Risolvere i problemi di installazione del connettore di rete privata

  • Articolo

Il connettore di rete privata Microsoft Entra è un componente di dominio interno che usa le connessioni in uscita per stabilire la connettività dall'endpoint disponibile nel cloud al dominio interno. Il connettore viene usato sia da Accesso privato Microsoft Entra che da Microsoft Entra application proxy.

Aree problematiche generali con l'installazione del connettore

Quando l'installazione di un connettore non riesce, la causa radice è in genere una delle aree seguenti. Come precursore di qualsiasi risoluzione dei problemi, assicurarsi di riavviare il connettore.

  • Connettività: per completare un'installazione, è necessario che il nuovo connettore registri e definisca le future proprietà di attendibilità. L'attendibilità viene stabilita connettendosi al servizio cloud proxy dell'applicazione Microsoft Entra.
  • Definizione dell'attendibilità: il nuovo connettore crea un certificato autofirmato ed effettua la registrazione al servizio cloud.
  • Autenticazione dell'amministratore : durante l'installazione, l'utente deve fornire le credenziali di amministratore per completare l'installazione del connettore.

Nota

I log di installazione del %TEMP% connettore sono disponibili nella cartella e possono fornire informazioni aggiuntive su ciò che causa un errore di installazione.

Verificare la connettività al servizio proxy dell'applicazione cloud e alla pagina di accesso Microsoft

Obiettivo: verificare che il computer connettore possa connettersi all'endpoint di registrazione del proxy dell'applicazione e alla pagina di accesso Microsoft.

  1. Nel server connettore eseguire un test della porta usando telnet o un altro strumento di test delle porte per verificare che le porte 443 e 80 siano aperte.

  2. Verificare che il firewall o il proxy back-end abbia accesso ai domini e alle porte necessari, vedere Configurare i connettori.

  3. Aprire una scheda del browser e immettere: https://login.microsoftonline.com. Assicurarsi di poter accedere.

Verificare il supporto del certificato del componente back-end e del computer

Obiettivo: verificare che il computer connettore, il proxy back-end e il firewall possano supportare il certificato creato dal connettore. Verificare anche che il certificato sia valido.

Nota

Il connettore tenta di creare un SHA512 certificato supportato da Transport Layer Security (TLS) 1.2. Se il computer o il firewall back-end e il proxy non supporta TLS 1.2, l'installazione non riesce.

Esaminare i prerequisiti necessari:

  1. Verificare che il computer supporti Transport Layer Security (TLS) 1.2: tutte le versioni di Windows successive alla versione 2012 R2 devono supportare TLS 1.2. Se il computer connettore proviene da una versione 2012 R2 o precedente, assicurarsi che siano installati gli aggiornamenti necessari.

  2. Contattare l'amministratore di rete e chiedere di verificare che il proxy back-end e il firewall non blocchino SHA512 il traffico in uscita.

Per verificare il certificato client:

Verificare l'identificazione personale del certificato client corrente. L'archivio certificati è disponibile in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

I valori possibili di IsInUserStore sono true e false. Un valore true indica che il certificato viene rinnovato automaticamente e archiviato nel contenitore personale nell'archivio certificati utente del servizio di rete. Un valore false indica che il certificato client viene creato durante l'installazione o la registrazione avviata da Register-MicrosoftEntraPrivateNetworkConnector. Il certificato viene archiviato nel contenitore personale nell'archivio certificati del computer locale.

Se il valore è true, seguire questa procedura per verificare il certificato:

  1. Scaricare PsTools.zip.
  2. Estrarre PsExec dal pacchetto ed eseguire psexec -i -u "nt authority\network service" cmd.exe da un prompt dei comandi con privilegi elevati.
  3. Eseguire certmgr.msc nel prompt dei comandi appena visualizzato.
  4. Nella console di gestione espandere il contenitore Personale e selezionare Certificati.
  5. Individuare il certificato rilasciato da connectorregistrationca.msappproxy.net.

Se il valore è false, seguire questa procedura per verificare il certificato:

  1. Eseguire certlm.msc.
  2. Nella console di gestione espandere il contenitore Personale e selezionare Certificati.
  3. Individuare il certificato rilasciato da connectorregistrationca.msappproxy.net.

