Fehlerbehebung bei der Authentifizierung
So untersuchen und lösen Sie häufige Authentifizierungsprobleme.
Weitere Informationen finden Sie im Abschnitt zur Fehlerbehebung für die von Ihnen verwendete Authentifizierungsmethode. Zur Fehlerbehebung bei der Authentifizierung benötigen Sie in der Regel Zugriff auf die Sophos Firewall und den Authentifizierungsserver sowie auf ein Clientgerät, dessen Authentifizierung fehlschlägt.
SATC
Thin Client-Benutzer können sich nicht anmelden
Notiz
Der Legacy SATC Client wird nicht mehr unterstützt. Wir empfehlen SATC-Benutzern die Migration zu Sophos Central Server Protection. Siehe Ausmusterungskalender für Sophos SG UTM, Sophos Firewall, Sophos Wireless, Sophos RED und andere Netzwerkprodukte.
Benutzer von Terminalservern wie Citrix müssen sich über einen Thin Client anmelden. Wenn die Authentifizierung fehlschlägt, führen Sie zur Behebung des Problems die folgenden Schritte aus.
Zustand
Terminalserverbenutzer können sich nicht authentifizieren.
Ursache
Es kann viele Gründe dafür geben, dass sich Benutzer nicht authentifizieren können. Führen Sie die folgenden Schritte aus, um die korrekte Konfiguration Ihrer Systeme zu überprüfen und etwaige Probleme zu beheben.
Abhilfe
- Melden Sie sich bei der Befehlszeilenschnittstelle der Sophos Firewall an.
- Variante wählen 4. Gerätekonsole.
-
Geben Sie den folgenden Befehl ein:
system auth thin-client show
Dieser Befehl listet die IP-Adressen Ihrer Terminalserver auf. Stellen Sie sicher, dass alle erwarteten IP-Adressen angezeigt werden.
-
Wenn Sie den Terminalserver im vorherigen Schritt nicht sehen, fügen Sie ihn mit dem folgenden Befehl hinzu:
system auth thin-client add citrix-ip IPADDRESS
Ersetzen Sie IPADDRESS durch die IP-Adresse des Servers.
-
Überprüfen Authentifizierungsservereinstellungen in der Sophos Firewall. Gehen Sie zu Authentifizierung > Leistungen und stellen Sie sicher, dass der Active Directory-Server unter Firewall-Authentifizierungsmethoden.
- Überprüfen Sie, ob Ihr Terminalserver so konfiguriert ist, dass er SATC-Ereignisse an die Sophos Firewall sendet. Siehe SATC auf einem Windows-Server über die Registrierung einrichten.
- Überprüfen Sie, ob auf dem Server Proxy- oder Sicherheitssoftware installiert ist, die den Quellport ändern könnte. Ist dies der Fall, weist die Sophos Firewall eine Port-Nichtübereinstimmung auf und behandelt den Datenverkehr als nicht authentifiziert.
NTLM und Kerberos
Fehlerbehebung bei NTLM und Kerberos
Beheben Sie häufige Kerberos- und NTLM-Probleme.
Zustand
Bei der Authentifizierung von Clientgeräten schlägt ein Fehler fehl, wenn Kerberos und NTLM konfiguriert sind.
Ursache
Einige häufige Ursachen für Authentifizierungsfehler sind: Konfigurationsfehler, Fehler beim Domänenbeitritt und im Fall von Kerberos eine nicht übereinstimmende Schlüsselversionsnummer (KVNO) zwischen Endpunkten und Sophos Firewall.
Abhilfe
- Gehe zu Authentifizierung > Server.
-
Klicken Sie auf Ihren AD-Server und dann auf Verbindung testen.
Wenn die Verbindung fehlschlägt, müssen Sie die AD-Konnektivitätsprobleme beheben. Wenn die Verbindung erfolgreich ist, fahren Sie mit den folgenden Schritten fort.
-
Überprüfen Sie, ob eine Firewall-Regel vorhanden ist, die Kerberos- und NTLM-Verkehr für die betroffenen Clients zulässt. Regeln und Richtlinien > Firewall-Regeln.
- Gehe zu Verwaltung > Gerätezugriff und stellen Sie sicher AD SSO ist für die Zone konfiguriert, aus der die Clients authentifiziert werden. Dies ist normalerweise Ihre LAN-Zone.
- Wenn Sie die Sophos Firewall als expliziten Proxy konfiguriert haben, stellen Sie sicher, dass in den Browsereinstellungen der Hostname verwendet wurde. Bei Verwendung einer IP-Adresse erlaubt der Client nur die NTLM-Authentifizierung.
