen Sie sicher, dass der Endgerätecomputer eingeschaltet ist.
• Stellen Sie sicher, dass der STAS-Dienst ausgeführt wird.
• Die UDP-Ports 6060 und 6677 müssen in der Windows-Firewall geöffnet sein.
• Stellen Sie sicher, dass keine Antivirenprogramme auf dem Endgerät die Kommunikation beeinträchtigen.
• Verfügt der Endpunktcomputer über mehrere Netzwerkkarten, prüfen Sie, ob STAS an eine andere Schnittstelle gebunden ist.

Überprüfen Sie die folgenden Punkte auf der Firewall:

• Befindet sich der STAS-Collector am entfernten Ende eines IPsec-Tunnels, stellen Sie sicher, dass Sie die SNAT-IP-Adresse für den systemgenerierten Datenverkehr konfigurieren.

Ausgabe

STAS-Benutzer können sich nicht über STAS anmelden, oder sie können sich zwar anmelden, werden aber nicht angezeigt. Aktuelle Aktivitäten > Live-Nutzer.

Es kann viele Gründe geben, warum man manche STAS-Nutzer nicht sieht. Live-Nutzer: Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie Ihre Umgebung korrekt konfiguriert haben und um etwaige Probleme zu beheben.

Lösung

Prüfen Sie Folgendes:

• Stellen Sie sicher, dass Sie die korrekten Anmeldeinformationen des externen Authentifizierungsservers auf der Sophos Firewall eingegeben haben.
• Stellen Sie sicher, dass Firewall und Server miteinander kommunizieren können.
• Stellen Sie sicher, dass Benutzer nur innerhalb des in der Zugriffszeitrichtlinie konfigurierten Zeitraums versuchen, auf das Internet zuzugreifen.
• Prüfen Sie, ob die Anzahl der angemeldeten Benutzer das konfigurierte Limit erreicht hat.
• Wenn Sie Anmeldebeschränkungen für Benutzer auf Basis einer IP-Adresse konfiguriert haben, können sich Benutzer nicht von einer anderen IP-Adresse aus anmelden.
• Prüfen Sie, ob die Benutzer das konfigurierte Surf- oder Netzwerkverkehrskontingent überschritten haben.
• Gehe zu Authentifizierung > Server: Wählen Sie Ihren AD-Server aus und stellen Sie sicher, dass Suchanfragen sind korrekt.

Ausgabe

DCOM-Fehler mit der Ereignis-ID 10009 oder 10028 können unter folgenden Bedingungen auftreten:

• Nach der Installation von STAS.
• STAS sendet WMI-Abfragen an nicht überwachte Netzwerke.

STAS kann keine Verbindung zu einem Endpunktcomputer über WMI herstellen oder WMI-Abfragen an nicht überwachte Netzwerke senden.

WMI funktioniert über DCOM und RPC. Wenn ein Endpunktcomputer nicht auf eine WMI-Abfrage antwortet, protokolliert die Windows-Ereignisanzeige die Ereignis-ID 10009 oder 10028.

Lösung

Um das Problem zu beheben, gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass die WMI-Kommunikation zwischen STAS und den Endpunktcomputern zugelassen ist. Siehe Systemsicherheit konfigurieren.
2. Gehen Sie in der STAS-Anwendung des Servers zu STA-Kollektor Tab.
3. Unter Sophos-Geräte: Klicken Sie auf die IP-Adresse des Sophos-Geräts und klicken Sie auf Bearbeiten.
4. Wählen Subnetzbasierte Filter aktivieren.
5. Geben Sie das Subnetz und die Subnetzmaske des Netzwerks ein, das Sie überwachen möchten. Dieses muss sich innerhalb des Netzwerks des Sophos-Geräts befinden.
6. Klicken OK.
7. (Optional) Sie können weitere Subnetze und Sophos-Appliance-IP-Adressen hinzufügen, die Sie überwachen möchten.
8. Gehe zu STA-Agent.
9. Unter Geben Sie die zu überwachenden Netzwerke an.: Fügen Sie das Netzwerk hinzu, das Sie hinzugefügt haben. STA-Kollektor Über diese Registerkarte können Sie weitere Netzwerke hinzufügen, die Sie überwachen möchten.
10. Klicken Anwenden, klicken OK: und klicken Sie Ja STAS neu starten.

Ausgabe

Einige STAS-Benutzer werden authentifiziert als LogonType: 1 aus unüberwachten Netzwerken.

Der STAS-Kollektor verarbeitet die LogonType: 1 und erkennt Abmeldungen anhand von WMI-Anfragen, weiß aber nicht, welche Netzwerke überwacht werden sollen. Dies ist das erwartete Verhalten.

Lösung

Sie müssen die subnetzbasierte Filterung in der STAS-Anwendung des Servers wie folgt konfigurieren:

1. Gehen Sie in der STAS-Anwendung des Servers zu STA-Kollektor Tab.
2. Unter Sophos-Geräte: Klicken Sie auf die IP-Adresse des Sophos-Geräts und klicken Sie auf Bearbeiten.
3. Wählen Subnetzbasierte Filter aktivieren.
4. Geben Sie das Subnetz und die Subnetzmaske des Netzwerks ein, das Sie überwachen möchten. Dieses muss sich innerhalb des Netzwerks des Sophos-Geräts befinden.
5. Klicken OK.
6. (Optional) Sie können weitere Subnetze und Sophos-Appliance-IP-Adressen hinzufügen, die Sie überwachen möchten.
7. Klicken Anwenden, klicken OK: und klicken Sie Ja STAS neu starten.

Diese Konfiguration stellt sicher, dass WMI-Anfragen nur für die konfigurierten Subnetze gestellt werden. Das folgende Protokoll erscheint ebenfalls in stas.log:

SSOclient_filter_CR_subnet: Workstation filtered out 

Ausgabe

Das Captive Portal erscheint erst nach 2 Minuten, da die Standard-Lernmodus-Dauer von STAS 120 Sekunden beträgt. Die Firewall zeigt das Captive Portal nach Ablauf dieser Zeit nicht authentifizierten Benutzern an. Siehe Nicht authentifizierter Datenverkehr.

Lösung

Sie können die Dauer des Lernmodus Ihren Bedürfnissen entsprechend anpassen.

Um die Dauer des Lernmodus zu ändern, gehen Sie wie folgt vor:

1. Melden Sie sich an der CLI-Konsole an. Siehe Zugriff auf die Befehlszeilenkonsole.
2. Typ 4 zu wählen Device Console.

3. Führen Sie den Befehl wie folgt aus:

   Syntax: system auth cta unauth-traffic drop-period <duration in seconds>

   Beispiel: system auth cta unauth-traffic drop-period 40