A magánhálózati összekötő telepítésével kapcsolatos problémák elhárítása

  • Cikk

A Microsoft Entra privát hálózati összekötő egy belső tartományösszetevő, amely kimenő kapcsolatokat használ a felhőből elérhető végpont és a belső tartomány közötti kapcsolat létrehozásához. Az összekötőt a Microsoft Entra privát hozzáférés és a Microsoft Entra alkalmazásproxy is használja.

Az összekötő telepítésével kapcsolatos általános problémák

Ha az összekötő telepítése sikertelen, a kiváltó ok általában az alábbi területek egyike. A hibaelhárítás előfutáraként mindenképpen indítsa újra az összekötőt.

  • Csatlakozás ivity – a sikeres telepítés elvégzéséhez az új összekötőnek regisztrálnia kell és létre kell hoznia a jövőbeli megbízhatósági tulajdonságokat. A megbízhatóság a Microsoft Entra alkalmazásproxy felhőszolgáltatáshoz való csatlakozással jön létre.
  • Trust Establishment – Az új összekötő létrehoz egy önaláírt tanúsítványt, és regisztrál a felhőszolgáltatásba.
  • A rendszergazda hitelesítése – a telepítés során a felhasználónak meg kell adnia a rendszergazdai hitelesítő adatokat az összekötő telepítésének befejezéséhez.

Feljegyzés

Az összekötő telepítési naplói megtalálhatók a %TEMP% mappában, és további információt nyújtanak arról, hogy mi okozza a telepítési hibát.

A felhőalkalmazás-proxyszolgáltatáshoz való kapcsolódás és a Microsoft bejelentkezési oldalának ellenőrzése

Célkitűzés: Ellenőrizze, hogy az összekötő gép képes-e csatlakozni az alkalmazásproxy regisztrációs végpontjához és a Microsoft bejelentkezési oldalához.

  1. Az összekötő-kiszolgálón futtasson egy porttesztet telnet vagy más porttesztelési eszköz használatával annak ellenőrzéséhez, hogy a 443-80-as port nyitva van-e.

  2. Ellenőrizze, hogy a tűzfal vagy a háttérproxy hozzáfér-e a szükséges tartományokhoz és portokhoz, és konfigurálja az összekötőket.

  3. Nyisson meg egy böngészőlapot, és írja be a következőt: https://login.microsoftonline.com. Győződjön meg arról, hogy tud bejelentkezni.

Számítógép- és háttér-összetevőtanúsítvány támogatásának ellenőrzése

Célkitűzés: Ellenőrizze, hogy az összekötő gépe, a háttérproxy és a tűzfal támogatja-e az összekötő által létrehozott tanúsítványt. Emellett ellenőrizze, hogy a tanúsítvány érvényes-e.

Feljegyzés

Az összekötő megpróbál létrehozni egy SHA512 tanúsítványt, amelyet a Transport Layer Security (TLS) 1.2 támogat. Ha a gép vagy a háttér tűzfal és proxy nem támogatja a TLS 1.2-t, a telepítés meghiúsul.

Tekintse át a szükséges előfeltételeket:

  1. Ellenőrizze, hogy a gép támogatja-e a Transport Layer Security (TLS) 1.2-es verzióját – A 2012 R2 után minden Windows-verziónak támogatnia kell a TLS 1.2-t. Ha az összekötő gépe a 2012 R2-es vagy korábbi verzióból származik, győződjön meg arról, hogy a szükséges frissítések telepítve vannak.

  2. Forduljon a hálózati rendszergazdához, és ellenőrizze, hogy a háttérproxy és a tűzfal nem blokkolja-e SHA512 a kimenő forgalmat.

Az ügyféltanúsítvány ellenőrzése:

Ellenőrizze az aktuális ügyféltanúsítvány ujjlenyomatát. A tanúsítványtároló a következő helyen %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xmltalálható: .

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Az IsInUserStore lehetséges értékei igazak és hamisak. Az igaz érték azt jelenti, hogy a tanúsítvány automatikusan megújul és a hálózati szolgáltatás felhasználói tanúsítványtárolójában található személyes tárolóban lesz tárolva. A hamis érték azt jelenti, hogy az ügyféltanúsítvány a telepítés vagy a regisztráció során Register-MicrosoftEntraPrivateNetworkConnectorjön létre. A tanúsítvány a helyi gép tanúsítványtárolójában található személyes tárolóban van tárolva.

