7.1.1 沙箱启动失败

7.1.1.1 客户端提示磁盘创建失败，程序无法正常使用

问题现象：

问题确认方式：

1. 确认沙箱磁盘所在分区能够正常打开，首次登陆时用户选择E盘作为工作空间磁盘
2. 非首次登录，可以通过注册表进行确认工作空间磁盘，64位Windows系统注册表如下 32位Windows系统注册表路径如下：
3. 打开文件管理器，双击打开沙箱磁盘（E盘），确认是否可以打开
4. 如果能打开该盘符，则再验证subst挂载磁盘(模拟沙箱磁盘创建过程)是否成功。

5. 假设用户选择的E盘，则手动在E盘创建一个目录(例如test)后，直接运行cmd执行subst命令，结果如下说明挂载成功

   

问题可能原因：

1. 如果沙箱磁盘所在磁盘双击无法打开，则说明用户环境下该盘符存在异常
2. 如果subt命令测试结果挂载失败，则说明用户环境无法挂载磁盘，环境存在异常

问题解决方案：

1. 可以手动更换沙箱磁盘的路径，尝试切换到其他盘符
2. 修改注册表，来实现更换盘符路径，64位Windows系统注册表如下 32位Windows系统注册表路径如下：

7.1.1.2 aTrust客户端起来了，但沙箱空间没起来，工作台应用无错误提示

问题现象：

问题确认方式：

1. aTrust工作台没有工作空间异常相关提示，说明沙箱整体启动流程正常，但是标签显示异常
2. 因为如果沙箱启动流程异常，工作台应用上会有错误提示

问题可能原因：

1. 确认当前系统是否是有多屏。如果有多屏，则可能是一开始显示在其它显示器上，但后面该显示器有被断开
2. 软件兼容性问题，右侧边栏窗口被其它安全软件隐藏或者关闭

问题解决方案：

1. 可以通过aTrust托盘手动打开"工作空间"来尝试拉起右侧边栏
2. 如果仍然不行，则收集客户端日志，转研发分析

7.1.1.3 诊断工具排查无法进入沙箱

1. 打开uem工作台窗口，点击诊断修复，打开诊断修复工具

2. 找到工作空间启动失败标签

3. 在诊断修复窗口中可以看到存在的异常问题

4. 上面的例子展示了UemPlugin.dll损坏导致工作空间无法启动的问题，处置建议就是重新安装aTrust客户端。一般情况下文件被损坏都是用户机器上存在第三方软件篡改了文件，所以建议用户排查是否存在第三方安全软件隔离了沙箱安装目录下的文件，然后排查机器是否感染了病毒，可以用杀软进行全盘查杀。

7.1.1.4 UEM服务异常

问题现象：

问题排查步骤

1. 检查uem服务是否正常运行

   • 检查方法，打开任务管理器-转到服务，找到sfuemagent服务，确认服务是否被禁用或已停止

2. 使用cmd确认驱动服务是否正常

   • 打开cmd，输入sc query SfUemGuarder，确认驱动是否是Running状态
   • 打开cmd，输入sc query SfUemIsoSpace，确认驱动是否是Running状态

3. 重启电脑后重新登录沙箱，确认问题是否依旧存在

典型案例

典型案例一：登录后服务异常典型问题汇总

7.1.1.4.1 开启Uem沙箱，登录ATrust后立马注销的问题

问题现象：

1. 用户登录Atrust后，里面注销

2. 查看aTrustAgent_plugins_aTrustCore_h_e.log日志发现（Uem在主动请求退出）

解决方法：

1. 确认下SfUemAgent.exe是不是正常运行，如果在登录过程中，SfUemAgent.exe崩溃了会导致该现象，可以联系技术支持查看；
2. 如果登录前服务就已经挂了，请参考7.1.1.4 UEM服务异常排查