- Melden Sie sich bei der Befehlszeilenschnittstelle der Sophos Firewall an.
- Variante wählen 5. Geräteverwaltung dann Option 3. Erweiterte Shell.
- Verwenden Sie den folgenden Befehl, um zu überprüfen, ob der NASM-Dienst ausgeführt wird:
service -S | grep -i "nasm"
- Wenn der Proxyname zwischen Client und Sophos Firewall nicht übereinstimmt, stellen Sie sicher, dass der Hostdatensatz in AD für Sophos Firewall mit dem unter folgendem Pfad konfigurierten Hostnamen übereinstimmt: Verwaltung > Administratoreinstellungen > Hostname.
- Wenn die KVNO nicht übereinstimmt, muss sich der Benutzer ab- und wieder anmelden oder die Sophos Firewall erneut der Domäne hinzufügen. Dieses Problem tritt normalerweise auf, wenn der Hostname der Sophos Firewall geändert wird.
Der Endpunktcomputer kann sich aufgrund der Umleitungs-URL nicht über NTLM authentifizieren
Zustand
Beim Versuch, sich über Active Directory SSO mit NTLM und dem HTTP-Proxy im transparenten Modus zu authentifizieren, schlägt die NTLM-Authentifizierung fehl. Der Browser zeigt ein Popup-Fenster mit der Aufforderung zur Eingabe von Anmeldeinformationen an oder leitet Benutzer zum Captive Portal weiter.
Ursache
Browser senden Anmeldeinformationen (Single Sign-On) nur dann automatisch, wenn sie sicher sind, dass die anfordernde Site lokal ist. Daher muss die anfordernde Site entweder ein einfacher Hostname sein (ohne Domäne, z. B. „myfirewall“), oder der Browser muss der anfordernden Site vertrauen.
Standardmäßig leitet die Sophos Firewall den Proxy auf eine URL mit der IP-Adresse um. Sie müssen dies ändern, um entweder einen reinen Hostnamen oder einen FQDN zu verwenden.
Abhilfe
-
Konfigurieren Sie einen Hostnamen auf der Sophos Firewall. Gehen Sie zu Verwaltung > Administratoreinstellungen > Hostname.
- Geben Sie einen Hostname. Sie müssen einen vollqualifizierten Domänennamen (FQDN) verwenden, der mit der Domäne Ihrer Organisation übereinstimmt. Beispiel: myfirewall.mycompany.com.
-
Wählen Sie ein Zertifikat aus, dem Browser automatisch vertrauen.
Notiz
Das auf der Sophos Firewall installierte selbstsignierte Zertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle und deckt weder den von Ihnen konfigurierten Hostnamen noch den FQDN ab. Um Browserwarnungen zu Zertifikaten zu vermeiden, muss das Zertifikat den Hostnamen oder FQDN abdecken, an den der Datenverkehr umgeleitet wird.
- Wenn Sie ein neues Zertifikat für den Hostnamen der Sophos Firewall installieren müssen, können Sie dies im Menü „Zertifikate“ tun. Weitere Informationen finden Sie unter Installieren Sie eine untergeordnete Zertifizierungsstelle (CA) für die HTTPS-Prüfung.
-
Unter Admin-Konsole und Endbenutzerinteraktion > Zertifikat, wählen Sie das zu verwendende Zertifikat aus dem Dropdown-Menü aus.
Das Zertifikat kann von einer öffentlichen Zertifizierungsstelle erworben worden sein und wird automatisch von allen Clients als vertrauenswürdig eingestuft. Alternativ kann es sich um ein selbstsigniertes Zertifikat einer internen Zertifizierungsstelle handeln, dem die Endpunktcomputer gemäß ihrer Konfiguration vertrauen.
-
Legen Sie die URL für die Proxy-Umleitung fest.
- Um den konfigurierten FQDN der Sophos Firewall zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Admin-Konsole und Endbenutzerinteraktionund wählen Sie Verwenden Sie den konfigurierten Hostnamen der Firewall.
-
Um einen anderen FQDN oder einen bloßen Hostnamen zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Admin-Konsole und Endbenutzerinteraktion, wählen Verwenden Sie einen anderen Hostnamenund geben Sie den Hostnamen ein, den Sie verwenden möchten.
Notiz
Stellen Sie sicher, dass der Endpoint-Computer die Sophos Firewall mit der gewählten Methode auflösen kann. Möglicherweise müssen Sie Einträge zu Ihrem DNS-Server hinzufügen.
