问题
尝试通过思科安全访问零信任访问(ZTNA)访问私有资源时遇到网络拦截器错误的用户。 此错误会阻止成功连接到在零信任访问环境中配置的任何私有资源,从而导致对内部应用程序和服务的访问完全中断。
环境
- 技术:思科安全访问 — 零信任访问(ZTNA)
- 软件版本:5.1.14
- 产品系列:SECACCS
- 错误类型:网络拦截器错误
- 影响:严重 — 完全无法访问私有资源
- 最近的更改:未报告
分辨率
这可在Dart日志中看到:
++找到以下日志:
E/ ZtnaKdfConfigurator.cpp:208 ZtnaKdfConfigurator::StartIntercept()IZtnaApi::SetParameters失败,错误代码为=BadParameter
2026-03-02 11:33:30.933701 csc_zta_agent[0x000020fc/config_enforcer, 0x00001994] E/ ZtnaConfigEnforcer.cpp:444 ZtnaConfigEnforcer::applyActiveSteeringPolicy()无法启动/更新ZTNA拦截
2026-03-02 11:33:30.933701 csc_zta_agent[0x000020fc/config_enforcer, 0x00001994] I/ ZtnaConfigEnforcer.cpp:145 ZtnaConfigEnforcer::reportInterceptorConnectivityChange()报告KDF可达性:ConfigFailed
在DART的缓存配置中
引入了结尾空格cisco.com,导致此问题。
- 经过进一步测试后,很明显,为私有资源配置选择remote reachable address选项,并且remote reachable address字段保持不变,或者具有与内部可到达地址相同的值,此设置会在保存时禁用自身。
- 但是,在选中远程可访问地址字段时,远程可访问地址FQDN中似乎有额外的空格(例如,“cisco.com”与“cisco.com”),并且配置可以保存。
- 由于默认零信任配置文件正在使用中,这意味着任何新创建的或现有的私有资源配置都会下推到组织中的每个用户,因此已同步具有此空格的配置。此空白导致客户端显示的“网络拦截器”错误。
- 要暂时解决此问题,请转至私有资源并确保远程可访问地址FQDN中不存在空格。
原因
Cisco Secure Access零信任访问中的网络拦截器错误通常由ZTNA环境中的私有资源定义配置错误或问题引起的。检查远程可访问地址字段时,远程可访问地址FQDN中有一个额外的空格(例如,“cisco.com”与“cisco.com”)。
相关内容
反馈