Per rinnovare il certificato client:

Se un connettore non è connesso al servizio per diversi mesi, i relativi certificati potrebbero essere obsoleti. L'errore di rinnovo del certificato comporta un certificato scaduto. Il certificato scaduto causa l'interruzione del funzionamento del servizio connettore. L'evento 1000 viene registrato nel log di amministrazione del connettore:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

In questo caso, disinstallare e reinstallare il connettore per avviare la registrazione oppure è possibile eseguire i comandi di PowerShell seguenti:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Per altre informazioni sul Register-MicrosoftEntraPrivateNetworkConnector comando, vedere Creare uno script di installazione automatica per il connettore di rete privata Microsoft Entra.

Verificare che il connettore venga installato da un utente con il ruolo di amministratore

Obiettivo: verificare che l'utente che tenta di installare il connettore sia un amministratore con le credenziali corrette. Attualmente, l'utente deve essere almeno un amministratore dell'applicazione affinché l'installazione abbia esito positivo.

Per verificare che le credenziali siano corrette:

Connettersi a https://login.microsoftonline.com e usare le stesse credenziali. Assicurarsi che l'accesso abbia esito positivo. È possibile controllare il ruolo utente passando a Microsoft Entra ID ->Utenti e gruppi ->Tutti gli utenti.

Selezionare l'account utente, quindi Ruolo directory nel menu risultante. Verificare che il ruolo selezionato sia Application Amministrazione istrator. Se non è possibile accedere a una delle pagine descritte in questi passaggi, non si ha il ruolo richiesto.

Errori del connettore

Se la registrazione non riesce durante l'installazione guidata del connettore, esistono due modi per visualizzare il motivo dell'errore. Cercare nel registro Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" eventi in oppure eseguire il comando di Windows PowerShell seguente:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Dopo aver individuato l'errore del connettore dal registro eventi, usare questa tabella di errori comuni per risolvere il problema:

Error Procedure consigliate
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Se la finestra di registrazione è stata chiusa senza accedere a Microsoft Entra ID, eseguire di nuovo la procedura guidata del connettore e registrare il connettore.

Se si apre la finestra di registrazione e quindi si chiude immediatamente senza consentire l'accesso, viene visualizzato l'errore. L'errore si verifica quando si verifica un errore di rete nel sistema. Assicurarsi di potersi connettere da un browser a un sito Web pubblico e che le porte siano aperte come specificato nei connettori di configurazione.
Clear error is presented in the registration window. Cannot proceed Se viene visualizzato l'errore e quindi la finestra viene chiusa, è stato immesso il nome utente o la password non corretti. Riprovare.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Si sta provando ad accedere usando un account Microsoft e non un dominio che fa parte dell'ID organizzazione della directory a cui si sta provando ad accedere. L'amministratore deve far parte dello stesso nome di dominio del dominio tenant. Ad esempio, se il dominio Microsoft Entra è contoso.com, l'amministratore deve essere admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Se l'installazione del connettore non riesce, verificare che i criteri di esecuzione di PowerShell non siano disabilitati.

1. Aprire l'Editor Criteri di gruppo.
2. Passare a Configurazione> computer Amministrazione Modelli>amministrativi Componenti>di Windows Windows PowerShell e fare doppio clic su Attiva esecuzione script.
3. I criteri di esecuzione possono essere impostati su Non configurato o Abilitato. Se l'impostazione è Abilitato, verificare che in Opzioni la voce Criteri di esecuzione sia impostata su Consenti script locali e script remoti firmati o su Consenti tutti gli script.
Connector failed to download the configuration. Il certificato client del connettore, usato per l'autenticazione, è scaduto. Il problema si verifica se il connettore è installato dietro un proxy. In questo caso, il connettore non può accedere a Internet e non è in grado di fornire applicazioni agli utenti remoti. Rinnovare manualmente l'attendibilità con il cmdlet Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Se il connettore si trova dietro un proxy, è necessario concedere l'accesso a Internet agli account network services connettore e local system. La concessione dell'accesso viene eseguita concedendole l'accesso al proxy o ignorando il proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' L'alias con cui si sta tentando di accedere non è un amministratore di questo dominio. Il connettore viene sempre installato per la directory proprietaria del dominio dell'utente. Assicurarsi che l'account amministratore con cui si sta tentando di accedere disponga almeno delle autorizzazioni di amministratore dell'applicazione per il tenant di Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Il connettore non è in grado di connettersi al servizio cloud del proxy dell'applicazione. Il problema si verifica se si dispone di una regola del firewall che blocca la connessione. Consentire l'accesso alle porte e agli URL corretti elencati in Configurare i connettori.