Ha az érték igaz, kövesse az alábbi lépéseket a tanúsítvány ellenőrzéséhez:

  1. Töltse le PsTools.zip.
  2. Bontsa ki a PsExec fájlt a csomagból, és futtassa a psexec -i -u "nt authority\network service" cmd.exe egy emelt szintű parancssorból.
  3. Futtassa a certmgr.msc fájlt az újonnan megjelent parancssorban.
  4. A felügyeleti konzolon bontsa ki a Személyes tárolót, és válassza a Tanúsítványok lehetőséget.
  5. Keresse meg a connectorregistrationca.msappproxy.net által kiadott tanúsítványt.

Ha az érték hamis, kövesse az alábbi lépéseket a tanúsítvány ellenőrzéséhez:

  1. Futtassa a certlm.msc fájlt.
  2. A felügyeleti konzolon bontsa ki a Személyes tárolót, és válassza a Tanúsítványok lehetőséget.
  3. Keresse meg a connectorregistrationca.msappproxy.net által kiadott tanúsítványt.

Az ügyféltanúsítvány megújítása:

Ha egy összekötő több hónapig nem csatlakozik a szolgáltatáshoz, a tanúsítványai elavultak lehetnek. A sikertelen tanúsítványmegújítás lejárt tanúsítványt eredményez. A lejárt tanúsítvány miatt az összekötő szolgáltatás leáll. Az összekötő rendszergazdai naplójában létrejön az 1000-es esemény:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Ebben az esetben távolítsa el és telepítse újra az összekötőt a regisztráció aktiválásához, vagy futtassa a következő PowerShell-parancsokat:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

A parancsról további információt a Register-MicrosoftEntraPrivateNetworkConnector Microsoft Entra magánhálózati összekötő felügyelet nélküli telepítési szkriptjének létrehozása című témakörben talál.

Ellenőrizze, hogy a rendszergazda használja-e az összekötő telepítését

Célkitűzés: Ellenőrizze, hogy az összekötőt telepíteni próbáló felhasználó megfelelő hitelesítő adatokkal rendelkező rendszergazda-e. A sikeres telepítéshez a felhasználónak jelenleg legalább alkalmazásadminisztrátornak kell lennie.

A hitelesítő adatok helyességének ellenőrzése:

Csatlakozás, hogy https://login.microsoftonline.com ugyanazt a hitelesítő adatot használja. Győződjön meg arról, hogy a bejelentkezés sikeres. A felhasználói szerepkört a Microsoft Entra ID -Users and Groups ->All Users (Felhasználók és csoportok -> Minden felhasználó) azonosítójával ellenőrizheti.

Válassza ki a felhasználói fiókját, majd a címtárszerepkört az eredményként kapott menüben. Győződjön meg arról, hogy a kijelölt szerepkör az Application Rendszergazda istrator. Ha nem tud hozzáférni a lépések egyik oldalához sem, nem rendelkezik a szükséges szerepkörökkal.

Összekötőhöz kapcsolódó hibák

Ha a regisztráció sikertelen az összekötő varázsló telepítése során, kétféleképpen tekintheti meg a hiba okát. Keresse meg az eseménynaplóban a következőt Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , vagy futtassa a következő Windows PowerShell-parancsot:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Miután megtalálta az összekötő hibát az eseménynaplóból, használja ezt a gyakori hibákat a probléma megoldásához:

Hiba Javasolt lépések
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Ha anélkül zárta be a regisztrációs ablakot, hogy bejelentkezett volna a Microsoft Entra-azonosítóba, futtassa újra az összekötő varázslót, és regisztrálja az összekötőt.

Ha megnyílik a regisztrációs ablak, majd azonnal bezárul anélkül, hogy engedélyezve volna a bejelentkezést, a hibaüzenet jelenik meg. A hiba akkor fordul elő, ha hálózati hiba lép fel a rendszeren. Győződjön meg arról, hogy böngészőből tud csatlakozni egy nyilvános webhelyhez, és hogy a portok a konfigurálási összekötőkben megadottak szerint nyílnak meg.
Clear error is presented in the registration window. Cannot proceed Ha megjelenik a hiba, és az ablak bezárul, helytelen felhasználónevet vagy jelszót adott meg. Próbálkozzon újra.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Microsoft-fiókkal próbál bejelentkezni, nem pedig olyan tartományt, amely a elérni kívánt címtár szervezeti azonosítójának része. A rendszergazdának ugyanahhoz a tartománynévhez kell tartoznia, mint a bérlői tartománynak. Ha például a Microsoft Entra tartomány, contoso.comakkor a rendszergazdának kell lennie admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Ha az összekötő telepítése sikertelen, ellenőrizze, hogy a PowerShell végrehajtási szabályzata nincs-e letiltva.

