1. 客户端接入提示禁止切换未受保护的接入地址   确认平台配置，平台已经设置了此域名接入地址。 客户一开始是用ip接入的，后来换成域名接入了，测试之前已安装的客户端，用过ip接入的没办法换成域名，但是新装的没这个提示。确认平台也没做过升级，没有相关定制。 1. 启用接入地址切换防护，更换地址时会出现此告警。   1. 有切换需求的话，关闭接入地址切换防护即可。        

控制中心查询日志提示以下设备连接异常，导致无法读取日志信息   1、虚拟化设备，后台修改过设备地址，修改后出现的问题，控制中心有分布式集群 2、测试控制中心和代理网关443、4433连通性正常 3、控制中心修改网卡IP后，检查分布式单元配置的通信IP还是原来的网卡IP，代理网关重新加入控制中心后获取到的分布式线路配置还是旧IP，代理网关请求旧IP失败，无法反向建立长连接至控制中心   重新在分布式集群中心单元配置新的内网地址        

控制中心映射后访问提示400Bad Request   1、检查映射后的地址配置在别名地址 2、当前环境较特殊，前端存在代理，所以无法直接抓包验证，先从服务端抓HTTPS监听端口（443），客户端抓本地网卡过滤接入地址的包，先尝试按以下方式过滤（客户端找到到proxy的数据流，然后选择clienthello中的 tls session字段作为过滤条件；服务端数据包使用相同的过滤条件过滤，看是否可找到对应的数据包）： 过滤结果如图，没有找到相同过滤结果 3、在控制中心取日志： cp /hislog/log/nginx/sdp-nginx/error.log /shared/，过滤400，看到实际代理访问行为是http://x.x.x.x:443 cp /hislog/log/nginx/sdp-portal/access.log /shared/ 结合error.log日志分析，也可以根据access.log日志进一步明确测试客户端的客户端IP     前端代理行为访问http://x.x.x.x:443，需前端代理设备调整          

对接HTTPS认证，通过“启用cookie代理下发”实现单点，存在多个需要通过cookie传输的返回值。   1、客户反馈需要将info_token，access_token，refresh_token存入浏览器COOIKE 2、获取token信息 3、响应中配置脚本后，认证成功条件配置成code等于1 function AfterResponse(response, result) { let dataJson = JSON.parse(response.body); let accesstoken = dataJson.access_token; let refreshtoken = dataJson.refresh_token; let infotoken = dataJson.info_token; let tokenData = { access_token: accesstoken, refresh_token: refreshtoken, info_token: infotoken }; if(typeof accesstoken === "undefined"){ accesstoken = null; } result['code'] = (accesstoken === null) ? 0 : 1; if (accesstoken!==null){ result['access_token']= accesstoken; //设置 Cookie 的数据 let cookiesData ={ key: "tokens_session", value: JSON.stringify(tokenData), option: { domain: "fcsc.com" } // 普换为你想要的城名 }; setCookies(env,cookiesData); } } AfterResponse(response, result);   根据客户要求需通过cookie传递的token信息编辑响应数据预处理脚本即可。          

接口配置IPv6地址报错，“请输入合法的ipv6地址，排除多播地址、本地链接地址、回环地址” 1、使用子网掩码计算器工具计算，该地址不是属于多播地址 2、确定地址是不是fec0:: 开头的地址 fec0:: 开头地址为被废弃了的本机ipv6站点地址，但设备还是有做相关限制，导致无法配置 通过打包解决，2.4.10版本： custom_build_TJNYTZ_TD2025033000021_20250331102805_2410_CM.bin和 custom_build_Common_TD2025033000021_20250331112628_2410_CM.bin两个包没有顺序，都需要打上。 注意：两个包打包前都先打check包，检查是否有冲突 操作影响：打包会重启控制台服务，控制台无法操作访问 影响时间：3分钟左右      