7.1.1.4.2 UEM服务被禁用导致服务无法启动

问题现象

1. 登录atrust后弹出uem服务启动失败，提示服务未正常运行

2. 手动启动uem服务，提示服务无法启动

问题原因

1. 导致服务未正常运行的原因是服务被禁用，在Windows事件查看器中查看系统日志，筛选7004的服务日志，可以看到服务有被禁用的记录

2. 使用2.5.16.20及以上版本，针对服务被禁用导致无法进入沙箱的问题已修复。

3. 如果使用2.5.16.20版本仍无法解决，肯定是被其他软件给拦截了导致的；

4. 打开openark，进入内核模式

5. 查看系统回调，找到进程回调，摘除可疑的进程启动回调

6. 重新启动sfuemagent服务，确认服务是否可以正常启动

7. 如果服务仍无法启动，收集系统日志联系UEM技术支持排查

7.1.1.4.3 系统未重启导致服务运行失败

问题现象

1. 安装完Uem后进行重启，重启后登录零信任，还提示需要重启

问题原因

原因1： 系统未重启

1. 查看Windows系统事件，确认是否真正进行重启，打开计算机管理窗口，依次展开系统工具>>事件查看器>>windows日志>>系统

   

2. 点击系统后右侧出现如图所示的界面，我们点击最右侧的筛选当前日志

3. 出现如图界面，我们将<所有事件ID>改为6006就可查看关机日志

4. 改为6005可以查看开机日志，根据这两个日志，可以确认我再2023-08-24 16:30关机，然后在2023-08-24 16:31开启

   

原因2： 系统已重启，但仍然提示重启

1. 查看注册表项，64位系统注册表如下，32位系统没有Wow6432Node，确认Reboot注册表项是否可以手动删除

7.1.1.4.4 部分终端登录aTrust进入工作空间后报错工作空间环境异常 账号已注销

问题现象

1. 登录aTrust后，进入工作空间后报错工作空间环境异常 账号已注销

2. 如上图所示，分析aTrustCore日志，有如下日志： [2023-04-10 09:42:36.750][ 3628: 5156][error][UemSDKWrapper][ssl::uem::UEMSdkProxy::pullSandboxSpace:1563]start uem failed! error: 12 [2023-04-10 09:42:36.751][ 3628: 5156][error][UemSDKWrapper][ssl::uem::UEMSdkProxy::pullSandboxSpace:1575]logout user!; Reason: uem env has exception! [2023-04-10 09:42:36.751][ 3628: 5156][ info][UemSDKWrapper][ssl::uem::UEMSdkProxy::_postLogout:1597]post logout event! logoutReaon(workspace_env_exception) 分析SfUemNetIsoalte.log，有如下日志： [2023-04-10 09:40:51.040][error][1440:1460][WfpEngineMgr::_AddSubLayer:765]FwpmSubLayerAdd failed, status: 0xc0000022 [2023-04-10 09:40:51.040][error][1440:1460][WfpEngineMgr::_RegisterFilters:365]_Add SubLayer failed (0xc0000022) [2023-04-10 09:40:51.040][info][1440:1460][WfpEngineMgr::_RegisterFilters:386]Out WfpEngineMgr::_RegisterFilters, status=0xc0000022 [2023-04-10 09:40:51.040][info][1440:1460][WfpEngineMgr::RegisterFilters:311]Out WfpEngineMgr::RegisterFilters [2023-04-10 09:40:51.040][error][1440:1460][WfpEngineMgr::_FwpmServiceStateChangeCallback:69]WfpEngineMgr RegisterFilters failed, status=-1073741790 问题原因为网络过滤驱动初始化失败（特定场景下）所以登录后会报错工作空间环境异常，然后主动注销。该问题在2.2.16版本已优化解决。

3. 部分电脑2.2.16版本仍然提示环境异常

   • 检查本地的bfe服务的运行状态，发现无法运行

   • 尝试运行如下注册表

     bfe.reg

7.1.1.5 开启了工作空间ACL导致无法启动沙箱

1. 服务端配置了工作空间准入策略，处置动作为隐藏空间入口，业务访问仍受网络隔离限制 此时客户端如果满足ACL条件，登陆后不会启动沙箱，但是网络隔离依旧生效，是符合预期的场景（由于服务端默认时不弹框提示，所以用户可能无感知会觉得奇怪）

2. 客户端确认方式

   客户端工作台上对应空间应用会显示受空间准入策略限制，您无法访问该应用

   如果没有关联应用，或者应用配置的不显示，搜索日志_printWorkspaceInfo中的关键字_printWorkspaceInfo，会把所有空间状态打印出来，是否触发了ACL，以及对应ACL的编码