atrsut服务端升级到2.5.10版本，控制台UEM模块或者灰度升级界面的红点取消不成功，点击后会自动刷新跳转到控制台首页   1、F12查看对应点击后的跳转请求，有401的报错提示。 2、确认设备没有开通UEM授权 设备没有uem模块授权，服务端授权逻辑处理异常导致url校验访问报错401，红点标记无法清除 实施技术补丁包TD2025031300062解决          

设备越权漏洞确认    1、客户反馈有url可能存在越权漏洞，查看提供的地址是https://ip:port/passport/v1/public/authConfig?clientType=SDPBrowserClient&platform=Windows&lang=zh-CN&needTicket=1&mod=1   该地址是控制台管理员认证前的通用接口，下发认证配置使用；非设备越权漏洞          

控制台随便保存一条配置都会报错“内容存在非法注入，请重新输入”   1、输入F12打开浏览器开发工具，并复现该异常，发现服务端对保存配置的请求返回了400 BadRuquest 2、查看请求内容以及拦截日志，存在非法字符导致被判定为非法注入，所以触发设备底层安全提示，无法进行配置保存 3.检查配置，认证服务器的描述配置侧存在对应的非法字符，删除后正常     认证服务器的描述配置存在非法字符，导致被判定为非法注入，所以触发了设备底层安全提示，无法进行配置保存   找到并删除对应的非法字符即可 无        

【aTrust】应用封装提示连接封装服务器失败或者XX时XX分封装平台(https://ew.sangfor.com:60330)连接失败，请检查设备网络情况 telent或者curl -kv https://ew.sangfor.com:60330 测试连通性是否真的异常，必要时抓包验证； 检查设备授权，需要有单独的UEM移动版授权，集群环境需要检查主设备有移动版授权； 获取/hislog/log/uem-console 日志查看异常时间点日志也可以看到授权问题。 应用封装时，控制中心会上传本机的授权文件/app/.info/license/sf_license.lic给封装平台，封装平台会校验是否有UEM移动端授权，没有则会拒绝封装请求；设备提示的连接失败告警同理； 彻底解决方案： 1、更新uem移动版授权即可 2、如果是cssp 上部署的atrust，cssp下发的授权无法单独开移动端授权，需要按照临时处理方式处理，2.5.10之后版本产品改进   临时处理方案： 1、已封装好的应用导出配置 2、导入到客户设备          

双击atrust安装包显示aTrustUemPackageInstaller.exe应用程序错误，应用程序无法正常启动(0xc000007b)，请单击确定关闭应用程序   电脑开启了强制映像随机化（强制性ASLR）导致安装包初始化重定向表出现异常，Uem安装包暂时还不支持在该场景下运行； 1、关闭win10的ASLR如图所示：依次点击“开始”——>“设置”——>“更新与安全”——>“windows安全中心”——>“打开windows安全中心”——>“应用与浏览器控制”——>“Exploit Protection设置”  选择  强制映像随机化（强制性ASLR）下拉框的【使用默认值关闭】          

代理网关控制台-审计中心-日志中心-日志设置 修改日志存储空间使用情况的自动删除设置，阈值90%改成 30% 显示保存成功，退出控制台在进入发现还是90%  1、阈值90%改成 30% 显示保存成功，退出控制台在进入发现还是90%  2、代理网关自动删除设置显示“同步控制中心配置功能已关闭，以下配置内容为代理网关独立配置，与控制中心的配置可能存在差异” 1、代理网关的这个提示“同步控制中心配置功能已关闭，以下配置内容为代理网关独立配置，与控制中心的配置可能存在差异”有问题 ，实际自动删除设置还是由控制中心配置同步， 2、控制配置的是90%，代理网关改成30%后，还是由控制中心同步为90% 登录控制中心（注意不是代理网关）控制台-审计中心-日志中心-日志设置，修改自动删除日志的阈值后，代理网关自动同步后解决          