atrust设备低版本配置导入到高版本提示“配置文件解压失败” 1、获取旧设备的版本及导入配置的新设备版本对照如下表格支持互导 aTrust版本配置维护支持：2.1.17、2.2.2、2.2.4、2.2.10、2.2.16说明：表格说明 ：将某低版本配置文件（源设备版本配置）导入某高版本＞＞＞ 是否支持√：完整支持×：不支持-：不兼容高导低   导入目标版本>>> 源设备版本 aTrust2.1.17 aTrust2.2.2 aTrust2.2.4 aTrust2.2.10(含SP系列) aTrust2.2.16 aTrust2.3.10 aTrust2.4.10 aTrust2.5.10 aTrust2.1.17 √ √ √ √ √ √ √ - aTrust2.2.2 - √ √ √ √ √ √ √ aTrust2.2.4 - - √ √ √ √ √ √ aTrust2.2.10(含SP系列) - - - √ √ √ √ √ aTrust2.2.16 - - - - √ √ √ √ aTrust2.3.10 - - - - - √ √ √ aTrust2.4.10 - - - - - - √ √ aTrust2.5.10 - - - - - - - √ 2、获取密码将备份的配置在本地环境导入也存在同样的报错 3、怀疑导入配置时解压密码与导出配置的压缩密码对不上，尝试重新在旧设备导出配置自定义密码再导入新设备成功 导入配置时填写的解压密码与导出配置时的压缩密码对不上导致 重新导出备份配置设置解压密码 无 否 导出配置时密码可以自定义，导入设备时填写的解压密码需要与导出填写的压缩密保持一致    

mac电脑卸载atrust客户端后，工作空间数据未清理。卸载atrust后，只清理了atrust客户端占用的空间。   1、跟客户侧了解后，客户侧使用第三方app cleaner卸载软件操作卸载的，未按照标准卸载方式操作，导致未弹出卸载工作空间的操作。 2、内部确认后，macOS15系统手动关闭sangfor启动项，然后手动删除这个四个目录，然后重启电脑即可。 /Applications/.SFUemClient.app/Library/Application Support/uem/usr/local/lib/libsfsandbox.dylib/Library/LaunchDaemons/com.sangfor.auem.sfservice.plist 使用第三方app cleaner卸载软件操作卸载的，未按照标准卸载方式操作，导致未弹出卸载工作空间的操作。 macOS15系统手动关闭sangfor启动项，然后手动删除这个四个目录，然后重启电脑即可。 /Applications/.SFUemClient.app/Library/Application Support/uem   （工作主要数据存放目录）/usr/local/lib/libsfsandbox.dylib/Library/LaunchDaemons/com.sangfor.auem.sfservice.plist        

aTrust设备上配置了短信主认证，测试的用户账户绑定的手机号码为非国内号码，登录测试一直收不到短信验证码。   1、查看aTrust设备审计日志，发现对应测试账户日志信息里面提示“手机号码找不到对应用户”，将用户绑定的手机号码修改为国内手机号码测试可以正常接收短信验证码。   2、检查用户账户信息里面时间是设置了手机号码参数的。 只有国内的86格式的手机号可以不带区号进行查找，其它地区的手机号都要有区号，比如：用户绑定的国外手机号码格式需为852-123456或者+852123456（852为区号，123456为国外手机号码） 将用户账户所绑定的国外手机号码格式改为区号-国外手机号码或者+区号接国外手机号码的格式。        

MAC电脑安装atrust时提示报错，“安装器”意外退出 1、查看用户电脑系统是M4芯片（其他M系列也有类似问题） 2、手动命令安装客户端提示报错：runtime library is newer than runtime M 系列芯片是基于 ARM 架构，而当前aTrust是x86_64架构的，需要通过rosetta转化才能安装 通过 softwareupdate --install-rosetta --agree-to-license 安装rosetta后，再重新安装aTrust客户端   注意：该步骤mac电脑需要连接互联网        

