Problemen met het installeren van de privénetwerkconnector oplossen

  • Artikel

Microsoft Entra private network connector is een intern domeinonderdeel dat gebruikmaakt van uitgaande verbindingen om de connectiviteit tot stand te brengen van het beschikbare eindpunt in de cloud voor het interne domein. De connector wordt gebruikt door zowel Microsoft Entra-privétoegang als de Microsoft Entra-toepassingsproxy.

Algemene probleemgebieden met connectorinstallatie

Wanneer de installatie van een connector mislukt, ligt de hoofdoorzaak meestal in een van de volgende gebieden. Als voorloper van eventuele probleemoplossing moet u de connector opnieuw opstarten.

  • Connectiviteit: voor een geslaagde installatie moet de nieuwe connector toekomstige vertrouwenseigenschappen registreren en instellen. Vertrouwen wordt tot stand gebracht door verbinding te maken met de cloudservice van de Microsoft Entra-toepassingsproxy.
  • Vertrouwensinstelling: de nieuwe connector maakt een zelfondertekend certificaat en registreert zich bij de cloudservice.
  • Verificatie van de beheerder : tijdens de installatie moet de gebruiker beheerdersreferenties opgeven om de connectorinstallatie te voltooien.

Notitie

De installatielogboeken van de connector vindt u in de %TEMP% map en kunnen u helpen aanvullende informatie te geven over wat een installatiefout veroorzaakt.

Controleer de verbinding met de cloudtoepassingsproxyservice en de aanmeldingspagina van Microsoft

Doelstelling: Controleer of de connectorcomputer verbinding kan maken met het registratie-eindpunt van de toepassingsproxy en de aanmeldingspagina van Microsoft.

  1. Voer op de connectorserver een poorttest uit met telnet of een ander hulpprogramma voor poorttests om te controleren of de poorten 443 en 80 zijn geopend.

  2. Controleer of de firewall- of back-endproxy toegang heeft tot de vereiste domeinen en poorten, en configureer connectors.

  3. Open een browsertabblad en voer het volgende in: https://login.microsoftonline.com. Zorg ervoor dat u zich kunt aanmelden.

Ondersteuning voor certificaat voor machine- en back-endonderdelen controleren

Doelstelling: Controleer of de connectormachine, de back-endproxy en de firewall het certificaat dat door de connector is gemaakt, kan ondersteunen. Controleer ook of het certificaat geldig is.

Notitie

De connector probeert een SHA512 certificaat te maken dat wordt ondersteund door Transport Layer Security (TLS) 1.2. Als de computer of de back-endfirewall en proxy TLS 1.2 niet ondersteunen, mislukt de installatie.

Bekijk de vereisten:

  1. Controleer of de machine TLS (Transport Layer Security) 1.2 ondersteunt: alle Windows-versies na 2012 R2 moeten TLS 1.2 ondersteunen. Als uw connectorcomputer afkomstig is van een versie van 2012 R2 of eerder, controleert u of de vereiste updates zijn geïnstalleerd.

  2. Neem contact op met uw netwerkbeheerder en vraag of de back-endproxy en firewall uitgaand verkeer niet blokkeren SHA512 .

Het clientcertificaat controleren:

Controleer de vingerafdruk van het huidige clientcertificaat. Het certificaatarchief is te vinden in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

De mogelijke IsInUserStore-waarden zijn true en false. Een waarde waar betekent dat het certificaat automatisch wordt vernieuwd en opgeslagen in de persoonlijke container in het certificaatarchief van de gebruiker van de netwerkservice. Een waarde van false betekent dat het clientcertificaat wordt gemaakt tijdens de installatie of registratie die is geïnitieerd door Register-MicrosoftEntraPrivateNetworkConnector. Het certificaat wordt opgeslagen in de persoonlijke container in het certificaatarchief van de lokale computer.

Als de waarde true is, volgt u deze stappen om het certificaat te verifiëren:

  1. Download PsTools.zip.
  2. Pak PsExec uit het pakket en voer pesxec -i -u "nt authority\network service" cmd.exe uit vanaf een opdrachtprompt met verhoogde bevoegdheid.
  3. Voer certmgr.msc uit in de zojuist weergegeven opdrachtprompt.
  4. Vouw in de beheerconsole de persoonlijke container uit en selecteer certificaten.
  5. Zoek het certificaat dat is uitgegeven door connectorregistrationca.msappproxy.net.

Als de waarde false is, volgt u deze stappen om het certificaat te verifiëren:

  1. Voer certlm.msc uit.
  2. Vouw in de beheerconsole de persoonlijke container uit en selecteer certificaten.
  3. Zoek het certificaat dat is uitgegeven door connectorregistrationca.msappproxy.net.

