Beheben von Problemen mit Anwendungsproxy und Fehlermeldungen

Stellen Sie zunächst sicher, dass die Anwendungsproxyconnectors ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Debuggen von Problemen mit Anwendungsproxyconnectors und Debuggen von Problemen mit Anwendungsproxyanwendungen.

Wenn beim Zugriff auf eine veröffentlichte Anwendung oder beim Veröffentlichen von Anwendungen Fehler auftreten, ermitteln Sie durch Überprüfung der folgenden Optionen, ob der Microsoft Entra-Anwendungsproxy ordnungsgemäß funktioniert:

  • Öffnen Sie die Windows-Dienste-Konsole. Vergewissern Sie sich, dass der Dienst Microsoft Entra-Anwendungsproxyconnector aktiviert ist und ausgeführt wird. Sehen Sie sich die Seite mit den Eigenschaften des Anwendungsproxydiensts an, wie in der Abbildung gezeigt.
    Microsoft Entra application proxy connector Properties window screenshot
  • Öffnen Sie die Ereignisanzeige, und suchen Sie unter Anwendungs- und Dienstprotokolle>Microsoft>AadApplicationProxy>Connector>Administrator nach Ereignissen, die sich auf den Anwendungsproxyconnector beziehen.
  • Überprüfen Sie die detaillierten Protokolle. Aktivieren Sie Sitzungsprotokolle für Anwendungsproxyconnectors.

Die Seite wird nicht richtig gerendert.

Bei Ihnen treten Probleme mit dem Rendern der Anwendung oder einer fehlerhaften Funktionsweise auf, ohne dass Sie spezifische Fehlermeldungen erhalten. Dieses Problem tritt auf, wenn Sie den Artikelpfad veröffentlicht haben, für die Anwendung aber Inhalt erforderlich ist, der außerhalb des Pfads vorliegt.

Wenn Sie beispielsweise den Pfad https://yourapp/app veröffentlichen, die Anwendung aber Bilder in https://yourapp/media aufruft, werden sie nicht gerendert. Stellen Sie sicher, dass Sie die Anwendung mit dem Pfad der höchsten benötigten Ebene veröffentlichen, damit der gesamte relevante Inhalt einbezogen wird. In diesem Beispiel lautet er http://yourapp/.

Zu lange Ladezeiten bei einer Anwendungsproxyanwendung

Anwendungen können funktionsfähig sein, aber eine lange Latenz aufweisen. Optimierungen der Netzwerktopologie können zu Verbesserungen bei der Geschwindigkeit führen. Eine Bewertung der unterschiedlichen Topologien finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Azure Active Directory-Anwendungsproxys.

Anwendungsseite für eine Anwendungsproxyanwendung nicht richtig angezeigt

Wenn Sie eine Anwendungsproxyanwendung veröffentlichen, können Sie beim Zugriff auf die Anwendung nur Seiten in Ihrem Stammordner öffnen. Wenn die Seite nicht ordnungsgemäß angezeigt wird, fehlen der internen Stamm-URL für die Anwendung möglicherweise einige Seitenressourcen. Um dies zu beheben, veröffentlichen Sie alle Ressourcen für die Seite als Teil Ihrer Anwendung.

Überprüfen Sie, ob fehlende Ressourcen das Problem sind. Öffnen Sie Ihre Netzwerkverfolgung, z. B. Fiddler oder F12-Tools in Microsoft Edge. Laden Sie die Seite, und suchen Sie nach 404-Fehlern. Diese Fehler geben an, dass die Seiten nicht gefunden werden können und dass sie veröffentlicht werden müssen.

Gehen wir z. B. davon aus, dass Sie eine Ausgabenanwendung veröffentlicht haben, die die interne URL http://myapps/expenses verwendet. Die App verwendet jedoch das Stylesheet http://myapps/style.css. In diesem Fall wird das Stylesheet nicht in der Anwendung veröffentlicht, sodass das Laden der Ausgabenanwendung einen 404-Fehler beim Laden von style.css auslöst. In diesem Beispiel wird das Problem durch eine Veröffentlichung der Anwendung mit der internen URL http://myapp/ behoben.

