簡介
本文說明如何排除Netskope和Umbrella漫遊客戶端之間的相容性問題。
概觀
此KBA的目標使用者是Netskope代理遇到漫遊客戶端無法與Umbrella儀表板同步的問題。這會導致漫遊客戶端無法在網路上正確啟用。本文討論將我們的同步從Netskope代理中排除。
此資訊適用於Windows和MacOS上的漫遊客戶端。
影響
通過Netskope代理將SSL流量定向到Netskope伺服器時,漫遊客戶端無法與Umbrella成功同步。這會導致它保持未受保護的未加密狀態。在某些情況下,客戶端可能會在第一次同步前進行加密,這會導致已知問題導致解析內部域(不在本地DNS搜尋字尾清單中)失敗。
多個本機應用與Netskope一起運行,就像它們被證書固定一樣,導致第三方證書不被接受。此固定是由漫遊客戶端使用的.NET加密框架導致的。
解析度:從代理繞過漫遊客戶端
解決方案是排除漫遊客戶端的服務進程通過Netskope的代理通過「證書固定應用」功能進行定向。
如果定義了應用程式,則允許阻止或繞過應用。如果選擇「繞過」(漫遊客戶端同步所需),則Netskope客戶端不會將流量從端點引導到雲中的Netskope代理,並且應用繼續工作。如果選擇「阻止」,則Netskope客戶端將阻止流量。預設情況下,會繞過所有應用,但所需的設定是繞過漫遊客戶端的服務。
要編輯Certificate Pinned Applications和新增Umbrella漫遊客戶端服務,請執行以下步驟:
- 導航到設定>管理>證書固定應用程式>高級設定。將顯示「高級設定」視窗。
- 在「高級設定」視窗中,為每個應用程式選擇「自定義設定」。使用這些子步驟新增自定義服務/應用程式
- 在「Application(應用程式)」清單中,選擇「Microsoft Office 365 Outlook.com(沒有Umbrella選項,這允許我們向前移動)」,對於「Action(操作)」,選擇「Bypass(繞過)」。
- 對於「模式」,選擇「直接」。
- 在Plugin Process欄位中,為獨立漫遊客戶端輸入「ercservice.exe」。對於AnyConnect漫遊模組,輸入「acumbrellaplugin.exe」。
- 按一下「Submit」。「Advanced Settings(高級設定)」關閉。
- 在客戶端電腦上,重新啟動Netskope代理以立即提取這些新設定。(通常,當客戶端聯絡Netskope獲取更新時,客戶端會在一小時內進行更新。)
高級設定確實存在。這兩種情況都被認為有效;但是,建議使用Bypass + direct。
- 旁路+直接:選擇此項表示從客戶端繞過已配置的應用/域。它不會到達Netskope。
- 旁路+通道:如果選擇此項,則客戶端會通過隧道傳輸來自應用/域的流量,但Netskope代理會繞過它。此選項對於與SSO身份驗證服務關聯的域很有用,因為這些服務使用Netskope雲的源IP來確定對雲應用的訪問是否受Netskope保護。
意見