Het clientcertificaat vernieuwen:

Als een connector gedurende enkele maanden niet is verbonden met de service, zijn de certificaten mogelijk verouderd. Als een certificaat niet kan worden vernieuwd, leidt dit tot een verlopen certificaat. Het verlopen certificaat zorgt ervoor dat de connectorservice niet meer werkt. De gebeurtenis 1000 wordt vastgelegd in het beheerlogboek van de connector:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

In dit geval verwijdert u de connector en installeert u deze opnieuw om de registratie te activeren. U kunt ook de volgende PowerShell-opdrachten uitvoeren:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Zie Een installatiescript zonder toezicht maken voor de Microsoft Entra-privénetwerkconnector voor meer informatie over de Register-MicrosoftEntraPrivateNetworkConnector opdracht.

Controleren of de beheerder wordt gebruikt om de connector te installeren

Doelstelling: controleer of de gebruiker die de connector probeert te installeren, een beheerder is met de juiste referenties. Op dit moment moet de gebruiker tenminste toepassingsbeheerder zijn om de installatie te kunnen voltooien.

Ga als volgt te werk om te controleren of de referenties juist zijn:

Maak verbinding met https://login.microsoftonline.com en gebruik dezelfde referenties. Zorg ervoor dat het aanmelden is geslaagd. U kunt de gebruikersrol controleren door naar Microsoft Entra ID ->Users and Groups ->All Users te gaan.

Selecteer uw gebruikersaccount en vervolgens Maprol in het resulterende menu. Controleer of de geselecteerde rol Application Beheer istrator is. Als u tijdens deze stappen geen toegang hebt tot een van de pagina's, hebt u niet de vereiste rol.

Connectorfouten

Als de registratie mislukt tijdens de installatie van de connectorwizard, zijn er twee manieren om de reden voor de fout te bekijken. Kijk in het gebeurtenislogboek onder Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" of voer de volgende Windows PowerShell-opdracht uit:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Zodra u de connectorfout in het gebeurtenislogboek hebt gevonden, gebruikt u deze tabel met veelvoorkomende fouten om het probleem op te lossen:

Error Aanbevolen stappen
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Als u het registratievenster hebt gesloten zonder u aan te melden bij Microsoft Entra ID, voert u de wizard connector opnieuw uit en registreert u de connector.

Als het registratievenster wordt geopend en vervolgens onmiddellijk wordt gesloten zonder dat u zich kunt aanmelden, krijgt u de foutmelding. De fout treedt op wanneer er een netwerkfout op uw systeem optreedt. Zorg ervoor dat u vanuit een browser verbinding kunt maken met een openbare website en dat de poorten zijn geopend zoals opgegeven in de configuratieconnectors.
Clear error is presented in the registration window. Cannot proceed Als u de fout ziet en het venster wordt gesloten, hebt u de verkeerde gebruikersnaam of het verkeerde wachtwoord ingevoerd. Probeer het opnieuw.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. U probeert zich aan te melden met een Microsoft-account en niet een domein dat deel uitmaakt van de organisatie-id van de directory waartoe u toegang probeert te krijgen. De beheerder moet deel uitmaken van dezelfde domeinnaam als het tenantdomein. Als het Microsoft Entra-domein bijvoorbeeld is contoso.com, moet de beheerder zijn admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Als de connectorinstallatie mislukt, controleert u of het PowerShell-uitvoeringsbeleid niet is uitgeschakeld.

1. Open de groepsbeleideditor.
2. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Windows PowerShell en dubbelklik op Scriptuitvoering inschakelen.
3. Het uitvoeringsbeleid kan worden ingesteld op Niet geconfigureerd of Ingeschakeld. Als deze optie is ingesteld op Ingeschakeld, moet u ervoor zorgen dat onder Opties het Uitvoeringsbeleid is ingesteld op Lokale scripts en externe ondertekende scripts toestaan of op Alle scripts toestaan.
Connector failed to download the configuration. Het clientcertificaat van de connector, dat wordt gebruikt voor verificatie, is verlopen. Het probleem treedt op als u de connector achter een proxy hebt geïnstalleerd. In dit geval heeft de connector geen toegang tot internet en kan de connector geen toepassingen bieden aan externe gebruikers. Vernieuw de vertrouwensrelatie handmatig met behulp van de cmdlet Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Als uw connector zich achter een proxy bevindt, moet u internettoegang verlenen tot de connectoraccounts network services en local system. Het verlenen van toegang wordt bereikt door toegang te verlenen tot de proxy of de proxy te omzeilen.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' De alias waarmee u zich probeert aan te melden, is geen beheerder in dit domein. Uw connector wordt altijd geïnstalleerd voor de map die eigenaar is van het domein van de gebruiker. Zorg ervoor dat het beheerdersaccount waarmee u zich probeert aan te melden ten minste beheerdersmachtigingen voor de Microsoft Entra-tenant heeft.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. De connector kan geen verbinding maken met de cloudservice voor de toepassingsproxy. Het probleem treedt op als u een firewallregel hebt die de verbinding blokkeert. Hiermee staat u toegang toe tot de juiste poorten en URL's die worden vermeld in de configuratieconnectors.

