7.2 沙箱内业务访问异常

7.2.1 沙箱内浏览器访问业务提示DNS_PROBE_FINISHED_NXDOMAIN

问题现象:

浏览器页面提示域名解析失败 7.2.1.png

问题确认方式:

  1. win+r 输入Windows沙箱的日志目录,点击确认 7.2.1.1.png
  2. 使用notepad++打开目录下的SfUemAgent.exe.log文件 7.2.1.2.png
  3. 搜索关键字:_DomainMatchPostAction,确认该域名是否被web资源管控拦截导致,拦截日志如下: 7.2.1.3.png
  4. 如果没有上述拦截日志,则在SfUemAgent.exe.log中搜索关键字:_CheckDnsRule,确认该域名是否有命中DNS隔离规则:abc.com -> 199.200.10.200,代表将域名abc.com使用DNS服务器199.200.10.200解析 7.2.1.4.png
  5. 如果命中了DNS隔离规则,则清空DNS缓存后ping该域名,看能否解析成功 7.2.1.5.png

问题可能原因:

  1. 域名被web资源管控拦截导致
  2. 域名命中DNS隔离规则,问题和DNS隔离有关
  3. 域名没有命中DNS隔离规则,且也未被web资源管控拦截,则问题和沙箱无关,可以进行资源诊断,然后转atrust技术支持

问题解决方案:

  1. web资源管控拦截导致:需要在相应空间添加该域名的放行规则 7.2.1.6.png

  2. DNS隔离服务器地址为隧道资源地址(上述的199.200.10.200就是配置的DNS隔离服务器地址),且当前版本低于2.4.10版本,则升级到2.4.10 SP3验证问题是否消失。

  3. 验证nsloopup指定对应的DNS服务器能否解析成功,如果解析失败,说明是环境问题 7.2.1.7.png

7.2.2 沙箱内浏览器访问业务提示ERR_NETWORK_ACCESS_DENIED

问题现象:

7.2.2.png

问题确认方式:

  1. 上述截图说明浏览器访问当前地址被拦截,如果当前系统没有其它网络管控程序,则很可能是UEM拦截导致
  2. win+r 输入Windows沙箱的网络拦截日志目录,点击确认 7.2.2.2.png
  3. 确认UemNetBlock.txt查看对应时间点是否有对应浏览器进程的block日志,示例如下: 7.2.2.1.png
  4. 上述日志说明"内网办公空间"的wps进程在连接域名:honeycomb.wpscdn.cn(对应IP:58.218.65.2)的443端口是被拦截,拦截类型为工作空间默认拦截

问题可能原因:

  1. 根据UemNetBlock.txt中的拦截信息中的MatchType和RulePriority来初步定位问题类型
  2. 如上图举例所示,RulePriority=0表示没有命中任何规则,WorkSpaceDefaultBlock表示工作空间默认拦截
  3. 根据被拦截的地址和进程信息,结合所在空间的控制台网络隔离/虚拟网络域规则配置,基本可以定位到问题原因,一般是该资源未关联到该空间而默认拦截,或者命中了某个拦截规则。

问题解决方案:

  1. 如果是被UEM的网络隔离规则拦截的话,可以去控制台确认配置的网络隔离规则策略 7.2.2.3.png
  2. 尝试新增对应的出站or入站放行策略,然后重新访问 7.2.2.4.png

7.2.3 沙箱内浏览器访问业务提示ERR_CONNECTION_TIMED_OUT

问题现象:

7.2.3.png

问题确认方式:

  1. 上述截图说明浏览器访问该地址超时
  2. 使用aTrust资诊断修复功能,确认该地址的网络连通性 7.2.3.1.png
  3. 如果资源诊断没有问题,条件允许的情况下,排除沙箱测试是否有该问题

问题可能原因:

  1. 如果aTrust资诊断修复功能提示无资源访问权限,说明该资源未发布给当前用户。
  2. 如果排除沙箱测试后还有问题,说明该问题与沙箱无关。

问题解决方案:

  1. 当前用户无该资源访问权限:控制台修改相关配置,确保当前用户有该资源访问权限。 7.2.3.2.png
  2. 如果排除沙箱测试后还有问题,则转aTrust客户端技术支持处理。

7.2.4 沙箱内C/S软件连接服务器失败

问题现象:

  1. 软件在沙箱内运行后,提示连接服务器失败
  2. 软件更新后在沙箱内运行报错

问题确认方式:

  1. 排查网络拦截日志 UemNetBlock.txt,看沙箱内是否存在网络拦截记录。

    • win+r 输入Windows沙箱的网络拦截日志目录,点击确认,找到UemNetBlock.txt

      7.2.2.2.png

    • 重新在沙箱内打开一次C/S软件

    • 重新加载UemNetBlock.txt,观察有没有新增的拦截日志,日志查看方式如下:

      7.2.4.1.png

  2. 确认个人空间运行这个程序是否能够正常连接服务器

    • 通过放通个人空间这个用户的所有网络权限,配置方式如下: 打开UEM-PC端数据安全-个人空间管理-网络隔离规则,新增网络规则

      7.2.4.2.png 新增一条个人空间放通所有网络权限的规则,如下所示

      7.2.4.3.png

    • 通过取消当前用户关联的沙箱,然后在个人空间进行测试,取消步骤如下: 服务端工作空间管理,确认当前用户已关联的工作空间有哪些

      7.2.4.4.png 打开UEM-PC端数据安全-工作空间管理,打开对应的工作空间,添加排除用户

      7.2.4.5.png

  3. 清理对应应用缓存后沙箱内软件是否能够解决问题,清理缓存的方式如下:

    • 清理指定应用缓存

      7.2.4.6.png

    • 深度清理沙箱缓存(会导致浏览器书签、浏览记录丢失)

      7.2.4.7.png 7.2.4.8.png 7.2.4.9.png

  4. 软件是否安装在Device目录,查看快捷方式指向文件路径

    • 打开沙箱桌面目录

      7.2.4.10.png

    • 右键快捷方式-选择属性

      7.2.4.11.png

    • 查看目标路径,看是否在M:\Device目录

      7.2.4.12.png

问题可能原因:

  1. 存在网络拦截行为导致连接服务器失败(这是最常见的错误原因)
  2. 软件发起网络请求是以IPV6地址发起的,目前aTrust不支持ipv6地址,没有走隧道引流导致无法正常更新
  3. 软件运行在沙箱Device目录,在Device目录下重命名文件存在失败的问题

问题解决方案:

  1. 存在网络拦截行为,配置网络隔离放行规则

    • 根据网络拦截日志添加对应的网络规则,如下所示,chrome访问本地clash-win64.exe监听的127.0.0.1:7890地址被拦截了

      7.2.4.14.png

    • 打开UEM-工作空间管理-网络隔离规则-新增Windows网络出站规则

      7.2.4.13.png 7.2.4.15.png

  2. 如果软件安装在Device目录,则将其移动到沙箱M盘目录下;
  3. 清除沙箱缓存后继续尝试,清理步骤已在问题确认方式中给出;
  4. 以上步骤不能解决问题则收集客户端日志上升到研发排查;
深信服科技 all right reserved,powered by Gitbook本文档更新于: 2024-09-24 21:32

results matching ""

    No results matching ""