用户策略配置了免二次认证有效期是15天，用户日志可以看到一个用户在一天内两次登录都有发送短信的二次认证 1、确认用户策略是配置了免二次认证有效期是15天，同时看认证策略有配置二次认证是短信认证     1、免二次认证是通过cookie字段来确认的，字段是secondaryId用户名@domain，如果浏览器没有上报这个字段就会要重新进行二次认证，所以配置上面写的是同一个浏览器 2、用户手动清理了浏览器的cookie或者开启无痕模式都会导致这个cookie不报上来导致零信任服务端要求进行二次认证 正常机制，手动清理了浏览器的cookie或者开启无痕模式都会导致这个cookie不报上来导致零信任服务端要求进行二次认证        

atrsut服务端升级到2.5.10版本，控制台UEM模块或者灰度升级界面的红点取消不成功，点击后会自动刷新跳转到控制台首页   1、F12查看对应点击后的跳转请求，有401的报错提示。 2、确认设备没有开通UEM授权 设备没有uem模块授权，服务端授权逻辑处理异常导致url校验访问报错401，红点标记无法清除 实施2.5.10通用补丁包stableimprove01          

统信电脑打开atrust客户端电脑就无法上网，退出atrust客户端则可以上网   1、客户端启用了SPA场景 2、系统托盘导出客户端日志，查看客户端日志“aTrustAgent_plugins_aTrustCore_h_e.log”有大量的 write: permission denied日志；说明安全软件拦截导致 麒麟系统自带的安全中心里面的“网络保护”-“应用联网控制”拦截导致 关闭麒麟系统自带的安全中心里面的“网络保护”-“应用联网控制”        

手机拉起企微APP认证报错：登录失败，您在企业微信登陆的企业与当前登陆方式对应的企业不一致 手机拉起企微APP认证报错：登录失败，您在企业微信登陆的企业与当前登陆方式对应的企业不一致 检查应用的企业微信授权登陆界面，未将aTrust APP iOS端的Bundle ID以及Andoroid端的应用包名和签名注册至企业微信   未将aTrust APP iOS端的Bundle ID以及Andoroid端的应用包名和签名注册至企业微信导致 需要在应用管理-点开对应应用-企业微信授权登陆界面将aTrust APP iOS端的Bundle ID以及Andoroid端的应用包名和签名注册至企业微信 iOS Bundle ID：com.sangfor.atrust.mobile Android应用签名：02c3b91ecb5304b2de41a6be56abf60a Android应用包名：com.sangfor.atrust   无 否 需要在应用管理-点开对应应用-企业微信授权登陆界面将aTrust APP iOS端的Bundle ID以及Andoroid端的应用包名和签名注册至企业微信 iOS Bundle ID：com.sangfor.atrust.mobile Android应用签名：02c3b91ecb5304b2de41a6be56abf60a Android应用包名：com.sangfor.atrust 无

1.客户内网访问aTrust代理网关441端口不通，但是切换热点正常。 2.场景特点：总部内网出口存在负载设备AD，AD接口存在多IP，访问分支atrust设备时会将源IP转换成多个接口地址。网络拓扑：总部：PC--AC--AF--AD-------分支：AF--atrust。 1. 在分支atrust设备抓包看抓不到总部异常诊断访问的UDP敲门包，只能抓到其对应的TCP握手包，但是在总部出口AD是都可以抓到的。查看atrust审计日志也只有一两个UDP敲门的日志，无资源访问日志。 2. 由于总部AD出口有多地址固定IP比较方便抓包，尝试配置snat转换成固定IP，配置后发现问题解决了，再没有出现过441不通的情况，而且固定成出口任何一个地址都能正常访问。 3. 最后对比AD的包发现AD存在接口多地址的情况下UDP敲门的包和TCP握手的包会转换成不通的源IP出去导致敲门失败。 4、分析如图TCP三次握手的SYN包转换成了222.187.135.181的地址： 而SPA中UDP的敲门包却转换成了222.187.135.180的地址： 当用户所在网络区域出口设备存在接口多地址的情况下，出口上网设备未转换成固定IP，可能会导致UDP敲门的包和TCP握手的包转换成不同的源IP，导致敲门失败。 客户端公网出口负载设备单独配置一条snat策略，访问atrust映射前的公网地址时，固定成一个接口源IP去访问。        