Diagramma di flusso per i problemi del connettore

Questo diagramma di flusso illustra i passaggi per il debug di alcuni dei problemi più comuni del connettore. Per informazioni dettagliate su ogni passaggio, vedere la tabella che segue il diagramma di flusso.

Diagramma di flusso che mostra i passaggi per il debug di un connettore.

Procedi Azione Descrizione
1 Trovare il gruppo di connettori assegnato all'app Probabilmente è installato un connettore in più server, nel qual caso i connettori devono essere assegnati a un gruppo di connettori. Per altre informazioni sui gruppi di connettori, vedere Informazioni sui gruppi di connettori di rete privata di Microsoft Entra.
2 Installare il connettore e assegnare un gruppo Se non è installato un connettore, vedere Configurare i connettori.

Se il connettore non è assegnato a un gruppo, vedere Assegnare il connettore a un gruppo.

Se l'applicazione non è assegnata a un gruppo di connettori, vedere Assegnare l'applicazione a un gruppo di connettori.
3 Eseguire un test della porta nel server del connettore Nel server connettore eseguire un test di porta usando telnet o un altro strumento di test delle porte per verificare se le porte sono configurate correttamente. Per altre informazioni, vedere Configurare i connettori.
4 Configurare i domini e le porte Configurare i connettori per il connettore. Alcune porte devono essere aperte e gli URL a cui il server deve poter accedere. Per altre informazioni, vedere Configurare i connettori.
5 Controllare se è in uso un proxy back-end Verificare se i connettori usano server proxy back-end o ignorarli. Per informazioni dettagliate, vedere Risolvere i problemi relativi al proxy del connettore e i problemi di connettività del servizio.
6 Aggiornare le impostazioni del connettore e dell'aggiornamento con le informazioni sul proxy back-end Se è in uso un proxy back-end, assicurarsi che il connettore usi lo stesso proxy. Per informazioni dettagliate sulla risoluzione dei problemi e sulla configurazione dei connettori per l'uso con i server proxy, vedere Usare i server proxy locali esistenti.
7 Caricare l'URL interno dell'app nel server del connettore Nel server connettore caricare l'URL interno dell'app.
8 Controllare la connettività di rete interna Si è verificato un problema di connettività nella rete interna che questo flusso di debug non è in grado di diagnosticare. L'applicazione deve essere accessibile internamente per consentire il funzionamento dei connettori. È possibile abilitare e visualizzare i registri eventi del connettore come descritto in Connettori di rete privati.
9 Lunghezza del valore di timeout sul back-end Nell'Impostazioni Aggiuntivo per l'applicazione modificare l'impostazione Timeout applicazione back-end su Long. Vedere Aggiungere un'app locale all'ID Microsoft Entra.
10 Se i problemi vengono mantenuti, eseguire il debug delle applicazioni. Eseguire il debug dei problemi dell'applicazione proxy di applicazione.

Domande frequenti

Perché il connettore usa ancora una versione precedente e non viene aggiornato automaticamente alla versione più recente?

Questo problema può essere dovuto al fatto che il servizio di aggiornamento non funziona correttamente oppure che non sono disponibili nuovi aggiornamenti da installare.

Il servizio di aggiornamento è integro se è in esecuzione e non sono presenti errori registrati nel registro eventi (registri applicazioni e servizi -> Microsoft -> Microsoft Entra private network -> Updater -> Amministrazione).

Importante

Per l'aggiornamento automatico vengono rilasciate solo le versioni principali. È consigliabile aggiornare manualmente il connettore solo se necessario. Ad esempio, non è possibile attendere una versione principale perché è necessario risolvere un problema noto o si vuole usare una nuova funzionalità. Per altre informazioni sulle nuove versioni, il tipo di versione (download, aggiornamento automatico), correzioni di bug e nuove funzionalità, vedere Connettore di rete privata Microsoft Entra: Cronologia delle versioni.

Per aggiornare manualmente un connettore:

  • Scaricare la versione più recente del connettore, È possibile trovarlo sotto il proxy dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra.
  • Il programma di installazione riavvia i servizi connettore di rete privata Microsoft Entra. In alcuni casi, può essere necessario un riavvio del server se il programma di installazione non riesce a sostituire tutti i file. È quindi consigliabile chiudere tutte le applicazioni, ad esempio Visualizzatore eventi, prima di avviare l'aggiornamento.
  • Eseguire il programma di installazione. Il processo di aggiornamento è rapido e non richiede la fornitura di credenziali e il connettore non viene registrato nuovamente.