1. Nyissa meg a Csoportházirend-szerkesztőt.
2. Nyissa meg a Számítógép konfigurációja> Rendszergazda a Windows-összetevők windowsos PowerShell-sablonjait>>, és kattintson duplán a Szkriptvégrehajtás bekapcsolása parancsra.
3. A végrehajtási szabályzat beállítható úgy, hogy nincs konfigurálva vagy engedélyezve. Ha engedélyezve van, győződjön meg arról, hogy a Beállítások területen a végrehajtási szabályzat a helyi szkriptek és távoli aláírt szkriptek engedélyezése vagy az összes szkript engedélyezése beállításra van beállítva.
Connector failed to download the configuration. Az összekötő hitelesítéshez használt ügyféltanúsítványa lejárt. A probléma akkor fordul elő, ha az összekötő proxy mögött van telepítve. Ebben az esetben az összekötő nem tudja elérni az internetet, és nem tud alkalmazásokat biztosítani a távoli felhasználóknak. A megbízhatóság manuális megújítása a Register-MicrosoftEntraPrivateNetworkConnector Windows PowerShell parancsmaggal. Ha az összekötő proxy mögött található, internet-hozzáférést kell biztosítani az összekötő-fiókokhoz network services és local systema . A hozzáférés biztosítása a proxyhoz való hozzáférés biztosításával vagy a proxy megkerülésével történik.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' A bejelentkezni kívánt alias nem rendszergazda ezen a tartományon. Az összekötő mindig telepítve van ahhoz a könyvtárhoz, amely a felhasználó tartományát birtokolja. Győződjön meg arról, hogy a bejelentkezni kívánt rendszergazdai fiók rendelkezik legalább alkalmazásadminisztrátori engedélyekkel a Microsoft Entra-bérlőhöz.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Az összekötő nem tud csatlakozni az alkalmazásproxy felhőszolgáltatáshoz. A probléma akkor fordul elő, ha egy tűzfalszabály blokkolja a kapcsolatot. Engedélyezze a konfigurálási összekötőkben felsorolt megfelelő portokhoz és URL-címekhez való hozzáférést.

Folyamatábra összekötőkkel kapcsolatos problémák esetén

Ez a folyamatábra végigvezeti a leggyakoribb összekötővel kapcsolatos problémák hibakeresésének lépésein. Az egyes lépésekkel kapcsolatos részletekért tekintse meg a folyamatábra utáni táblázatot.

Összekötő hibakeresésének lépéseit bemutató folyamatábra.

Lépés Művelet Leírás
0 Az alkalmazáshoz rendelt összekötőcsoport megkeresése Valószínűleg több kiszolgálón van telepítve egy összekötő, ebben az esetben az összekötőket egy összekötőcsoporthoz kell rendelni. Az összekötőcsoportokról további információt a Microsoft Entra magánhálózati összekötőcsoportok ismertetése című témakörben talál.
2 Az összekötő telepítése és csoport hozzárendelése Ha nincs telepítve összekötő, tekintse meg az összekötők konfigurálását.

Ha az összekötő nincs csoporthoz rendelve, olvassa el az összekötő hozzárendelése csoporthoz című témakört.

