3.1 客户端连接失败
3.1.1 未开启SPA,提示"连接失败"
问题现象
问题确认方式:
- 确认当前sdpc设备是否开启了SPA,但是未输入SPA码
- 使用诊断修复工具对当前网络进行诊断
- 在浏览器上输入sdpc地址进行访问
- 使用WireShark抓包
问题可能原因一:浏览器上能够正常访问,工作台连接失败,aTrustTray.exe进程被第三方程序拦截
使用工作台无法正常连接,使用浏览器能够正常访问
进入aTrust安装目录将aTrustTray.exe重命名成Chrome.exe,先退出原有工作台,重新打开之后测试是否能够正常访问。 64位操作系统:
C:\Program Files (x86)\Sangfor\aTrust\aTrustTray\aTrustTray.exe
32位操作系统
C:\Program Files\Sangfor\aTrust\aTrustTray\aTrsutTray.exe
问题解决方案:
- 将aTrustTray.exe重命名为Chrome.exe之后能够正常访问说明本地存在软件特意拦截了aTrustTray.exe的网络访问。需要针对aTrustTray.exe进行加白处理
3.1.2 SPA码配置错误,提示“尝试配置的地址是当前在线SDPC,不允许操作”
问题现象
- 管理员开始未开启SPA防护策略,用户通过正常的方式登录上线。后续管理员在设备上开启了SPA防护策略。部分已经在线的用户可能会出现工作台进入到接入设置页面,此时配置SPA码提示:
问题确认方式:
- 确认当前客户端版本是否小于2310版本
问题可能原因:
- 用户使用普通方式接入之后已经进入到登录状态,后续管理员开启SPA,但是用户未下线的情况下。工作台
进入到接入设置页面设置SPA码,被客户端内部进行了限制。
问题解决方案:
- 不允许修改当前已登录SDPC的spa码问题,已经在高版本优化,可以升级至2410版本客户端
3.1.3 开启SPA,连接失败,网络诊断提示:TCP链接无法建立,接入控制中心失败
问题现象
接入设置页面输入SPA码之后接入失败
使用网络诊断提示:TCP链接无法建立,接入控制中心失败
问题确认方式:
- 根据网络诊断提示在SDPC控制台上检测是否收到UDP敲门探测包
- 使用WireShark在本地抓物理网卡上SDPC地址访问的DTLS请求包。发现TCP都连不上,有DTLS(wireshark版本不同可能显示为SSL)的CLient Hello数据包 查看DTLS的数据包,发现extension里面有12345678开头的数据就是带了种子的
问题可能原因:
- 客户端中间设备拦截导致UDP敲门包未到达SDPC设备
问题解决方案:
中间网络设备拦截了UDP敲门包数据包,需要进一步抓包分析PC到SDPC的网络。
可以尝试切换网络进行重试。如果切换网络之后正常更能佐证是网络环境影响。
3.1.4 开启SPA,连接失败,网络诊断提示:显示TLS握手或后续连接失败
问题现象
接入设置页面输入SPA码之后接入失败
使用网络诊断提示:TLS握手或后续链接建立失败,接入控制中心失败 出现这个错误说明UDP SPA敲门是成功的,失败在TCP SPA。
问题确认方式:
- 使用浏览器访问SDPC接入地址,确认访问报错是否是无法提供安全链接
- 使用WireShark在本地抓物理网卡上SDPC地址访问请求包。过滤TLS以及目标IP,分析Client Hello类型数据包 展开这个Client Hello包,查看Extension字段 Extension字段中添加TCP SPA包(红色框部分)时,加入了TSPA魔字符串。因此如果发现了这个魔字符串,基本可以判断TCP SPA功能是生效的。
问题可能原因:
- 中间网络设备代理了SSL连接,导致TCP-SPA扩展被丢弃了
问题解决方案:
- 分析服务端审计日志,进一步排查是否是服务端和网络设备相关原因。
3.1.5 开启SPA,Chrome浏览器访问接入地址提示:无法提供安全链接
问题现象
- 工作台上正确配置了SPA码,使用工作台能够正常连接并进入到登录页面,但是使用Chrome浏览器无法正常打开登录页面,提示:该网页无法提供安全链接
问题确认方式:
- 确认当前使用的Chrome浏览器版本是否大于116, aTrust客户端是否小于2310版本
- 使用WireShark抓包,Chrome浏览器和SDPC的Client Hello包长度大于1500
问题可能原因:
- 2216客户端默认mtu值是1500, chrome浏览器发送的报文长度为1813,低版本未处理TCP数据包被截断场景,解析ssl会话包插入spa标识失败,最后导致spa敲门失败。
问题解决方案:
- 手动关闭Goole浏览器的TLS 1.3 hybridized Kyber support
- 该问题已经在2310及以上版本修复,建议安装最新版本客户端