Browser Access Portal Troubleshooting

 

概述

应用程序门户(别名浏览器访问)门户允许用户通过互联网建立安全隧道访问其内部公司资源。 此服务不需要SDP连接,但需要用户是已授权的SDP用户。 此手册讨论常见的浏览器访问问题并提供排查步骤以解决这些问题。

症状

  • 用户访问应用程序门户时收到访问被拒绝页面

  • 应用程序未在浏览器访问门户中显示
  • 应用程序加载失败。

  • 网页应用程序缺少内容

  • 网页应用程序中的内容格式错误。 例如,页面上的元素排列随机,文本的字体大小错误,图像未正确对齐,等等。

  • 应用程序在无客户端浏览器访问时超时;SDP客户端用户正常操作。

可能的原因

  • 配置错误
  • 使用超文本传输协议并且网页应用程序包含到其他内容的绝对HTTP链接

问题故障排除

本部分将调查故障排除应用程序门户常见问题的步骤。  

用户无法访问应用程序门户

当用户使用访问 > 应用程序门户 > 设置中指定的门户 URL 访问应用程序门户时,会收到访问被拒绝消息。

  1. 确认子域中不包含特殊字符。 如连字符等字符不被支持。 请参考更改子域以排除特殊字符说明来确认子域中是否使用了特殊字符。
  2. 验证用户是SDP(已授权)用户。 只有已分配许可证的用户才能访问浏览器访问门户。 请参考分配许可证给用户说明以确认此情况。  
  3. 如果启用了SSO认证,并选中了"允许使用单点登录进行登录"( 访问 > 单点登录),请验证用户域包含在允许的域中。
     
  4. 检查事件中是否有明显错误。 转到主页 > 事件并添加下面显示的过滤器。 

    所有与浏览器访问门户相关的事件将被显示。 以下是一个访问被拒绝事件的示例。  

应用程序未显示在应用程序首页

当用户登录浏览器访问门户时,某些特定应用程序未显示。

  1. 验证应用程序已在访问 > 应用程序门户 > 应用程序中添加。 如果未添加,则不会在应用程序门户首页中反映。
  2. 确保用户有应用程序的访问权限。 如果没有,他将无法在应用程序的首页看到它。 这可以在访问 > 应用程序门户 > 访问权限策略中完成。
  3. 有关解决这些问题的说明,请参考添加应用程序到浏览器访问门户为允许用户配置访问权限策略

应用程序无法加载

当点击应用程序图标时,浏览器可能不显示任何内容,应用程序保持加载状态直到超时。

如果出现上述情况,请收集以下数据:

  1. 按照如何在 Socket 上捕获流量中的说明,从托管应用程序服务器的站点的套接字中收集PCAP捕获文件。 过滤Web服务器的IP地址和端口80或443,具体取决于在CMA中配置的应用程序端口。
  2. 确认Web服务器是否存在TCP流量。 如果没有,请检查到服务器的本地连接性。 没有NAT的情况下,到达您的内部服务器的流量将来自公网IP地址。
  3. 验证是否需要使用NAT IP 范围以正确路由到/从内部网络。 没有 NAT IP 范围,到达内部服务器的流量将来自公网IP地址。
  4. 如果在步骤#2中看到TCP流量,则按照以下步骤在浏览器访问门户中收集HAR文件:
    1. 从浏览器访问门户右键点击页面任意位置,并从上下文菜单中选择“检查”。
    2. 点击位于右上角的设置按钮。 此选项在Chrome中可用。 如果您正在使用其他浏览器,请继续执行步骤#4。
    3. 在偏好设置 > 全局中,选择'自动打开DevTools以便弹出'。
    4. 从浏览器访问门户中点击应用程序。 将打开第二个标签页。 此处需要进行录制。 除非您的浏览器从此第二标签页自动录制(步骤#3),您将需要在接下来的步骤中手动执行此操作。
    5. 请按照如何收集 HAR 数据中的说明执行操作以重现问题并收集 HAR 文件。
    6. 将此信息提交给Cato支持进行进一步调查。 查看将问题提交给Cato支持
  5. 如果HAR文件显示重定向到内部域名,因为外部浏览器不执行内部网络的DNS解析因而无法解析。 这是当前的浏览器访问解决方案的限制,用户应通过SDP客户端连接到Cato。

将此信息提交给Cato支持进行进一步调查。 查看将问题提交给Cato支持

网页应用程序出现格式问题

Web应用程序的格式存在问题,页面上的元素放置无序,文本显示不一致的字体大小,图像出现对齐问题。 当客户通过超文本传输协议的浏览器访问门户来访问Web应用程序,并且Web应用程序的HTML代码中包含指向其他内容的绝对超文本传输协议链接时,可能会出现此问题。 因为浏览器访问门户连接在超文本传输协议安全上运行,当代Web浏览器会限制访问超文本传输协议内容,通常称为 "混合内容"。