Probleme mit der Veröffentlichung in einer einzelnen Anwendung

Wenn eine Veröffentlichung aller Ressourcen innerhalb derselben Anwendung nicht möglich ist, müssen Sie mehrere Anwendungen veröffentlichen und Links zwischen diesen aktivieren.

Zu diesem Zweck empfiehlt sich die Lösung Benutzerdefinierte Domänen. Diese Lösung erfordert jedoch, dass Sie das Zertifikat für Ihre Domäne besitzen und Ihre Anwendungen vollqualifizierte Domänennamen (FQDNs) verwenden. Weitere Optionen finden Sie in der Dokumentation zur Problembehandlung bei fehlerhaften Links.

Ich kann meine Anwendung aufrufen, aber die Links auf der Anwendungsseite funktionieren nicht.

Bei meiner Anwendung tritt ein Konnektivitätsproblem auf.

Ich weiß nicht, welche Ports ich für die Anwendung öffnen muss.

Ich habe ein Problem beim Konfigurieren des Microsoft Entra-Anwendungsproxys im Verwaltungsportal.

Ich weiß nicht, wie einmaliges Anmelden bei meiner Anwendungsproxyanwendung konfiguriert wird.

Beim Einrichten der Back-End-Authentifizierung für meine Anwendung treten Probleme auf.

Ich weiß nicht, wie die eingeschränkte Kerberos-Delegierung konfiguriert wird. Ich weiß nicht, wie meine Anwendung mit PingAccess konfiguriert wird.

Beim Anmelden bei meiner Anwendung treten Probleme auf.

Ich erhalte den Fehler Can't Access this Corporate Application. Informationen zum Beheben dieses Problems finden Sie unter Timeoutfehler aufgrund eines ungültigen Gateways.

Ich habe ein Problem mit dem Anwendungsproxyconnector.

Ich habe Probleme beim Installieren des Anwendungsproxyconnectors.

Connectorfehler

Wenn während der Connector-Installation mithilfe des Assistenten ein Fehler bei der Registrierung auftritt, haben Sie zwei Möglichkeiten, um den Grund dafür anzuzeigen. Suchen Sie entweder im Ereignisprotokoll unter Windows Logs\Application (filter by Source = "Microsoft Entra application proxy connector" oder führen Sie den folgenden Windows PowerShell-Befehl aus:

Get-EventLog application –source "Microsoft AAD application proxy connector" –EntryType "Error" –Newest 1

Sobald Sie den Connectorfehler im Ereignisprotokoll gefunden haben, beheben Sie das Problem anhand dieser Tabelle mit häufig auftretenden Fehlern:

Fehler Empfohlene Schritte
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Wenn Sie das Registrierungsfenster geschlossen haben, ohne sich bei Microsoft Entra ID anzumelden, führen Sie den Connector-Assistenten erneut aus, und registrieren Sie den Connector.

Wenn sich das Registrierungsfenster öffnet und dann sofort wieder schließt, ohne dass Sie sich anmelden können, erhalten Sie den Fehler. Der Fehler tritt auf, wenn in Ihrem System ein Netzwerkfehler vorliegt. Stellen Sie sicher, dass sie mit einem Browser eine Verbindung mit einer öffentlichen Website herstellen können, und dass die Ports wie unter Voraussetzungen für den Anwendungsproxy angegeben geöffnet sind.
Clear error is presented in the registration window. Cannot proceed Wenn die Fehlermeldung angezeigt und das Fenster dann geschlossen wird, haben Sie den Benutzernamen oder das Kennwort falsch eingegeben. Versuchen Sie es erneut.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Sie versuchen, sich mithilfe eines Microsoft-Kontos und nicht mithilfe einer Domäne anzumelden, die Bestandteil der Organisations-ID des Verzeichnisses ist, auf das Sie zugreifen möchten. Der Administrator muss Teil desselben Domänennamens wie die Mandantendomäne sein. Wenn die Microsoft Entra-Domäne beispielsweise contoso.com ist, muss der Administrator admin@contoso.com sein.
Failed to retrieve the current execution policy for running PowerShell scripts. Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist.