Stroomdiagram voor connectorproblemen

Dit stroomdiagram leidt u door de stappen voor het oplossen van een aantal veelvoorkomende connectorproblemen. Zie de tabel na het stroomdiagram voor meer informatie over elke stap.

Stroomdiagram met stappen voor het opsporen van fouten in een connector.

Stap Actie Beschrijving
1 De connectorgroep zoeken die is toegewezen aan de app U hebt waarschijnlijk een connector geïnstalleerd op meerdere servers. In dat geval moeten de connectors worden toegewezen aan een connectorgroep. Zie Microsoft Entra-groepen voor privénetwerkconnectorgroepen voor meer informatie over connectorgroepen.
2 De connector installeren en een groep toewijzen Zie Connectors configureren als er geen connector is geïnstalleerd.

Zie De connector toewijzen aan een groep als de connector niet is toegewezen aan een groep.

Zie De toepassing toewijzen aan een connectorgroep als de toepassing niet is toegewezen aan een connectorgroep.
3 Een poorttest uitvoeren op de connectorserver Voer op de connectorserver een poorttest uit met telnet of een ander testprogramma voor poorten om te controleren of poorten correct zijn geconfigureerd. Zie Connectors configureren voor meer informatie.
4 De domeinen en poorten configureren Connectors voor de connector configureren. Bepaalde poorten moeten geopend zijn en URL's waartoe uw server toegang moet hebben. Zie Connectors configureren voor meer informatie.
5 Controleren of er een back-endproxy wordt gebruikt Controleer of de connectors gebruikmaken van back-endproxyservers of deze omzeilen. Zie Problemen met connectorproxy's en serviceconnectiviteit oplossen voor meer informatie.
6 De connector- en updater-instellingen bijwerken met de informatie over de back-endproxy Als een back-endproxy wordt gebruikt, moet u ervoor zorgen dat de connector dezelfde proxy gebruikt. Zie Werken met bestaande on-premises proxyservers voor meer informatie over probleemoplossing en het configureren van connectors om te werken met proxyservers.
7 De interne URL van de app op de connectorserver laden Laad de interne URL van de app op de connectorserver.
8 Interne netwerkconnectiviteit controleren Er is een verbindingsprobleem in uw interne netwerk dat niet kan worden vastgesteld door deze foutopsporingsstroom. De toepassing moet intern toegankelijk zijn om de connectors te laten werken. U kunt gebeurtenislogboeken van connectors inschakelen en weergeven zoals beschreven in connectors voor privénetwerken.
9 De time-outwaarde op de back-end verlengen Wijzig in de Aanvullende instellingen voor uw toepassing de instelling Time-out van back-endtoepassing in Lang. Zie Een on-premises app toevoegen aan Microsoft Entra-id.
10 Als problemen zich blijven voordoen, kunt u fouten opsporen in toepassingen. Fouten opsporen in toepassingsproxytoepassingsproblemen.

Veelgestelde vragen

Waarom gebruikt mijn connector nog steeds een oudere versie en wordt deze niet automatisch bijgewerkt naar de nieuwste versie?

Dit kan worden veroorzaakt doordat de updater-service niet goed werkt of als er geen nieuwe updates beschikbaar zijn die door de service kunnen worden geïnstalleerd.

De updaterservice is in orde als deze wordt uitgevoerd en er geen fouten zijn vastgelegd in het gebeurtenislogboek (Logboeken toepassingen en services -> Microsoft - Microsoft -> Microsoft Entra-particulier netwerk -> Updater -> Beheer).

Belangrijk

Alleen primaire versies worden uitgebracht voor automatische upgrade. U wordt aangeraden de connector alleen handmatig bij te werken als dit nodig is. U kunt bijvoorbeeld niet wachten op een grote release, omdat u een bekend probleem moet oplossen of u een nieuwe functie wilt gebruiken. Voor meer informatie over nieuwe releases, het type release (downloaden, automatisch upgraden), opgeloste fouten en nieuwe functies, zie Microsoft Entra private network connector: Versie releasegeschiedenis.

Een connector handmatig bijwerken:

  • Download de nieuwste versie van de connector. (U vindt deze onder de toepassingsproxy in het Microsoft Entra-beheercentrum.
  • Het installatieprogramma start de microsoft Entra Private Network Connector-services opnieuw op. In sommige gevallen kan een herstart van de server vereist zijn als het installatieprogramma niet alle bestanden kan vervangen. Daarom raden we u aan alle toepassingen (bijvoorbeeld Logboeken) te sluiten voordat u de upgrade start.
  • Voer het installatieprogramma uit. Het upgradeproces is snel en vereist geen referenties en de connector wordt niet opnieuw geregistreerd.