-
Wenn Sie die Umleitung mit einem bloßen Hostnamen durchführen, erkennt der Browser, dass der Anforderer lokal ist, und vertraut ihm automatisch, dass die SSO-Durchführung erfolgt.
-
Wenn Sie die Umleitung über einen FQDN durchführen, konfigurieren Sie Ihren Browser mithilfe der AD-Gruppenrichtlinie so, dass er dem FQDN der Sophos Firewall vertraut. Alternativ können Sie den FQDN auch manuell zu einem Browser hinzufügen. Führen Sie dazu die folgenden Schritte aus.
Microsoft Edge und Google Chrome
- Öffnen Sie die Windows-Systemsteuerung.
- Gehe zu Internetoptionen > Sicherheit > Lokales Intranet.
- Klicken Seitenund dann Fortschrittlich.
- Geben Sie den FQDN in das Feld ein Diese Website zur Zone hinzufügen und klicken Sie auf Hinzufügen.
Feuerfuchs
- Typ
about:config
in die Firefox-Adressleiste ein und drücken Sie die Eingabetaste. - Geben Sie den FQDN in Netzwerk.automatische-ntlm-auth.trusted-uris.
Der Endpunktcomputer kann sich aufgrund der Umleitungs-URL nicht über Kerberos authentifizieren
Zustand
Beim Versuch, sich über Active Directory SSO mit Kerberos und dem HTTP-Proxy im transparenten Modus zu authentifizieren, schlägt die Kerberos-Authentifizierung fehl. Daher greift der Browser zur Authentifizierung auf NTLM oder das Captive Portal zurück.
Ursache
Browser führen die Kerberos-Anmeldung (Single Sign-On) nur dann automatisch durch, wenn sie sicher sind, dass die anfordernde Site Teil der Kerberos-Domäne ist. Die anfordernde Site, in diesem Fall die Sophos Firewall, muss für die Umleitung einen Hostnamen oder FQDN verwenden, der mit dem Service Principal Name (SPN) der Firewall auf dem Active Directory (AD)-Server übereinstimmt.
Abhilfe
-
Konfigurieren Sie einen Hostnamen auf der Sophos Firewall. Gehen Sie zu Verwaltung > Administratoreinstellungen > Hostname.
Geben Sie einen Hostnamen ein. Sie müssen einen vollqualifizierten Domänennamen (FQDN) verwenden, der Ihrer Unternehmensdomäne entspricht. Beispiel: myfirewall.mycompany.com.
Wenn die Sophos Firewall der AD-Domäne beitritt, erhält sie einen AD-Computernamen und es werden automatisch zwei SPN-Einträge erstellt.
- Ein SPN wird für den bloßen Hostnamen erstellt. Dies ist der erste Teil des FQDN, den Sie im Administratoreinstellungen > Hostname Feld.
- Ein SPN wird für den bloßen Hostnamen erstellt, gefolgt von der AD-Domäne.
Wenn Sie die Sophos Firewall also Hostname Feld auf myfirewall.mycompany.com und treten Sie der AD-Domäne mycompany.local bei. Es werden zwei SPNs erstellt: myfirewall und myfirewall.mycompany.local.
Warnung
Bei vielen Kunden ist der in DNS und Active Directory verwendete Domänenname identisch. Dies bedeutet, dass der DNS-FQDN und der Active Directory-Computername identisch sind. Der automatisch erstellte SPN entspricht dem Administratoreinstellungen > Hostname Wenn Ihr DNS und Active Directory unterschiedliche Domänennamen verwenden (z. B. mycompany.com und mycompany.local) und Sie den DNS-Namen bei der Umleitung verwenden möchten, müssen Sie den SPN manuell auf Ihrem AD-Domänencontroller erstellen.
-
Legen Sie die URL für die Proxy-Umleitung fest. Dies kann der konfigurierte FQDN, ein anderer FQDN (z. B. der AD-Computername) oder ein einfacher Hostname sein. Die verwendete URL muss mit einem SPN übereinstimmen.
- Um den konfigurierten FQDN der Sophos Firewall zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Admin-Konsole und Endbenutzerinteraktionund wählen Sie Verwenden Sie den konfigurierten Hostnamen der Firewall.
-
Um einen anderen FQDN oder einen bloßen Hostnamen zu verwenden, gehen Sie zu Verwaltung > Administratoreinstellungen > Admin-Konsole und Endbenutzerinteraktion und wählen Sie Verwenden Sie einen anderen Hostnamenund geben Sie den Hostnamen ein, den Sie verwenden möchten.
