Risoluzione dei problemi comuni dei client mobili protetti

Introduzione

In questo documento viene descritto come risolvere i problemi comuni relativi alla protezione di un client in roaming che tuttavia non si comporta come previsto.

Panoramica

Benvenuto nella serie di articoli della Knowledge Base "Il mio cliente in roaming". Questa serie offre una serie interattiva di domande per risolvere i problemi comuni dei clienti in roaming.

Questo documento è destinato allo scenario in cui il client di roaming è verde e protetto, ma non si comporta come previsto. In questo documento vengono fornite le domande frequenti relative a questo scenario visualizzate di frequente dopo la distribuzione di client in roaming. Il client si installa, ma non si comporta come previsto.

Indice "My Roaming Client Series":

1. Il client mobile non si attiva e....
2. Il mio client in roaming dice "Protetto" ma....

Problemi comuni

Esplora le possibilità di ogni sottosezione, compilando la casella "Il mio cliente in roaming dice "Protetto" ma... ________":

Sconosciuto, Non Protetto

Se questo è lo stato corrente, l'articolo non è destinato a questo scenario. Si tratta di uno stato non protetto in cui il client non si è ancora registrato. In questo articolo vengono illustrati i modi in cui un proxy può impedire a un client in roaming di registrarsi o contattare il team di supporto per assistenza.

Nessun sito bloccato

Il client di roaming segnala "Protetto" quando è possibile raggiungere i valori 208.67.220.220 e 208.67.222.222 per DNS su UDP 53 o 443 o se il client è impostato per la disabilitazione a causa di un criterio noto. Se il client segnala una modalità protetta, ma i blocchi non si verificano, eseguire la procedura seguente:

1. Verificare la presenza di un proxy. Nel caso di un proxy trasparente o esplicito, il DNS risolto nel computer viene nuovamente richiesto e sostituito dal server proxy. Usare Umbrella con un proxy?
2. Un proxy DNS software di terze parti sta ignorando le risposte DNS del client mobile
3. È in corso l'applicazione di un criterio diverso dal previsto. Per informazioni su come confermare l'applicazione del criterio previsto, vedere.

È in corso l'applicazione del criterio errato

Il client di roaming indica "Protetto e crittografato" o "Protetto e trasparente", ma i criteri del client di roaming non vengono applicati:

1. Verificare che il criterio basato sul client mobile sia quello vincente. Se in rete e la rete è più alta nell'ordine dei criteri rispetto ai client mobili, vengono applicati i relativi criteri. Per ulteriori informazioni, vedere l'articolo relativo alla determinazione dei criteri da applicare o visitare il sito policy-debug.opendns.com.
2. Verificare la presenza di un proxy. Nel caso di un proxy trasparente o esplicito, il DNS risolto nel computer viene nuovamente richiesto e sostituito dal server proxy. Il server proxy che utilizza Umbrella applicherebbe solo la copertura a livello di rete in uscita. Usare Umbrella con un proxy?
3. Uso del modulo di sicurezza in roaming AnyConnect? Il client di roaming autonomo non deve essere installato contemporaneamente. Se sia ERCService.exe che acumbrellaagent.exe sono in esecuzione contemporaneamente, ciò indica che entrambi sono installati. Disinstallare il client di roaming Umbrella standalone e assicurarsi che non siano presenti strumenti di gestione software per reinstallarlo.

Errore DNS pubblico o di tutti i DNS

In questo scenario, tutti i DNS non ricevono una risposta. Una ricerca nslookup al prompt dei comandi o al terminale ha esito negativo o negativo e i browser segnalano problemi DNS e non riescono a caricare le pagine:

1. Un proxy DNS software di terze parti sta sostituendo le risposte DNS del client mobile. Molti software hanno la precedenza solo sui record A-records di "destinazione del sito web", permettendo ai record TXT di passare liberamente. Poiché il client in roaming verifica la disponibilità del DNS con i record TXT, il client in roaming si attiva anche se tutti i record A non raggiungono Umbrella. Il DNS Umbrella crittografato combinato con il software in background spesso causa un errore nell'invio dei record A DNS.
2. Un firewall dispone di una protezione DNS integrata o di un servizio di "protezione Web" che può interferire con Umbrella.
3. Se questo si verifica a intermittenza, può essere un esaurimento PAT/NAT. L'aggiunta del client di roaming ha aumentato il numero di connessioni UDP dirette dalla rete di uscita delle workstation. Ciò provoca a intermittenza solo il DNS o tutto il traffico Web. Per ulteriori informazioni, vedere questo articolo sull'esaurimento della porta e su come modificare il timeout UDP o convalidare il limite di connessione UDP può essere utile.
4. Uso del modulo di sicurezza in roaming AnyConnect? Il client di roaming autonomo non deve essere installato contemporaneamente. Se sia ERCService.exe che acumbrellaagent.exe sono in esecuzione contemporaneamente, ciò indica che entrambi sono installati. Disinstallare il client di roaming Umbrella standalone e assicurarsi che non siano presenti strumenti di gestione software per reinstallarlo.

