Problemi di installazione del connettore dell'agente proxy dell'applicazioneProblem installing the Application Proxy Agent Connector

Il connettore proxy dell'applicazione AAD di Microsoft è un componente di dominio interno che usa le connessioni in uscita per stabilire la connettività dall'endpoint disponibile del cloud al dominio interno.Microsoft AAD Application Proxy Connector is an internal domain component that uses outbound connections to establish the connectivity from the cloud available endpoint to the internal domain.

Aree problematiche generali con l'installazione del connettoreGeneral Problem Areas with Connector installation

Quando l'installazione di un connettore non riesce, la causa principale riguarda in genere una delle seguenti aree:When the installation of a connector fails, the root cause is usually one of the following areas:

  1. Connettività: per completare un'installazione, è necessario che il nuovo connettore registri e definisca le future proprietà di attendibilità.Connectivity – to complete a successful installation, the new connector needs to register and establish future trust properties. Questa operazione viene eseguita tramite la connessione al servizio cloud proxy dell’applicazione AAD.This is done by connecting to the AAD Application Proxy cloud service.

  2. Definizione dell'attendibilità: il nuovo connettore crea un certificato autofirmato ed effettua la registrazione al servizio cloud.Trust Establishment – the new connector creates a self-signed cert and registers to the cloud service.

  3. Autenticazione dell'amministratore: durante l'installazione, l'utente deve fornire le credenziali di amministratore per completare l'installazione del connettore.Authentication of the admin – during installation, the user must provide admin credentials to complete the Connector installation.

Verificare la connettività al servizio proxy dell'applicazione cloud e alla pagina di accesso MicrosoftVerify connectivity to the Cloud Application Proxy service and Microsoft Login page

Obiettivo: verificare che il computer di connessione possa connettersi all'endpoint di registrazione proxy dell'applicazione AAD, nonché alla pagina di accesso Microsoft.Objective: Verify that the connector machine can connect to the AAD Application Proxy registration endpoint as well as Microsoft login page.

  1. Aprire un browser e passare alla pagina Web seguente: https://aadap-portcheck.connectorporttest.msappproxy.net, quindi verificare che la connettività al data center degli Stati Uniti orientali e Stati Uniti centrali con le porte 80 e 443 sia funzionante.Open a browser and go to the following web page: https://aadap-portcheck.connectorporttest.msappproxy.net , and verify that the connectivity to Central US and East US datacenters with ports 80 and 443 is working.

  2. Se la connessione a una di queste porte non funziona (non è presente un segno di spunta verde), verificare che \.msappproxy.net con le porte 80 e 443 sia definito correttamente per il firewall o proxy di back-end.If any of those ports is not successful (doesn’t have a green checkmark), verify that the Firewall or backend proxy has \.msappproxy.net with ports 80 and 443 defined correctly.

  3. Aprire un browser (scheda separata) e passare alla pagina Web seguente: https://login.microsoftonline.com, quindi assicurarsi che sia possibile accedere a tale pagina.Open a browser (separate tab) and go to the following web page: https://login.microsoftonline.com, make sure that you can login to that page.

Verificare che il computer e i componenti di back-end supportino il certificato di attendibilità proxy dell'applicazioneVerify Machine and backend components support for Application Proxy trust cert

Obiettivo: verificare che il computer di connessione, il proxy e il firewall di back-end possano supportare il certificato creato dal connettore per l'attendibilità futura.Objective: Verify that the connector machine, backend proxy and firewall can support the certificate created by the connector for future trust.

Nota

Il connettore tenta di creare un certificato SHA512 supportato da TLS1.2.The connector tries to create a SHA512 cert that is supported by TLS1.2. Se il computer o il proxy e il firewall di back-end non supportano TLS1.2, l'installazione non viene completata.If the machine or the backend firewall and proxy does not support TLS1.2, the installation fail.

Per risolvere il problema:To resolve the issue:

  1. Verificare che il computer supporti TLS1.2: tutte le versioni di Windows successive alla 2012 R2 dovrebbero supportare TLS 1.2.Verify the machine supports TLS1.2 – All Windows versions after 2012 R2 should support TLS 1.2. Se la versione del computer di connessione di cui si dispone è 2012 R2 o precedente, assicurarsi che le seguenti Knowledge Base siano installate: https://support.microsoft.com/help/2973337/sha512-is-disabled-in-windows-when-you-use-tls-1.2If your connector machine is from a version of 2012 R2 or prior, make sure that the following KBs are installed on the machine: https://support.microsoft.com/help/2973337/sha512-is-disabled-in-windows-when-you-use-tls-1.2

  2. Contattare l'amministratore di rete e chiedere di verificare che il proxy e il firewall di back-end non blocchino SHA512 per il traffico in uscita.Contact your network admin and ask to verify that the backend proxy and firewall do not block SHA512 for outgoing traffic.

Verificare che il connettore venga installato da un utente con il ruolo di amministratoreVerify admin is used to install the connector

Obiettivo: verificare che l'utente che tenta di installare il connettore sia un amministratore con le credenziali corrette.Objective: Verify that the user who tries to install the connector is an administrator with correct credentials. Al momento per completare l'installazione è necessario che l'utente sia un amministratore globale.Currently, the user must be a global administrator for the installation to succeed.

Per verificare che le credenziali siano corrette:To verify the credentials are correct:

Connettersi a https://login.microsoftonline.com e usare le stesse credenziali.Connect to https://login.microsoftonline.com and use the same credentials. Assicurarsi che l'accesso venga completato.Make sure the login is successful. È possibile controllare il ruolo dell'utente in Azure Active Directory - > Utenti e gruppi - > Tutti gli utenti.You can check the user role by going to Azure Active Directory -> Users and Groups -> All Users.

Selezionare l'account utente, quindi "Ruolo directory" dal menu che viene visualizzato.Select your user account, then “Directory Role” in the resulting menu. Verificare che il ruolo selezionato sia "Amministratore globale".Verify that the selected role is “Global administrator”. Se non si è in grado di accedere a nessuna delle pagine con questa procedura, non si è un amministratore globale.If you are unable to access any of the pages along these steps, you are not a global administrator.

Passaggi successiviNext steps

Comprendere i connettori del proxy applicazione di Azure ADUnderstand Azure AD Application Proxy connectors