問題
嘗試通過Cisco Secure Access Zero Trust Access(ZTNA)訪問私有資源時遇到網路偵聽器錯誤的使用者。 此錯誤阻止成功連線到在零信任訪問環境中配置的任何私有資源,從而導致對內部應用程式和服務的完全訪問丟失。
環境
- 技術:思科安全存取 — 零信任存取(ZTNA)
- 軟體版本:5.1.14
- 產品系列:SEACACS
- 錯誤型別:網路攔截器錯誤
- 影響:嚴重 — 完全無法訪問專用資源
- 最近的更改:未報告
解析
可從Dart日誌中看到以下內容:
++找到以下日誌:
E/ ZtnaKdfConfigurator.cpp:208 ZtnaKdfConfigurator::StartIntercept()IZtnaApi::SetParameters失敗,錯誤代碼=BadParameter
2026-03-02 11:33:30.933701 csc_zta_agent[0x000020fc/config_enforcer, 0x00001994] E/ ZtnaConfigEnforcer.cpp:444 ZtnaConfigEnforcer::applyActiveSteeringPolicy()無法啟動/更新ZTNA攔截
2026-03-02 11:33:30.933701 csc_zta_agent[0x000020fc/config_enforcer, 0x00001994] I/ ZtnaConfigEnforcer.cpp:145 ZtnaConfigEnforcer::reportInterceptorConnectivityChange()報告KDF可達性: ConfigFailed
在DART的快取配置中
引入了結尾的空白區域 — cisco.com — 導致此問題。
- 經過進一步測試後,很明顯,為私有資源配置選擇「遠端可訪問地址」選項,並且「遠端可訪問地址」欄位未更改,或者與內部可訪問地址具有相同的值,此設定會在儲存時禁用自身。
- 但是,看起來在選中遠端可訪問地址欄位時,遠端可訪問地址FQDN中有一個額外的空白(例如,「cisco.com」與「cisco.com」),並且配置可以儲存。
- 由於預設零信任配置檔案正在使用中,這意味著任何新建立的或現有的私有資源配置都會向下推送到組織中的每個使用者,因此已同步具有此空格的配置。此空格導致客戶端顯示的「網路偵聽器」錯誤。
- 若要暫時解決此問題,請轉到專用資源並確保遠端可訪問地址FQDN中不存在空格。
原因
Cisco Secure Access Zero Trust Access中的網路偵聽器錯誤通常是由於ZTNA環境中的私有資源定義配置錯誤或問題引起的。檢查遠端可訪問地址欄位時,遠端可訪問地址FQDN中存在額外的空白(例如,「cisco.com」與「cisco.com」)。
相關內容
意見