沙箱里面配置了策略仅放通了访问资源，有个资源没有发布资源在沙箱里面可以访问     1、沙箱里面可以访问的资源是域名资源，解析该域名发现与 atrust的接入ip一样，只是端口不一样 2、资源诊断该域名也是显示该资源没有权限，说明没有给用户发布这个资源   atrust客户端接入地址里面的ip，在沙箱里面默认会放通的 修改零信任的公网ip，保证零信任的公网ip跟业务系统的ip不使用同一个          

百度网盘更新后，在沙箱下载文件显示磁盘空间不足，但实际上是够的。（多个用户出现该问题） 版本信息：服务端2.4.10，客户端版本号2.5.10，2.4.10。 1、本地测试，使用本地环境验证，发现高版本百度网盘存在上述问题，提示磁盘空间不足。问题普适。 2、换回低版本百度网盘测试正常，与网络隔离模块无关。 3、使用UEM调试工具，禁用文件重定向模块恢复正常。 新版本百度网盘兼容性问题。新版本百度网盘存储逻辑和我方文件重定向冲突。 1、需要在在控制台配置一条针对baidunetdiskhost.exe 的进程自适应规则。 2、回退百度网盘客户端至历史版本（规避方案）。   无 否      

更新设备证书之后出现用户无法接入的情况 ，控制台检查证书发现查看证书有报错 如果是代理网关设备，会导致web应用无法访问 如果是控制中心设备，会导致用户无法接入 如果是综合网关设备，会导致用户无法接入，web应用无法访问 如果同时满足如下条件，就可以确认是该问题导致的 条件1：当前版本小于2.5.10，且设备上没有实施SP_aTrust_DFXImprove_02补丁包 条件2：nginx的日志（/hislog/log/nginx/sdp-proxy/error.log）存在"init_by_lua error:/usr/local/nginx/lualib/sdp/certlist.lua:59: load cert 'e2983dcb-422f-483c-ab6f-4f633ee6189f'failed: read cert file failed: /data/com/certs/e2983dcb-422f-483c-ab6f-4f633ee6189f.crt: No such file or directory"， 其中e2983dcb-422f-483c-ab6f-4f633ee6189f 为证书id，不同设备该id不同条件3：sdp-console日志（/hislog/log/sdp-console/sdp-console-web.log）存在"export .crt failed ; Reason: execFile throw error:  Mac verify error: invalid password", "failed to get certification info ; Reason: error:  invalid cert file or invaild password"等报错信息 服务端逻辑处理问题，更新设备证书失败，会导致被更新的证书被删除，从而导致sdp-proxy服务异常，接入端口无法正常接口 方案1：临时恢复方案，控制台依次查看web应用证书，查看时哪个报错，说明哪个证书是有问题的，删除该证书即可 方案2：升级到2510版本，2510解决了该问题 方案3：实施SP_aTrust_DFXImprove_02补丁包，该补丁包也解决了该问题              

部分手机上，atrustapp启动提示“隧道访问权限已拒绝，请重新开启隧道授权（10053）”       原因1: 可能是，曾经系统弹出　vpn授权框　时，用户拒绝了． 解决方案：卸载重新安装对应app，再次登录重试，如果有弹框授权框，不要在拒绝 原因2:有些厂家手机(常见红米和小米手机)，有自定义（非android标准）的＂始终开启＂的选项，此类手机把vpn独享权限给＂始终开启＂的app. 解决方案: 在手机设置－＞搜索VPN，　打开此界面．如果发现其他vpn有＂始终允许＂，通过点击右边小箭头，进入子界面，把＂始终允许＂关闭即可．          

所有用户访问隧道资源报错隧道启动失败   1、服务器版本2.2.16，装高版本客户端也不行，F12查看clientResource提示是获取服务器端策略失，message提示获取用户策略失败   2、检查【业务管理】-【策略管理】-【用户策略】策略发现配置了6.6的，管理员给用户策略配置了一个“6.6”值     1、【业务管理】-【策略管理】-【用户策略】策略发现去掉小数点2、升级2410修复解决 升级会影响业务，注意非业务时间进行操作        

