Řešení potíží s instalací privátního síťového konektoru

  • Článek

Konektor privátní sítě Microsoft Entra je interní komponenta domény, která používá odchozí připojení k navázání připojení z dostupného koncového bodu cloudu k interní doméně. Konektor se používá jak Microsoft Entra Soukromý přístup, tak proxy aplikací Microsoft Entra.

Obecné problémové oblasti s instalací konektoru

Pokud instalace konektoru selže, hlavní příčinou je obvykle jedna z následujících oblastí. Jako prekurzor pro řešení potíží nezapomeňte konektor restartovat.

  • Připojení ivity – aby bylo možné dokončit úspěšnou instalaci, musí se nový konektor zaregistrovat a vytvořit budoucí vlastnosti důvěryhodnosti. Vztah důvěryhodnosti je vytvořen připojením ke cloudové službě proxy aplikací Microsoft Entra.
  • Vytvoření důvěryhodnosti – nový konektor vytvoří certifikát podepsaný svým držitelem a zaregistruje se do cloudové služby.
  • Ověřování správce – během instalace musí uživatel zadat přihlašovací údaje správce k dokončení instalace konektoru.

Poznámka:

Protokoly instalace konektoru najdete ve %TEMP% složce a můžou vám pomoct s dalšími informacemi o tom, co způsobuje selhání instalace.

Ověření připojení ke službě proxy cloudových aplikací a přihlašovací stránce Microsoftu

Cíl: Ověřte, že se počítač konektoru může připojit ke koncovému bodu registrace proxy aplikace a přihlašovací stránce Microsoftu.

  1. Na serveru konektoru spusťte test portu pomocí telnetu nebo jiného nástroje pro testování portů a ověřte, že jsou otevřené porty 443 a 80.

  2. Ověřte, že brána firewall nebo back-endový proxy server mají přístup k požadovaným doménám a portům, viz Příprava místního prostředí.

  3. Otevřete kartu prohlížeče a zadejte: https://login.microsoftonline.com. Ujistěte se, že se můžete přihlásit.

Ověření podpory certifikátů komponent počítače a back-endu

Cíl: Ověřte, že počítač konektoru, back-endový proxy server a brána firewall podporují certifikát vytvořený konektorem. Ověřte také platnost certifikátu.

Poznámka:

Konektor se pokusí vytvořit SHA512 certifikát podporovaný protokolem TLS (Transport Layer Security) 1.2. Pokud počítač nebo back-endová brána firewall a proxy server nepodporují protokol TLS 1.2, instalace se nezdaří.

Zkontrolujte požadované požadavky:

  1. Ověřte, že počítač podporuje protokol TLS (Transport Layer Security) 1.2 – všechny verze Windows po roce 2012 R2 by měly podporovat protokol TLS 1.2. Pokud je váš počítač konektoru verze 2012 R2 nebo starší, ujistěte se, že jsou nainstalované požadované aktualizace .

  2. Obraťte se na správce sítě a požádejte o ověření, že back-endový proxy server a brána firewall neblokují SHA512 odchozí provoz.

Ověření klientského certifikátu:

Ověřte kryptografický otisk aktuálního klientského certifikátu. Úložiště certifikátů najdete v %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xmlsouboru .

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Možné hodnoty IsInUserStore jsou true a false. Hodnota true znamená, že se certifikát automaticky obnoví a uloží v osobním kontejneru v úložišti certifikátů uživatele síťové služby. Hodnota false znamená, že se klientský certifikát vytvoří během instalace nebo registrace iniciované Register-MicrosoftEntraPrivateNetworkConnector. Certifikát je uložený v osobním kontejneru v úložišti certifikátů místního počítače.

Pokud je hodnota true, ověřte certifikát následujícím postupem:

  1. Stáhněte si PsTools.zip.
  2. Extrahujte příkaz PsExec z balíčku a spusťte příkaz psexec -i -u "nt authority\network service" cmd.exe z příkazového řádku se zvýšenými oprávněními.
  3. V nově zobrazeném příkazovém řádku spusťte příkaz certmgr.msc .
  4. V konzole pro správu rozbalte osobní kontejner a vyberte certifikáty.
  5. Vyhledejte certifikát vydaný connectorregistrationca.msappproxy.net.