Notiz
Stellen Sie sicher, dass der Endpoint-Computer die Sophos Firewall mit der gewählten Methode auflösen kann. Möglicherweise müssen Sie Einträge zu Ihrem DNS-Server hinzufügen.
Wenn Sie zur Durchführung einer AD-SSO umleiten, versucht der Browser, einen SPN abzugleichen und muss diesem vertrauen, um die Kerberos-Authentifizierung durchzuführen.
- Wenn es sich um einen bloßen Hostnamen handelt, muss dieser mit dem automatisch erstellten SPN für den bloßen Hostnamen übereinstimmen.
- Wenn es sich um einen AD-FQDN handelt, muss dieser mit dem automatisch erstellten AD-Computernamen-FQDN-SPN übereinstimmen.
- Wenn es sich um einen DNS-FQDN handelt, muss dieser mit dem DNS-SPN übereinstimmen, den Sie manuell erstellt haben.
Bei NTLM-Anmeldungen wird anstelle des Benutzernamens der Name des Endpunktgeräts angezeigt
Zustand
Der Name eines Endgeräts wird als Benutzername angezeigt in Live-Benutzer.
Ursache
Endpunktgeräte, die Betriebssystem-Webanforderungen stellen, wenn ein Benutzer nicht angemeldet ist (z. B. Windows Update), senden in den SSO-Anmeldeinformationen möglicherweise den Namen des Endpunktgeräts anstelle eines Benutzernamens.
Abhilfe
Lassen Sie einen Benutzer sich beim Endpunktgerät anmelden.
Captive Portal wird bei Verwendung der NTLM-Authentifizierung angezeigt
Zustand
Bei Verwendung der NTLM-Authentifizierung werden Benutzer zum Captive Portal umgeleitet.
Ursache
Die NTLM-Authentifizierung ist fehlgeschlagen. Einige häufige Gründe für fehlgeschlagene NTLM-Authentifizierungen sind:
- Die Zugriffszeit des Benutzers ist beschränkt.
- Das Surf- bzw. Netzwerkverkehrskontingent des Benutzers wurde überschritten.
- Die eingegebenen Anmeldeinformationen sind falsch.
Abhilfe
- Prüfen Sie, ob für die betroffenen Benutzer eine Zugriffszeit, ein Surf-Kontingent oder ein Netzwerkverkehrskontingent gilt. Siehe Profile.
- Stellen Sie sicher, dass der Benutzer die richtigen Anmeldeinformationen eingibt.
STAS
STAS-Sammler ist nicht erreichbar
Zustand
Wenn die Firewall Datenverkehr von einer IP-Adresse erkennt, sendet sie eine Anfrage an den STAS-Collector, um Benutzerinformationen abzurufen. Während sie auf eine Antwort wartet, verwirft die Firewall den von der Adresse generierten Datenverkehr.
Ursache
Es kommt vor, dass bei der Kommunikation zwischen der Firewall und dem STAS-Collector ein Timeout auftritt.
Abhilfe
Überprüfen Sie die folgenden Elemente auf dem Endpunktcomputer, auf dem sich der STAS-Collector befindet:
- Stellen Sie sicher, dass der Endpunktcomputer eingeschaltet ist.
- Stellen Sie sicher, dass der STAS-Dienst ausgeführt wird.
- Die UDP-Ports 6060 und 6677 müssen in der Windows-Firewall geöffnet sein.
- Stellen Sie sicher, dass Antivirenprogramme auf dem Endpunktcomputer die Kommunikation nicht stören.
- Wenn der Endpunktcomputer über mehrere Netzwerkkarten verfügt, prüfen Sie, ob STAS an eine andere Schnittstelle gebunden ist.
Überprüfen Sie die folgenden Punkte an der Firewall:
- Wenn sich der STAS-Collector am Remote-Ende eines IPsec-Tunnels befindet, stellen Sie sicher, dass Sie die SNAT-IP-Adresse für den vom System generierten Datenverkehr konfigurieren.
STAS-Benutzer werden nicht in Live-Benutzern angezeigt
Zustand
STAS-Benutzer können sich entweder nicht über STAS anmelden oder Benutzer können sich anmelden, erscheinen aber nicht auf Live-Benutzer.
Ursache
Es kann viele Gründe dafür geben, dass Sie einige STAS-Benutzer nicht sehen in Live-Benutzer. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie Ihre Umgebung richtig konfiguriert haben, und beheben Sie alle gefundenen Probleme.
Abhilfe
Überprüfen Sie Folgendes:
- Stellen Sie sicher, dass Sie die richtigen Anmeldeinformationen des externen Authentifizierungsservers in der Sophos Firewall eingegeben haben.