想将VPN配置转换到atrust设备上，发现转换按钮是灰色 1、检查配置应用导入已正确勾选 2、atrust设备版本为2.4.10的版本 设备后台模块异常 1、找研发沟通确认，该问题可以打包（SP_aTrust_WebUI_0）解决，补丁包可从内部网盘获取，补丁包说明文件：https://pan.sangfor.com/preview.html?fileid=6785721 2、该补丁包无业务影响 不影响业务      

点击刚发布的企业微信应用提示:redirect_uri需使用应用可信域名   1、检查企业微信后台参数 “网页授权及JS-SDK”以及“企业微信授权登录”和aTrust设备接入地址（包括端口）是一致（均保持一致）   2、复制报错的url:https://open.work.weixin.qq.com/wwopen/uriconfirm?err_type=domain_err&uri=https%3A%2F%2FXXX作者已打码%3A40443%2Fpassport%2Fv1%2Fauth%2Fqywechat%3FsfDomain%3Dwechat，根据uri后面的链接，进行url解码，确认是跳转到了atrust的接入地址去了   3、检查发现企业微信上“影子应用”应用主页地址为web资源前端访问地址，非atrust控制中心配置的客户端接入地址（企业微信至少要配置一个应用用于企业微信和aTrust设备进行认证，简称“影子应用”），详细企业微信配置参考：https://support.sangfor.com.cn/productDocument/read?product_id=19&version_id=796&category_id=239565   “影子应用”应用主页地址不是atrust客户端接入地址,将该首页地址改成客户端接入地址解决 无   1 企业微信扫码认证，如果遇到“redirect uri与配置的授权完成回调...”二维码无法加载，先检查“网页授权及JS-SDK”、“企业微信授权登录”、“影子应用主页地址”是否和aTrust设备接入地址一致；   2 影子应用不要和客户正式微应用复用，修改影子应用需要修改atrust企业微信认证服务器的授权应用Secret和授权应用Agentld参数。   3 用户接入地址必须使用域名，并且如果有多地址的情况下，域名需要写到接入地址框框中，而不能写到多地址处，如果是用到443端口，在企业微信后台配置回调以及可信域名时，也需要加上该端口。    

查看终端手机系统为纯血鸿蒙next系统，访问单个域名资源没有走零信任，同一时间段访问其他域名资源没有问题。       1、在代理网关上查看对应aTrust账户的资源访问日志看不到访问异常资源域名的访问记录。   2、分析手机端日志可以看到访问异常的域名资源有被正常解析为内网地址，并且添加了对应内网IP的路由，但是虚拟网卡中并没有对应资源IP的包。 dns解析过程和路由规则都正常，但是没看到虚拟网卡中有对于IP包，虚拟网卡的引流是由华为系统实现的，但是华为系统手机有时不按标准来，dns请求会发往物理网卡（正常是走虚拟网卡的）。 1、临时方案：把 208.67.222.222和180.76.76.76和223.5.5.5这三个DNS服务器配置成资源 2、后续会在纯血鸿蒙系统的手机应用商店更新atrsut app进行解决     华为手机系统或者纯血鸿蒙NEXT系统上都可能触发该问题      

资源列表点击资源无反应 1.查看服务端的资源配置，浏览器的打开地址是很长一段的Url地址：   2.查看该字段的：该URL在结构上符合RFC 3986规范，但部分字符未进行百分号编码，可能导致解析问题。建议对保留字符进行编码以确保URL的完整性和正确性   3.将该浏览器打开地址：按照直接用这个在线工具生成编码下https://www.urlencoder.cn/url%E7%BC%96%E7%A0%81%E5%9C%A8%E7%BA%BF%E5%B7%A5%E5%85%B7.html   4.再次填入后能打开   1. 服务端配置的url中存在非百分比编码的字符2. 客户端打开浏览器前未进行百分比编码转换，导致url校验不通过 1. 可在服务端对配置的url手动进行百分比编码转换规避2. 客户端2510正式版本中已经对该文件进行处理          