I servizi del connettore di rete privata possono essere eseguiti in un contesto utente diverso da quello predefinito?

No, questo scenario non è supportato. Le impostazioni predefinite sono le seguenti:

  • Connettore di rete privata Microsoft Entra - WAPCSvc - Servizio di rete
  • Microsoft Entra private network connector Updater - WAPCUpdaterSvc - NT Authority\System

Un utente guest con il Amministrazione istrator globale o il ruolo application Amministrazione istrator può registrare il connettore per il tenant (guest) ?

No, attualmente non è possibile. Il tentativo di registrazione viene sempre eseguito nel tenant principale dell'utente.

L'applicazione back-end è ospitata in più server Web e richiede la persistenza della sessione utente. Come si ottiene la persistenza della sessione?

Per consigli, vedere Disponibilità elevata e bilanciamento del carico dei connettori e delle applicazioni di rete privata.

La terminazione TLS (ispezione o accelerazione TLS/HTTPS) sul traffico dai server del connettore ad Azure è supportata?

Il connettore di rete privata esegue l'autenticazione basata su certificati in Azure. La terminazione TLS (ispezione o accelerazione TLS/HTTPS) interrompe questo metodo di autenticazione e non è supportata. Il traffico dal connettore ad Azure deve ignorare tutti i dispositivi che eseguono la terminazione TLS.

TLS 1.2 è necessario per tutte le connessioni?

Sì. Per fornire la crittografia migliore ai clienti, il servizio proxy dell'applicazione limita l'accesso solo ai protocolli TLS 1.2. Queste modifiche sono state implementate gradualmente e sono effettive a partire dal 31 agosto 2019. Assicurarsi che tutte le combinazioni client-server e browser-server vengano aggiornate per usare TLS 1.2 per mantenere la connessione al servizio proxy dell'applicazione. Questi includono i client usati dagli utenti per accedere alle applicazioni pubblicate tramite il proxy dell'applicazione. Vedere Preparazione per l'uso di TLS 1.2 in Office 365 per riferimenti e risorse utili.

È possibile posizionare un dispositivo proxy di inoltro tra i server del connettore e il server applicazioni back-end?

Sì, questo scenario è supportato a partire dalla versione 1.5.1526.0 del connettore. Vedere Usare server proxy locali esistenti.

È necessario creare un account dedicato per registrare il connettore con il proxy dell'applicazione Microsoft Entra?

No, non è necessario. Tutte le Amministrazione istrator globali o l'account amministratore dell'applicazione funzionano. Le credenziali immesse durante l'installazione non vengono usate dopo il processo di registrazione. Al contrario, al connettore viene rilasciato un certificato, che viene usato per l'autenticazione da quel momento in poi.

Come è possibile monitorare le prestazioni del connettore di rete privata Microsoft Entra?

Sono disponibili contatori del Monitor prestazioni che vengono installati insieme al connettore. A tale scopo:

  1. Selezionare Start, digitare "Perfmon" e premere INVIO.
  2. Selezionare Performance Monitor e fare clic sull'icona + verde.
  3. Aggiungere i contatori del connettore di rete privata Microsoft Entra da monitorare.

Il connettore di rete privata Microsoft Entra deve trovarsi nella stessa subnet della risorsa?

Non è necessario che il connettore si trovi nella stessa subnet. È tuttavia necessaria la risoluzione dei nomi (DNS, file host) per la risorsa e la connettività di rete appropriata (routing alla risorsa, porte aperte nella risorsa e così via). Per consigli, vedere Considerazioni sulla topologia di rete quando si usa il proxy dell'applicazione Microsoft Entra.

Perché il connettore viene ancora visualizzato nell'interfaccia di amministrazione di Microsoft Entra dopo aver disinstallato il connettore dal server?

Quando un connettore è in esecuzione, rimane attivo quando si connette al servizio. I connettori disinstallati o inutilizzati vengono contrassegnati come inattivi e vengono rimossi dopo 10 giorni di inattività dal portale. Non è possibile rimuovere manualmente il connettore Inattivo dall'interfaccia di amministrazione di Microsoft Entra.

Passaggi successivi