- Stellen Sie sicher, dass die Firewall und der Server kommunizieren können.
- Stellen Sie sicher, dass Benutzer nur innerhalb der in der Zugriffszeitrichtlinie konfigurierten Zeit versuchen, auf das Internet zuzugreifen.
- Überprüfen Sie, ob die Anzahl der angemeldeten Benutzer das konfigurierte Limit erreicht hat.
- Wenn Sie eine Anmeldebeschränkung für Benutzer basierend auf einer IP-Adresse konfiguriert haben, können sich Benutzer nicht von einer anderen IP-Adresse aus anmelden.
- Prüfen Sie, ob Benutzer das konfigurierte Surfkontingent oder das Netzwerkverkehrskontingent überschritten haben.
- Gehe zu Authentifizierung > Server, wählen Sie Ihren AD-Server aus und stellen Sie sicher, dass Suchanfragen sind richtig.
DCOM-Fehler in der Windows-Ereignisanzeige
Zustand
DCOM-Fehler mit der Ereignis-ID 10009 oder 10028 können unter den folgenden Bedingungen auftreten:
- Nach der Installation von STAS.
- STAS sendet WMI-Abfragen an nicht überwachte Netzwerke.
Ursache
STAS kann keine Verbindung zu einem Endpunktcomputer über WMI herstellen oder WMI-Abfragen an nicht überwachte Netzwerke senden.
WMI funktioniert mit DCOM und RPC. Wenn ein Endpunktcomputer nicht auf eine WMI-Abfrage antwortet, zeichnet die Windows-Ereignisanzeige die Ereignis-ID 10009 oder 10028 auf.
Abhilfe
Gehen Sie folgendermaßen vor, um das Problem zu beheben:
- Stellen Sie sicher, dass die WMI-Kommunikation zwischen STAS und den Endpunktcomputern zugelassen ist. Siehe Konfigurieren der Systemsicherheit.
- Gehen Sie in der STAS-Anwendung des Servers zu STA-Kollektor Tab.
- Unter Sophos-Geräte, klicken Sie auf die IP-Adresse der Sophos-Appliance und dann auf Bearbeiten.
- Wählen Subnetzbasierten Filter aktivieren.
- Geben Sie das Subnetz und die Subnetzmaske des zu überwachenden Netzwerks ein. Dieses muss sich innerhalb des Netzwerks der Sophos Appliance befinden.
- Klicken OK.
- (Optional) Sie können weitere Sophos-Appliance-IP-Adressen und Subnetze hinzufügen, die Sie überwachen möchten.
- Gehe zu STA-Agent.
- Unter Festlegen der zu überwachenden Netzwerke, fügen Sie das Netzwerk hinzu, das Sie zum STA-Sammler Sie können weitere Netzwerke hinzufügen, die Sie überwachen möchten.
- Klicken Anwendenauf OKund klicken Sie auf Ja um STAS neu zu starten.
Einige STAS-Benutzer werden aus nicht überwachten Netzwerken authentifiziert
Zustand
Einige STAS-Benutzer werden authentifiziert als LogonType: 1
aus unüberwachten Netzwerken.
Ursache
Der STAS-Kollektor übernimmt die LogonType: 1
und WMI-Anfragen zur Abmeldeerkennung, aber der STAS-Collector weiß nicht, welche Netzwerke überwacht werden sollen. Dies ist das erwartete Verhalten.
Abhilfe
Sie müssen die subnetzbasierte Filterung in der STAS-Anwendung des Servers wie folgt konfigurieren:
- Gehen Sie in der STAS-Anwendung des Servers zu STA-Kollektor Tab.
- Unter Sophos-Geräte, klicken Sie auf die IP-Adresse der Sophos-Appliance und dann auf Bearbeiten.
- Wählen Subnetzbasierten Filter aktivieren.
- Geben Sie das Subnetz und die Subnetzmaske des zu überwachenden Netzwerks ein. Dieses muss sich innerhalb des Netzwerks der Sophos Appliance befinden.
- Klicken OK.
- (Optional) Sie können weitere Sophos-Appliance-IP-Adressen und Subnetze hinzufügen, die Sie überwachen möchten.
- Klicken Anwendenauf OKund klicken Sie auf Ja um STAS neu zu starten.
Diese Konfiguration stellt sicher, dass WMI-Anfragen nur für die konfigurierten Subnetze gestellt werden. Das folgende Protokoll erscheint auch in stas.log
:
SSOclient_filter_CR_subnet: Workstation filtered out