windows终端登录客户端后，访问应用提示“隧道启动失败，该应用无法使用” 1、检查终端上时候有杀毒软件等，尝试卸载后，使用最新版的客户端测试，问题依旧。 2、获取分析客户端日志，发现xtunnel目录下没有对应日志记录。 3、发现%appdata%/sangfor/atrust/logs/xtunnel目录下，尝试打开xtunnel.log日志失败，日志有损坏，本地日志文件被三方占用导致异常，没有记录完整的隧道日志。   4、将atrust所有进程全部退出后（可以点击完全退出客户端），重命名%appdata%/sangfor/atrust/logs/xtunnel目录后，重新登录客户端后，应用访问正常，日志正常打印记录。   本地日志文件被三方占用导致异常 重命名%appdata%/sangfor/atrust/logs/xtunnel目录为重命名%appdata%/sangfor/atrust/logs/xtunnel1 无        

客户侧华为手机使用的atrust客户端拨入vpn后，再去通过em7访问访问隧道域名资源异常报错，测试其他安卓手机正常。 1、环境对比测试：内网用华为手机，不过vpn，访问正常。vpn环境下，用浏览器直接访问业务地址可以正常访问，但是em7内访问提示无法解析。  2、排查atrust移动端日志及抓包： （1）、移动端访问异常的时候，DNS解析是正常的 （2）、跟踪对应IP请求，数据正常交互。移动端访问异常的时候，隧道一直是好的，我方只是代理网络，未发现异常。 3、检查访问客户端访问异常时，审计日志中有acl拒绝的日志，查看应用防护策略有开启拒绝策略，但是没有包含该资源。   4、分析客户端日志，发现acl拦截日志，有包含域控资源。查看用户策略配置有配置强制下发DNS，导致客户端去访问解析域名的时候，会走该域控资源访问，然而对于域控资源在acl策略中是做了动作拒绝，从而导致访问被拒绝。 用户策略做了强制下发DNS，对应ACL策略又做了对于安卓手机+域控资源的动作拒绝导致。 将对应域控资源从ACL策略中移除后测试正常。          

问题背景： 1、用户目录与ad域控对接，手机号码从域控进行同步，域控的手机号码存在+86的特性 2、短信平台对+86号码处理存在异常，如果发送短信请求的号码是+86的号码，会发生不出去短信       使用自定义脚本，将手机号码的+86去掉，然后传递给短信平台进行发送，脚本如下： //使用自定义脚本，去除user.phone的+86值解决 function removeCountryCode(phoneNumber) {    // 使用正则表达式去除 +86    return phoneNumber.replace(/^\+86/, '');} const phoneNumber = user.phone;const cleanedNumber = removeCountryCode(phoneNumber);env.phone = cleanedNumber; PS：最终使用{{env.phone}}参数调用传递手机号码值          

分析中心部署后，虚拟机开机报错。   1.经研发确认，分析中心内部组 k8s 集群时会固定使用 10.244.0.0/16, 10.192.0.0/16 这两个网段, 现在跟客户主机网络冲突了, 导致部署失败。 客户内网网段和分析中心内置网段冲突 1.建议修改内网使用的主机网段，避免使用两个网段10.244.0.0/16, 10.192.0.0/16  2.如果无法修改内网网段，请联系技术支持处理          

想在MAC沙箱中使用VDI客户端，但是导入MAC沙箱时拨错，导入失败   1mac沙箱不支持在工作空间内使用深信服VDI客户端，当前建议在个人空间配置网络隔离出站规则允许VDI地址在个人空间使用   1.SangforVDIClient不支持客户端登录，只能通过浏览器登录，导入VDIClient到工作空间无意义。 2.VDI使用浏览器登录，登录过程中需要跟服务进程CSAgent通过127本机通信启动云桌面。CSAgent进程是在VDI安装时通过launchctl启动，运行在个人空间的服务进程，无法导入到空间。  3.登录后会启动桌面云客户端，桌面云客户端是通过模版拷贝一份，桌面云客户端需要跟VDI服务器建立连接和数据交互，沙箱内不支持此模式。 1.在个人空间配置网络隔离出站规则允许VDI地址在个人空间使用。 2.如果需要在工作空间内使用浏览器登录VDI，在安全空间配置网络隔离出站规则允许回环地址，否则会提示安装VDI客户端。