Pokud je hodnota false, ověřte certifikát následujícím postupem:

  1. Spusťte certlm.msc.
  2. V konzole pro správu rozbalte osobní kontejner a vyberte certifikáty.
  3. Vyhledejte certifikát vydaný connectorregistrationca.msappproxy.net.

Obnovení klientského certifikátu:

Pokud konektor není připojený ke službě po dobu několika měsíců, můžou být jeho certifikáty zastaralé. Selhání obnovení certifikátu vede k vypršení platnosti certifikátu. Certifikát, jehož platnost vypršela, způsobí, že služba konektoru přestane fungovat. Do protokolu pro správu konektoru se zaznamená událost 1000:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

V takovém případě odinstalujte a znovu nainstalujte konektor, aby se aktivovala registrace, nebo můžete spustit následující příkazy PowerShellu:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Další informace o Register-MicrosoftEntraPrivateNetworkConnector příkazu najdete v tématu Vytvoření bezobslužného instalačního skriptu pro konektor privátní sítě Microsoft Entra.

Ověření použití správce k instalaci konektoru

Cíl: Ověřte, že uživatel, který se pokouší nainstalovat konektor, je správce se správnými přihlašovacími údaji. V současné době musí být uživatel alespoň správcem aplikace, aby instalace uspěla.

Ověření správnosti přihlašovacích údajů:

Připojení a https://login.microsoftonline.com používat stejné přihlašovací údaje. Ujistěte se, že přihlášení proběhlo úspěšně. Roli uživatele můžete zkontrolovat tak, že přejdete na Microsoft Entra ID ->Users and Groups ->All Users.

V výsledné nabídce vyberte svůj uživatelský účet a potom roli adresáře. Ověřte, že vybraná role je application Správa istrator. Pokud v těchto krocích nemůžete získat přístup k žádné ze stránek, nemáte požadovanou roli.

Chyby konektoru

Pokud se registrace během instalace průvodce konektorem nezdaří, existují dva způsoby, jak zobrazit důvod selhání. Buď se podívejte do protokolu událostí v části Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , nebo spusťte následující příkaz Windows PowerShellu:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Jakmile zjistíte chybu konektoru z protokolu událostí, vyřešte problém pomocí této tabulky běžných chyb:

Chyba Doporučené kroky
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Pokud jste okno registrace zavřeli bez přihlášení k ID Microsoft Entra, spusťte znovu průvodce konektorem a zaregistrujte konektor.

Pokud se otevře okno registrace a okamžitě se zavře, aniž byste se mohli přihlásit, zobrazí se chyba. K této chybě dochází v případě, že ve vašem systému dojde k chybě sítě. Ujistěte se, že se můžete připojit z prohlížeče k veřejnému webu a že jsou porty otevřené, jak je uvedeno v požadavcích proxy aplikací.
Clear error is presented in the registration window. Cannot proceed Pokud se zobrazí chyba a okno se zavře, zadali jste nesprávné uživatelské jméno nebo heslo. Zkuste to ještě jednou.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Pokoušíte se přihlásit pomocí účtu Microsoft, a ne domény, která je součástí ID organizace adresáře, ke kterému se pokoušíte získat přístup. Správce musí být součástí stejného názvu domény jako doména tenanta. Pokud je contoso.comnapříklad doména Microsoft Entra , měl by být admin@contoso.comsprávce .
Failed to retrieve the current execution policy for running PowerShell scripts. Pokud instalace konektoru selže, zkontrolujte, jestli nejsou zakázané zásady spouštění PowerShellu.

