简介
本文档介绍如何排除Netskope和Umbrella漫游客户端之间的兼容性问题。
概述
此KBA的目标用户是Netskope代理遇到漫游客户端无法与Umbrella控制面板同步的问题。这会导致漫游客户端无法在网络上正确激活。本文讨论将我们的同步从Netskope代理中排除。
此信息适用于Windows和MacOS上的漫游客户端。
影响
当SSL通过Netskope代理进行隧道传送,将SSL流量定向到Netskope服务器时,漫游客户端无法与Umbrella成功同步。这会导致它保持未受保护的未加密状态。在某些情况下,客户端可以在第一次同步之前加密,这会导致已知问题,导致解析内部域(不在本地DNS搜索后缀列表中)失败。
多个本地应用与Netskope一起运行,就像它们被证书固定一样,导致第三方证书不被接受。此锁定是由漫游客户端使用的.NET加密框架导致的。
分辨率:从代理绕过漫游客户端
解决方案是排除漫游客户端的服务进程通过Netskope代理的“证书固定应用”功能进行定向。
应用程序(如果已定义)允许阻止或绕过应用。如果选择“绕行”(漫游客户端同步所需),则Netskope客户端不会将流量从终端引导到云中的Netskope代理,并且应用继续工作。如果选择“阻止”,则Netskope客户端会阻止流量。默认情况下,会绕过所有应用,但所需的设置是绕过漫游客户端的服务。
要编辑Certificate Pinned Applications和添加Umbrella漫游客户端服务,请执行以下步骤:
- 导航到设置>管理>证书固定应用>高级设置。系统将显示Advanced Settings窗口。
- 在“高级设置”窗口中,为每个应用程序选择“自定义设置”。使用这些子步骤添加自定义服务/应用
- 在Application(应用)列表中,选择Microsoft Office 365 Outlook.com(没有Umbrella选项,这允许我们继续前进),在Action(操作)中,选择Bypass(绕行)。
- 对于“模式”,选择“直接”。
- 在Plugin Process字段中,为独立漫游客户端输入“ercservice.exe”。对于AnyConnect漫游模块,请输入“acumbrellaplugin.exe”。
- 单击 submit。系统将关闭“高级设置”。
- 在客户端计算机上,重新启动Netskope代理以立即提取这些新设置。(客户端通常会在一小时内进行更新,因为客户端会联系Netskope获取更新。)
高级设置确实存在。这两种情况都被认为有效;但是,建议使用旁路+直接连接。
- 旁路+直接:选择此项表示从客户端绕过已配置的应用/域。它不会传送到Netskope。
- 旁路+隧道:如果选择此项,客户端将通过隧道传输来自应用/域的流量,但Netskope代理会绕过此项。此选项适用于与SSO身份验证服务关联的域,因为这些服务使用Netskope云的源IP来确定对云应用的访问是否受Netskope保护。
反馈