由于IPAEM配置,列入允许列表预览返回403
当IP允许列表阻止流量时,AEM中的预览环境会拒绝带403错误的请求。 默认预览允许列表会阻止所有IP或错误的条目拒绝访问。 删除或更正允许列表可恢复预览访问权限。
描述 description
环境
- Adobe Experience Manager as a Cloud Service (AEMaaCS)
- AEM as Cloud Service — 站点
- Adobe Experience Manager内部部署软件
问题/症状
- 包含消息的HTTP 403响应不允许错误403。 不允许。
- 响应标头显示deny-
reason=preview_whitelist_ip_generated. - CDN日志显示因允许列表规则而被拒绝的客户端IP。
- 使用一个域的预览端点在另一个域失败时有效。
- 修改或删除允许列表条目后,将恢复访问。
根本原因
使用阻止所有流量的默认IP允许列表创建预览服务。 当此列表保持活动状态或错误条目(如无效的CIDR范围或冲突的规则阻止有效的客户端IP时,请求会被拒绝。
解决方法 resolution
要解决此问题,请执行以下步骤:
- 访问失败的预览URL并检查响应标头。
- 验证 x-aem-debug: deny-reason=preview_whitelist_ip_generated 是否存在,并确认响应是否显示HTTP 403。
- 导航到Cloud Manager
>计划>环境>选择环境>IP允许列表并查看应用了哪些列表。 - 检查是否仍应用预览默认值
[envId]。 - 取消应用标记为预览默认
[envId]的允许列表。 - 重新加载预览URL,并验证它是否加载或显示其他错误。
- 查看所有IP/CIDR条目并删除无效条目,如0.0.0.0/32。
- 将无效范围替换为访问所需的正确IP范围。
- 创建并应用仅包含所需IP范围的新IP允许列表,例如办公VPN公共IP。
- 确认新允许列表在Cloud Manager中处于活动状态。
- 删除任何不打算预览的冲突或旧版允许列表,包括从创作或发布环境中重用的列表。 验证是否仅保留所需的列表。
- 测试预览Dispatcher端点(通常为.net格式),并将其与.com格式的CDN端点进行比较。
- 确认允许列表纠正后,两个端点的行为一致。
- 通过在浏览器中打开预览URL或运行以下命令并确认响应未返回 403 来重新测试预览访问权限:
curl -I https://preview-<env>.adobeaemcloud.com
experience-cloud-kcs-help-kbarticles