Ha az alkalmazás nincs összekötőcsoporthoz rendelve, olvassa el az Alkalmazás hozzárendelése összekötőcsoporthoz című témakört.
3 Portteszt futtatása az összekötőkiszolgálón Az összekötő-kiszolgálón futtasson egy porttesztet telnet vagy más porttesztelő eszköz használatával annak ellenőrzéséhez, hogy a portok megfelelően vannak-e konfigurálva. További információkért tekintse meg az összekötők konfigurálását ismertető témakört.
4 A tartományok és portok konfigurálása Konfigurálja az összekötő összekötőit . Bizonyos portok nyitva kell lenniük, és url-címeknek kell lenniük, amelyekhez a kiszolgálónak hozzá kell férnie. További információkért lásd az összekötők konfigurálását ismertető témakört.
5 Ellenőrizze, hogy van-e használatban háttérproxy Ellenőrizze, hogy az összekötők háttérbeli proxykiszolgálókat használnak-e, vagy megkerülik-e őket. További információ: Összekötőproxyval kapcsolatos problémák és szolgáltatáskapcsolati problémák elhárítása.
6 Az összekötő és a frissítő beállításainak frissítése a háttérproxy adataival Ha háttérproxy van használatban, győződjön meg arról, hogy az összekötő ugyanazt a proxyt használja. Az összekötők proxykiszolgálókkal való együttműködésre való hibaelhárításával és konfigurálásával kapcsolatos részletekért lásd : Meglévő helyszíni proxykiszolgálók használata.
7 Az alkalmazás belső URL-címének betöltése az összekötő-kiszolgálón Az összekötő-kiszolgálón töltse be az alkalmazás belső URL-címét.
8 Belső hálózati kapcsolat ellenőrzése Van egy kapcsolati probléma a belső hálózaton, amelyet ez a hibakeresési folyamat nem tud diagnosztizálni. Az alkalmazásnak belsőleg elérhetőnek kell lennie ahhoz, hogy az összekötők működjenek. Engedélyezheti és megtekintheti az összekötő eseménynaplóit a magánhálózati összekötőkben leírtak szerint.
9 Az időtúllépési érték meghosszúlása a háttérrendszeren Az alkalmazás további Gépház módosítsa a háttéralkalmazás időtúllépési beállítását Hosszú értékre. Lásd: Helyszíni alkalmazás hozzáadása a Microsoft Entra-azonosítóhoz.
10 Ha a problémák továbbra is fennállnak, hibakeresési alkalmazásokat. Alkalmazásproxy-alkalmazás hibáinak hibakeresése.

Gyakori kérdések

Miért használja az összekötőm a régebbi verziót, és miért nem frissít automatikusan a legújabb verzióra?

Ennek oka lehet, hogy a frissítő szolgáltatás nem működik megfelelően, vagy ha a szolgáltatás nem tud új frissítéseket telepíteni.

A frissítő szolgáltatás kifogástalan állapotú, ha fut, és az eseménynaplóban nem szerepelnek hibák (Alkalmazások és szolgáltatások naplói –> Microsoft –> Microsoft Entra privát hálózat –> Frissítő –> Rendszergazda).

Fontos

Csak a főverziók jelennek meg az automatikus frissítéshez. Javasoljuk, hogy csak akkor frissítse manuálisan az összekötőt, ha szükséges. Nem várhat például egy nagyobb kiadásra, mert ki kell javítania egy ismert problémát, vagy új funkciót szeretne használni. Az új kiadásokról, a kiadás típusáról (letöltés, automatikus frissítés), a hibajavításokról és az új funkciókról további információt a Microsoft Entra privát hálózati összekötője, a verzió kiadási előzményei című témakörben talál.

Összekötő manuális frissítése:

  • Töltse le az összekötő legújabb verzióját. (Az alkalmazásproxyban található a Microsoft Entra felügyeleti központban.
  • A telepítő újraindítja a Microsoft Entra magánhálózati összekötő szolgáltatásait. Bizonyos esetekben szükség lehet a kiszolgáló újraindítására, ha a telepítő nem tudja lecserélni az összes fájlt. Ezért javasoljuk, hogy a frissítés megkezdése előtt zárja be az összes alkalmazást (például Eseménynapló).
  • Indítsa el a telepítőt. A frissítési folyamat gyors, és nem igényel hitelesítő adatokat, és az összekötő nincs újra regisztrálva.

Futhatnak a magánhálózati összekötő-szolgáltatások az alapértelmezettnél eltérő felhasználói környezetben?

Nem, ez a forgatókönyv nem támogatott. Az alapértelmezett beállítások a következők:

  • Microsoft Entra privát hálózati összekötő – WAPCSvc – Hálózati szolgáltatás
  • Microsoft Entra privát hálózati összekötő updater - WAPCUpdaterSvc - NT Authority\System

Regisztrálhatja a globális Rendszergazda istrator vagy az Alkalmazás Rendszergazda istrator szerepkörrel rendelkező vendégfelhasználó az összekötőt a (vendég)bérlőhöz?

Nem, ez jelenleg nem lehetséges. A regisztrációs kísérlet mindig a felhasználó otthoni bérlőjén történik.