按照以下步骤验证您是否遇到此问题。

  1. 您可以通过浏览器访问门户在访问应用程序的同时收集HAR文件。 有关详细说明,请参阅如何收集HAR数据
  2. 如果这是问题所在,Web开发者工具将显示混合内容块,并伴有警告,指示您与网站的连接不安全。
  3. 在页面的任意位置右键单击并选择 "查看页面源代码"。 这将打开网站的源代码。
  4. 检查任何以 "http://" 开头的链接,如下所示:
    <link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
  5. 源代码中有超文本传输协议链接是浏览器阻止内容的原因。

  6. 请按照格式问题中列出的建议来解决此问题。

应用程序在无客户端浏览器访问时超时;SDP客户端用户或站点用户可以正常访问。

门户加载,但其后的应用程序不会打开。 基于客户端SDP应用程序的用户或通过cato sockets的用户可以正常访问所有内容。 通过无客户端浏览器访问的用户在尝试打开任何应用程序时会遇到超时。

注意: 基于浏览器的远程访问不支持SNAT IP范围和站点IP范围之间的IP重叠。

例如,浏览器访问使用类似10.60.10.0/24的NAT范围。 同时,您的网络在Cato中宣告了一个更广泛的路由,例如10.0.0.0/8。 由于10.60.10.0/24位于那个10.0.0.0/8块中,平台将返回的流量视为与站点自己的子网重叠。 当流量试图返回到浏览器访问用户时,为避免创建路由循环,平台会丢弃它,因为更广泛的/8路由会将数据包拉回站点而不是用户。 这种重叠阻止了平台为浏览器访问流量安装一条清晰的返回路由。
 

为解决此问题,验证SNAT和账户路由

  1. 识别为浏览器访问配置的SNAT IP范围。

  2. 导航到您的账户>网络下的路由表。 检查所有账户路由并确认没有与SNAT范围重叠的情况。 没有数据意味着路由表中不存在重叠。 

  3. 如果存在重叠:
    • 调整路由配置以消除冲突。
    • 确保BGP宣告的路由不覆盖SNAT范围。

解决发现的问题

配置错误

上面提到的许多问题与配置有关。 一旦您确定了配置错误的区域,解决它们应该可以解决问题。

更改子域以排除特殊字符

导航到 访问 > 单点登录 并确保子域字段中没有特殊字符。 此要求也在浏览器访问门户配置中提到。 有关更改子域影响的更多信息,请参阅更改账户名和子域

为用户分配许可证

导航到 访问 > 用户 > 用户目录 并验证访问浏览器访问门户的用户是已授权SDP用户


要为用户分配许可证,请参阅为用户分配SDP许可证。 

向浏览器访问门户添加应用程序

导航到 应用程序门户 > 应用 并验证应用程序已添加。 有关配置详情,请参阅管理浏览器访问门户的应用程序

为允许的用户配置访问策略

导航到 访问 > 应用程序门户 > 访问策略 并验证用户可以访问应用程序。 有关配置详情,请参阅定义浏览器访问策略。 

格式问题

解决方案涉及修改应用程序的源代码,因为浏览器负责阻止混合内容,而不是Cato。 建议客户将HTML代码中的绝对链接(以http://开头的那些)转变为相对链接。 相对链接可以是协议相对或根相对。
例如,如果您有一个类似的链接:

href="http://www.mywebsite.com/css/stylesheet.css"

一个协议相关的链接看起来是这样的:

href="//www.mywebsite.com/css/stylesheet.css"

一个根目录相关的链接看起来像这样:

href="/css/stylesheet.css"

关于绝对和相对链接的更多信息,您可以参考 absolute-vs-relative-urls。 

向Cato支持提交案例

提交带有上述故障排除步骤结果的支持工单。 对于与访问浏览器门户应用程序相关的问题,请同时包括以下问题的答案:

  1. 受影响的应用服务器是什么? (IIS, Nginx, 等)
  2. 应用程序是否需要额外身份验证?
  3. 用户是否可以访问应用程序日志或配置文件? 如果可以,这些日志是否捕获了问题?
  4. 用户从何地连接到SDP门户?
  5. 用户在使用 Cato 客户端或在 Socket 站点后面时可以连接到应用程序吗?
  6. 它们之间是否有负载均衡器/API 服务器/防火墙? 

这篇文章有帮助吗?

2 人中有 1 人觉得有帮助

0 条评论