设备越权漏洞确认    1、客户反馈有url可能存在越权漏洞，查看提供的地址是https://ip:port/passport/v1/public/authConfig?clientType=SDPBrowserClient&platform=Windows&lang=zh-CN&needTicket=1&mod=1   该地址是控制台管理员认证前的通用接口，下发认证配置使用；非设备越权漏洞          

控制台随便保存一条配置都会报错“内容存在非法注入，请重新输入”   1、输入F12打开浏览器开发工具，并复现该异常，发现服务端对保存配置的请求返回了400 BadRuquest 2、查看请求内容以及拦截日志，存在非法字符导致被判定为非法注入，所以触发设备底层安全提示，无法进行配置保存 3.检查配置，认证服务器的描述配置侧存在对应的非法字符，删除后正常     认证服务器的描述配置存在非法字符，导致被判定为非法注入，所以触发了设备底层安全提示，无法进行配置保存   找到并删除对应的非法字符即可 无        

【aTrust】应用封装提示连接封装服务器失败或者XX时XX分封装平台(https://ew.sangfor.com:60330)连接失败，请检查设备网络情况 telent或者curl -kv https://ew.sangfor.com:60330 测试连通性是否真的异常，必要时抓包验证； 检查设备授权，需要有单独的UEM移动版授权，集群环境需要检查主设备有移动版授权； 获取/hislog/log/uem-console 日志查看异常时间点日志也可以看到授权问题。 应用封装时，控制中心会上传本机的授权文件/app/.info/license/sf_license.lic给封装平台，封装平台会校验是否有UEM移动端授权，没有则会拒绝封装请求；设备提示的连接失败告警同理； 彻底解决方案： 1、更新uem移动版授权即可 2、如果是cssp 上部署的atrust，cssp下发的授权无法单独开移动端授权，需要按照临时处理方式处理，2.5.10之后版本产品改进   临时处理方案： 1、已封装好的应用导出配置 2、导入到客户设备          

双击atrust安装包显示aTrustUemPackageInstaller.exe应用程序错误，应用程序无法正常启动(0xc000007b)，请单击确定关闭应用程序   电脑开启了强制映像随机化（强制性ASLR）导致安装包初始化重定向表出现异常，Uem安装包暂时还不支持在该场景下运行； 1、关闭win10的ASLR如图所示：依次点击“开始”——>“设置”——>“更新与安全”——>“windows安全中心”——>“打开windows安全中心”——>“应用与浏览器控制”——>“Exploit Protection设置”  选择  强制映像随机化（强制性ASLR）下拉框的【使用默认值关闭】          

代理网关控制台-审计中心-日志中心-日志设置 修改日志存储空间使用情况的自动删除设置，阈值90%改成 30% 显示保存成功，退出控制台在进入发现还是90%  1、阈值90%改成 30% 显示保存成功，退出控制台在进入发现还是90%  2、代理网关自动删除设置显示“同步控制中心配置功能已关闭，以下配置内容为代理网关独立配置，与控制中心的配置可能存在差异” 1、代理网关的这个提示“同步控制中心配置功能已关闭，以下配置内容为代理网关独立配置，与控制中心的配置可能存在差异”有问题 ，实际自动删除设置还是由控制中心配置同步， 2、控制配置的是90%，代理网关改成30%后，还是由控制中心同步为90% 登录控制中心（注意不是代理网关）控制台-审计中心-日志中心-日志设置，修改自动删除日志的阈值后，代理网关自动同步后解决          

沙箱里面配置了策略仅放通了访问资源，有个资源没有发布资源在沙箱里面可以访问     1、沙箱里面可以访问的资源是域名资源，解析该域名发现与 atrust的接入ip一样，只是端口不一样 2、资源诊断该域名也是显示该资源没有权限，说明没有给用户发布这个资源   atrust客户端接入地址里面的ip，在沙箱里面默认会放通的 修改零信任的公网ip，保证零信任的公网ip跟业务系统的ip不使用同一个