Errore DNS locale

In questo scenario, qualsiasi record pubblico fallisce; tuttavia, i domini presenti nell'elenco dei domini interni non vengono risolti. Se la query viene eseguita direttamente sui server DNS locali, la query ha esito positivo.

1. Il dominio non riuscito è stato aggiunto all'elenco dei domini interni? Nota: qualsiasi suffisso di ricerca viene automaticamente aggiunto dinamicamente all'elenco locale (non lato cloud). Qualsiasi dominio di sola lettura non presente in questo elenco non verrà risolto correttamente. Tutti i domini locali non presenti nell'elenco vengono visualizzati nel report del dashboard. Nessun dominio presente nell'elenco. Informazioni sul funzionamento del DNS locale.
2. I server DNS locali sono corretti? Verificare che i valori archiviati nel client di roaming corrispondano alle aspettative. Verificare che ogni server elencato (vedere il percorso in questo documento) sia in grado di restituire la risposta. Selezionare una richiesta a cui inviare ogni richiesta DNS locale. Corrispondono al lease DHCP o all'assegnazione statica. In caso contrario, segnalacelo aprendo una richiesta di assistenza.
   • Mac: /var/lib/data/opendns/resolv_orig.conf
   • PC: C:\ProgramData\OpenDNS\ERC\Resolver#-Name-of-NetworkAdaptor.conf
3. Compatibilità software o VPN. Il problema si verifica solo su una VPN? In tal caso, assicurati che la VPN non limiti la posizione del DNS o che la tua VPN non sia presente nell'elenco dei siti non supportati. Per ulteriori informazioni, vedere l'articolo sulla compatibilità VPN.

Il client viene visualizzato non in linea nel dashboard

Il processo di sincronizzazione del client mobile è utile per gli stati del client, come mostrato nel dashboard. Il client mobile si attiva solo quando:

• Almeno una sincronizzazione con il server di sincronizzazione (attualmente sync.hydra.opendns.com) è stata completata dall'avvio del client
• Uno dei server DNS Umbrella è disponibile sulla porta 43 o 53 UDP. 

Lo stato del dashboard del client viene aggiornato ogni sincronizzazione (attualmente richiede fino a 60 minuti). Di seguito sono elencate alcune possibili ragioni per cui questi stati non sono aggiornati:

1. Lo stato del client è cambiato dall'ultima sincronizzazione. Nota: la sincronizzazione iniziale all'avvio avviene quando il client è "offline" o non protetto a causa della necessità di proteggere la sincronizzazione.
2. Il client non riesce a eseguire la sincronizzazione a causa di restrizioni di rete. È possibile che sia stata eseguita una sincronizzazione iniziale, ma gli aggiornamenti successivi non riusciranno e il client risulterà offline.
3. Il computer ha cambiato rete dopo l'ultimo avvio del client. Ad esempio, il computer è stato acceso in un bar-panetteria con accesso sincronizzato, quindi portato nella rete aziendale senza accesso sincronizzato. Il client rimane protetto/crittografato se DNS è disponibile, ma il dashboard segnala che il client è offline.

Il computer segnala un avviso di assenza di connettività

Quando si utilizza il client in roaming, i computer in determinati ambienti di rete possono visualizzare un indicatore "triangolo giallo" per la connettività di rete, ma l'accesso alla rete è completamente operativo. Questo può influire sulle applicazioni Microsoft, ad esempio Outlook, poiché non vengono sincronizzate se l'indicatore viene attivato.

1. Si tratta di un problema noto nella progettazione di Windows. Per risolverlo in modo permanente:
   • Windows 7/8: seguire le istruzioni per i file hosts riportate in questo documento.
   • Windows 10: Eseguire l'aggiornamento alla versione 1709 o successiva e attenersi alle seguenti istruzioni per modificare i Criteri di gruppo o il Registro di sistema per implementare la correzione di Microsoft.

La voce DNS locale del computer scompare

Il client mobile inoltra in modo trasparente qualsiasi query DNS a qualsiasi dominio incluso nell'elenco dei domini interni. Quando si utilizza il client in roaming, nella maggior parte dei casi vengono visualizzati due aggiornamenti anziché uno perché è in corso la modifica del DNS nel computer. Nel caso in cui il record scompaia:

1. Leggere questo articolo per distribuire un aggiornamento rapido di Microsoft per Windows 7 in modo da impedire l'eliminazione del record nel momento in cui il client entra in modalità protetta.