1. Öffnen Sie den Gruppenrichtlinien-Editor.
2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren.
3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist.
Connector failed to download the configuration. Das Clientzertifikat des Connectors, das für die Authentifizierung verwendet wird, ist abgelaufen. Das Problem tritt auf, wenn der Connector hinter einem Proxy installiert ist. In diesem Fall kann der Connector nicht auf das Internet zugreifen und ist nicht in der Lage, Anwendungen für Remotebenutzer bereitzustellen. Erneuern Sie die Vertrauensstellung manuell mithilfe des Cmdlets Register-AppProxyConnector in Windows PowerShell. Wenn sich der Connector hinter einem Proxy befindet, ist es notwendig, den Connectorkonten network services und local system Zugriff auf das Internet zu gewähren. Das Gewähren des Zugriffs erfolgt durch Gewähren des Zugriffs auf den Proxy oder durch Umgehen des Proxys.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Der Alias, mit dem Sie sich anzumelden versuchen, ist kein Administrator für diese Domäne. Ihr Connector wird immer für das Verzeichnis installiert, das Besitzer der Domäne des Benutzers ist. Stellen Sie sicher, dass das für die Anmeldung verwendete Administratorkonto mindestens über Berechtigungen als „Anwendungsadministrator“ für den Microsoft Entra-Mandanten verfügt.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Der Connector kann keine Verbindung mit dem Cloud-Dienst des Anwendungsproxys herstellen. Das Problem tritt auf, wenn eine Firewallregel die Verbindung blockiert. Gewähren Sie Zugriff auf die richtigen Ports und URLs, die in Voraussetzungen für den Anwendungsproxy aufgeführt sind.

Kerberos-Fehler

Diese Tabelle zeigt häufiger auftretende Fehler bei der Kerberos-Einrichtung und -Konfiguration und enthält Vorschläge zu deren Auflösung.

Fehler Empfohlene Schritte
Failed to retrieve the current execution policy for running PowerShell scripts. Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist.

1. Öffnen Sie den Gruppenrichtlinien-Editor.
2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren.
3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Dieser Fehler deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Back-End-Server hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Back-End-Anwendungsserver synchronisiert ist.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Es liegt ein Problem mit der Konfiguration des Sicherheitstokendiensts (Security Token Service, STS) vor. Korrigieren Sie die Anspruchskonfiguration des Benutzerprinzipalnamens (User Principal Name, UPN) im STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Domänencontroller-Server oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die Konfiguration des Dienstprinzipalnamens (Service Principal Name, SPN). Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit Microsoft Entra ID einrichtet. Beide müssen dieselbe Domäne verwenden. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Domänencontroller synchronisiert ist.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Domänencontroller-Server oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Domänencontroller hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver ordnungsgemäß konfiguriert sind, insbesondere die SPN-Konfiguration. Stellen Sie sicher, dass der Domänencontroller eine Vertrauensstellung mit Microsoft Entra ID einrichtet. Beide müssen dieselbe Domäne verwenden. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Domänencontroller synchronisiert ist.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Dieses Ereignis deutet auf eine fehlerhafte Konfiguration zwischen Microsoft Entra ID und dem Back-End-Anwendungsserver oder auf ein Problem bei der Konfiguration von Zeit und Datum auf beiden Computern hin. Der Back-End-Server hat das von Microsoft Entra ID erstellte Kerberos-Ticket abgelehnt. Stellen Sie sicher, dass Microsoft Entra ID und der Back-End-Anwendungsserver korrekt konfiguriert sind. Stellen Sie sicher, dass die Konfiguration von Datum und Uhrzeit in Microsoft Entra ID und auf dem Back-End-Anwendungsserver synchronisiert ist. Weitere Informationen finden Sie unter Problembehandlung von Konfigurationen der eingeschränkten Kerberos-Delegierung für Anwendungsproxy.

Endbenutzerfehler

Diese Liste enthält Fehler, die bei Ihren Endbenutzern möglicherweise auftreten, wenn sie nicht erfolgreich auf die App zugreifen können.