A háttéralkalmazásom több webkiszolgálón van üzemeltetve, és felhasználói munkamenetek megőrzését (ragadósságot) igényel. Hogyan érhetem el a munkamenetek megőrzését?

A javaslatokért tekintse meg a magánhálózati összekötők és -alkalmazások magas rendelkezésre állását és terheléselosztását.

Támogatott a TLS-visszafejtés (TLS-/HTTPS-ellenőrzés vagy -gyorsítás) az összekötő-kiszolgálókról az Azure-ba irányuló forgalom esetében?

A privát hálózati összekötő tanúsítványalapú hitelesítést végez az Azure-ban. A TLS-leállítás (TLS/HTTPS-vizsgálat vagy gyorsítás) megszakítja ezt a hitelesítési módszert, és nem támogatott. Az összekötőből az Azure-ba irányuló forgalomnak meg kell kerülnie a TLS-leállítást végző összes eszközt.

Az összes kapcsolathoz TLS 1.2-re van szükség?

Igen. Annak érdekében, hogy a legjobb osztályon belüli titkosítást biztosíthassuk ügyfeleinknek, az alkalmazásproxy szolgáltatás csak a TLS 1.2 protokollok elérését korlátozza. Ezeket a módosításokat 2019. augusztus 31-től fokozatosan bevezették és hatályba léptették. Győződjön meg arról, hogy az összes ügyfél-kiszolgáló és böngésző-kiszolgáló kombináció frissítve van a TLS 1.2 használatával az alkalmazásproxy szolgáltatáshoz való kapcsolat fenntartásához. Ezek közé tartoznak azok az ügyfelek, amelyeket a felhasználók az alkalmazásproxyn keresztül közzétett alkalmazások eléréséhez használnak. Hasznos hivatkozásokat és erőforrásokat a TLS 1.2 előkészítése az Office 365-ben című témakörben talál.

Elhelyezhetek továbbítási proxyeszközt az összekötő kiszolgáló(k) és a háttéralkalmazás-kiszolgáló között?

Igen, ez a forgatókönyv az összekötő 1.5.1526.0-s verziójától kezdve támogatott. Lásd: Meglévő helyszíni proxykiszolgálók használata.

Létre kell hoznom egy dedikált fiókot, amely regisztrálja az összekötőt a Microsoft Entra alkalmazásproxyval?

Nincs rá ok. Minden globális Rendszergazda istrator- vagy alkalmazásadminisztrátori fiók működik. A telepítés során megadott hitelesítő adatokat a rendszer nem használja a regisztrációs folyamat után. Ehelyett egy tanúsítványt adnak ki az összekötőnek, amelyet ettől a ponttól kezdve a hitelesítéshez használnak.

Hogyan monitorozhatom a Microsoft Entra magánhálózati összekötő teljesítményét?

Az összekötővel együtt települnek teljesítményfigyelési számlálók. A megtekintéshez:

  1. Válassza a Start lehetőséget, írja be a "Perfmon" kifejezést, és nyomja le az ENTER billentyűt.
  2. Válassza a Teljesítményfigyelő lehetőséget, és kattintson a zöld + ikonra.
  3. Adja hozzá a monitorozni kívánt Microsoft Entra magánhálózati összekötőszámlálókat .

A Microsoft Entra privát hálózati összekötőnek ugyanazon az alhálózaton kell lennie, mint az erőforrásnak?

Az összekötőnek nem kell ugyanazon az alhálózaton lennie. Szüksége van azonban névfeloldásra (DNS, gazdagépfájl) az erőforráshoz és a szükséges hálózati kapcsolatra (az erőforráshoz való útválasztásra, az erőforráson megnyitott portokra stb.). Javaslatokért tekintse meg a Microsoft Entra-alkalmazásproxy használatakor a hálózati topológia szempontjait.

Miért jelenik meg továbbra is az összekötő a Microsoft Entra Felügyeleti központban, miután eltávolítottam az összekötőt a kiszolgálóról?

Amikor egy összekötő fut, aktív marad, miközben csatlakozik a szolgáltatáshoz. Az eltávolított vagy nem használt összekötők inaktívként vannak megjelölve, és 10 nap inaktivitás után törlődnek a portálról. Az inaktív összekötőt nem lehet manuálisan eltávolítani a Microsoft Entra felügyeleti központból.

Következő lépések