1. Otevřete Editor zásad skupiny.
2. Přejděte do konfigurace> počítače Správa istrativní šablony součásti>>systému Windows PowerShell a poklikejte na Zapnout spouštění skriptů.
3. Zásady spouštění lze nastavit buď na Nenakonfigurováno , nebo Povoleno. Pokud je nastavená možnost Povoleno, ujistěte se, že v části Možnosti je zásada spouštění nastavená na Povolit místní skripty a vzdálené podepsané skripty nebo povolit všechny skripty.
Connector failed to download the configuration. Platnost klientského certifikátu konektoru, který se používá k ověřování, vypršela. K tomuto problému dochází, pokud máte konektor nainstalovaný za proxy serverem. V takovém případě nemůže konektor přistupovat k internetu a nemůže poskytovat aplikace vzdáleným uživatelům. Obnovte důvěryhodnost ručně pomocí rutiny ve Windows PowerShellu Register-MicrosoftEntraPrivateNetworkConnector . Pokud je váš konektor za proxy serverem, je nutné udělit internetový přístup k účtům network services konektoru a local system. Udělení přístupu se provádí udělením přístupu k proxy serveru nebo obejitím proxy serveru.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Alias, kterým se pokoušíte přihlásit, není správcem této domény. Váš konektor je vždy nainstalovaný pro adresář, který vlastní doménu uživatele. Ujistěte se, že účet správce, pomocí kterého se pokoušíte přihlásit, má alespoň oprávnění správce aplikace k tenantovi Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Konektor se nemůže připojit ke cloudové službě proxy aplikací. K tomuto problému dochází, pokud máte pravidlo brány firewall, které blokuje připojení. Povolte přístup ke správným portům a adresám URL uvedeným v požadavcích proxy aplikací.

Vývojový diagram problémů s konektory

Tento vývojový diagram vás provede postupem ladění některých nejběžnějších problémů s konektory. Podrobnosti o jednotlivých krocích najdete v tabulce podle vývojového diagramu.

Vývojový diagram znázorňující kroky pro ladění konektoru

Krok Akce Popis
1 Vyhledání skupiny konektorů přiřazené k aplikaci Pravděpodobně máte nainstalovaný konektor na více serverech, v takovém případě by se konektory měly přiřadit ke skupině konektorů. Další informace oskupinách
2 Instalace konektoru a přiřazení skupiny Pokud nemáte nainstalovaný konektor, přečtěte si téma Instalace a registrace konektoru.

Pokud konektor není přiřazený ke skupině, přečtěte si téma Přiřazení konektoru ke skupině.

Pokud není aplikace přiřazená ke skupině konektorů, přečtěte si téma Přiřazení aplikace ke skupině konektorů.
3 Spuštění testu portu na serveru konektoru Na serveru konektoru spusťte test portu pomocí telnetu nebo jiného nástroje pro testování portů a zkontrolujte, jestli jsou otevřené porty 443 a 80.
4 Konfigurace domén a portů Ověřte, že jsou pro konektor správně nakonfigurované domény a porty. Některé porty musí být otevřené a adresy URL, ke kterým musí mít váš server přístup. Další informace naleznete v tématu Kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID.
5 Kontrola, jestli se používá back-endový proxy server Zkontrolujte, jestli konektory používají back-endové proxy servery, nebo je obejití. Podrobnosti najdete v tématu Řešení potíží s proxy konektorem a problémy s připojením ke službám.
6 Aktualizace nastavení konektoru a aktualizátoru pomocí informací o back-endovém proxy serveru Pokud se používá back-endový proxy server, ujistěte se, že konektor používá stejný proxy server. Podrobnosti o řešení potíží a konfiguraci konektorů pro práci s proxy servery najdete v tématu Práce se stávajícími místními proxy servery.
7 Načtení interní adresy URL aplikace na serveru konektoru Na serveru konektoru načtěte interní adresu URL aplikace.
8 Kontrola interního síťového připojení Ve vaší interní síti došlo k problému s připojením, který tento tok ladění nedokáže diagnostikovat. Aby konektory fungovaly, musí být aplikace interně přístupná. Protokoly událostí konektoru můžete povolit a zobrazit podle popisu v privátních síťových konektorech.
9 Prodloužení hodnoty časového limitu na back-endu V části Další Nastavení pro vaši aplikaci změňte nastavení časového limitu back-endové aplikace na Long. Viz Přidání místní aplikace do MICROSOFT Entra ID.
10 Pokud problémy potrvají, odlaďte aplikace. Ladění problémů s aplikací proxy aplikací

Další kroky