Fehler Empfohlene Schritte
The website cannot display the page. Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, sofern es sich um eine IWA-Anwendung (Integrierte Windows-Authentifizierung) handelt. Der definierte SPN für diese Anwendung ist falsch. Stellen Sie für IWA-Apps sicher, dass für diese Anwendung der richtige SPN konfiguriert ist.
The website cannot display the page. Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, sofern es sich um eine OWA-Anwendung (Outlook-Webanwendung) handelt. Das Problem entsteht aus folgenden Gründen:
  • Der definierte SPN für diese Anwendung ist falsch. Stellen Sie sicher, dass für diese Anwendung der richtige SPN konfiguriert ist.
  • Der Benutzer, der auf die Anwendung zugreifen möchte, verwendet für die Anmeldung ein Microsoft-Konto anstelle des richtigen Unternehmenskontos, oder der Benutzer ist ein Gastbenutzer. Vergewissern Sie sich, dass Benutzer sich mithilfe ihres Unternehmenskontos anmelden, das der Domäne der veröffentlichten Anwendung entspricht. Microsoft-Konto- und Gastbenutzer können nicht auf IWA-Anwendungen zugreifen.
  • Der Benutzer, der auf die Anwendung zugreifen möchte, ist für diese Anwendung auf der lokalen Seite nicht ordnungsgemäß definiert. Stellen Sie sicher, dass dieser Benutzer über die entsprechenden Berechtigungen verfügt, wie für diese Back-End-Anwendung auf dem lokalen Computer definiert.
  • This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte App zuzugreifen, wenn er Microsoft-Konten anstelle seines Unternehmenskontos zur Anmeldung verwendet. Gastbenutzer erhalten diesen Fehler. Microsoft-Kontobenutzer und Gäste können nicht auf IWA-Anwendungen zugreifen. Vergewissern Sie sich, dass Benutzer sich mithilfe ihres Unternehmenskontos anmelden, das der Domäne der veröffentlichten Anwendung entspricht.

    Sie müssen den Benutzer für diese Anwendung zuweisen. Wechseln Sie zur Registerkarte Anwendung, und weisen Sie unter Benutzer und Gruppen diesen Benutzer oder die Benutzergruppe dieser Anwendung zu.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn er nicht ordnungsgemäß für diese Anwendung auf der lokalen Seite definiert ist. Stellen Sie sicher, dass die Benutzer über die entsprechenden Berechtigungen verfügen, wie für diese Back-End-Anwendung auf dem lokalen Computer definiert.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. Ihr Benutzer erhält diese Fehlermeldung, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn ihm vom Administrator des Abonnenten nicht ausdrücklich eine Premium-Lizenz zugewiesen wurde. Wechseln Sie zur Active Directory-Registerkarte Lizenzen des Abonnenten, und stellen Sie sicher, dass diesem Benutzer oder dieser Benutzergruppe eine Premium-Lizenz zugewiesen ist.
    A server with the specified host name could not be found. Ihr Benutzer erhält diesen Fehler, wenn er versucht, auf die von Ihnen veröffentlichte Anwendung zuzugreifen, wenn die benutzerdefinierte Domäne der Anwendung nicht korrekt konfiguriert ist. Überprüfen Sie das Zertifikat für die Domäne, und konfigurieren Sie den DNS-Eintrag (Domain Name System) korrekt. Weitere Informationen finden Sie unter Arbeiten mit benutzerdefinierten Domänen im Microsoft Entra-Anwendungsproxy.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Das Problem könnte mit dem Zugriff auf Autorisierungsinformationen zusammenhängen. Weitere Informationen finden Sie unter (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Kurz gesagt: Fügen Sie das Computerkonto des App-Proxyconnectors zur Gruppe „Windows-Autorisierungszugriffsgruppe“ hinzu, um das Problem zu beheben.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. Der Connector sichert ausgehende Verbindungen mit den Microsoft Entra-Anwendungsproxy-Clouddienstendpunkten mithilfe eines Clientzertifikats. Der Fehler tritt auf, wenn das Clientzertifikat den Endpunkt nicht erreicht. Ein Beispiel wäre ein Netzwerkgerät, das eine TLS-Überprüfung (Transport Layer Security) durchführt oder die TLS-Verbindung unterbricht. Vermeiden Sie die Inlineüberprüfung und das Beenden ausgehender TLS-Kommunikation. Das Überprüfen und Beenden darf nicht zwischen Connectors und Clouddiensten des Microsoft Entra-Anwendungsproxys geschehen.

    Siehe auch