Kunnen privénetwerkconnectorservices worden uitgevoerd in een andere gebruikerscontext dan de standaardcontext?

Nee, dit scenario wordt niet ondersteund. De standaardinstellingen zijn:

  • Microsoft Entra private network connector - WAPCSvc - Network Service
  • Updater voor Microsoft Entra-privénetwerkconnector - WAPCUpdaterSvc - NT Authority\System

Kan een gastgebruiker met de rol Global Beheer istrator of application Beheer istrator de connector registreren voor de (gast)-tenant?

Nee, dit is momenteel niet mogelijk. De registratiepoging wordt altijd uitgevoerd op de thuistenant van de gebruiker.

Mijn back-endtoepassing wordt gehost op meerdere webservers en vereist persistentie van gebruikerssessies (stickiness). Hoe kan ik sessiepersistentie bereiken?

Zie voor aanbevelingen hoge beschikbaarheid en taakverdeling van uw privénetwerkconnectors en -toepassingen.

Wordt TLS-beëindiging (TLS/HTTPS-inspectie of -versnelling) ondersteund voor verkeer van de connectorservers naar Azure?

De privénetwerkconnector voert verificatie op basis van certificaten uit naar Azure. TLS-beëindiging (TLS/HTTPS-inspectie of -versnelling) onderbreekt deze verificatiemethode en wordt niet ondersteund. Verkeer van de connector naar Azure moet alle apparaten die TLS-beëindiging uitvoeren, overslaan.

Is TLS 1.2 vereist voor alle verbindingen?

Ja. Om de beste versleuteling te bieden aan onze klanten, beperkt de toepassingsproxyservice de toegang tot alleen TLS 1.2-protocollen. Deze wijzigingen zijn geleidelijk aan geïmplementeerd en van kracht sinds 31 augustus 2019. Zorg ervoor dat alle combinaties van clientservers en browserservers zijn bijgewerkt om TLS 1.2 te gebruiken om verbinding met de toepassingsproxyservice te onderhouden. Dit zijn clients die uw gebruikers gebruiken voor toegang tot toepassingen die zijn gepubliceerd via de toepassingsproxy. Zie Voorbereiden voor TLS 1.2 in Office 365 voor handige naslaginformatie en bronnen.

Kan ik een doorstuurproxyapparaat plaatsen tussen de connectorserver(s) en de back-endtoepassingsserver?

Ja, dit scenario wordt ondersteund vanaf connectorversie 1.5.1526.0. Zie Werken met bestaande on-premises proxyservers.

Moet ik een speciaal account maken om de connector te registreren bij de Microsoft Entra-toepassingsproxy?

Er is geen reden om. Alle globale Beheer istrator- of toepassingsbeheerdersaccounts werken. De referenties die tijdens de installatie zijn ingevoerd, worden niet gebruikt na het registratieproces. In plaats daarvan wordt een certificaat uitgegeven aan de connector, dat vanaf dat moment wordt gebruikt voor verificatie.

Hoe kan ik de prestaties van de Microsoft Entra-privénetwerkconnector bewaken?

Er zijn prestatiemeters die samen met de connector worden geïnstalleerd. Als u deze wilt weergeven:

  1. Selecteer Start, typ 'Perfmon' en druk op Enter.
  2. Selecteer Prestatiemeter en klik op het groene + pictogram.
  3. Voeg de microsoft Entra Private Network Connector-meteritems toe die u wilt bewaken.

Moet de Microsoft Entra-privénetwerkconnector zich in hetzelfde subnet bevinden als de resource?

De connector hoeft zich niet in hetzelfde subnet te bevinden. Er is echter naamomzetting (DNS, hosts-bestand) nodig voor de resource en de benodigde netwerkverbinding (routering naar de resource, poorten geopend op de resource, enzovoort). Zie overwegingen voor netwerktopologie bij het gebruik van de Microsoft Entra-toepassingsproxy voor aanbevelingen.

Waarom wordt de connector nog steeds weergegeven in het Microsoft Entra-beheercentrum nadat ik de connector van de server heb verwijderd?

Wanneer een connector wordt uitgevoerd, blijft deze actief wanneer deze verbinding maakt met de service. Verwijderde of ongebruikte connectors worden gelabeld als inactief en worden na 10 dagen inactiviteit verwijderd vanuit de portal. U kunt de inactieve connector niet handmatig verwijderen uit het Microsoft Entra-beheercentrum.

Volgende stappen