Problemen en foutberichten met toepassingsproxy oplossen

  • Artikel

Controleer eerst of de privénetwerkconnectors juist zijn geconfigureerd. Zie Problemen met de connector voor privénetwerken opsporen en problemen met toepassingsproxy oplossen voor meer informatie.

Als er fouten optreden bij het openen van een gepubliceerde toepassing of bij het publiceren van toepassingen, controleert u de volgende opties om te zien of Microsoft Entra-toepassingsproxy correct werkt:

  • Open de Windows Services-console. Controleer of de microsoft Entra Private Network Connector-service is ingeschakeld en wordt uitgevoerd. Bekijk de eigenschappenpagina van de toepassingsproxyservice, zoals wordt weergegeven in de afbeelding.
    Schermafbeelding van microsoft Entra-privénetwerkconnector venster Eigenschappen
  • Open Logboeken en zoek naar gebeurtenissen voor privénetwerkconnectors in toepassingen en serviceslogboeken>van Microsoft>Entra-privénetwerk> Verbinding maken or> Beheer.
  • Bekijk gedetailleerde logboeken. Schakel sessielogboeken van de privénetwerkconnector in.

De pagina wordt niet correct weergegeven

Er zijn problemen met het weergeven of functioneren van uw toepassing zonder specifieke foutberichten te ontvangen. Het probleem treedt op als u het artikelpad hebt gepubliceerd, maar de toepassing vereist inhoud die buiten dat pad bestaat.

Als u bijvoorbeeld het pad https://yourapp/app publiceert, maar de toepassing afbeeldingen aanroept https://yourapp/media, worden deze niet weergegeven. Zorg ervoor dat u de toepassing publiceert met behulp van het pad op het hoogste niveau dat u nodig hebt om alle relevante inhoud op te nemen. In dit voorbeeld is dat http://yourapp/.

Het laden van een toepassingsproxytoepassing duurt te lang

Toepassingen kunnen functioneel zijn, maar ervaren een lange latentie. Aanpassingen aan de netwerktopologie kunnen verbeteringen in snelheid aanbrengen. Zie het document met netwerkoverwegingen voor een evaluatie van verschillende topologieën.

De toepassingspagina wordt niet correct weergegeven voor een toepassingsproxytoepassing

Wanneer u een toepassingsproxy-app publiceert, zijn alleen pagina's onder de hoofdmap toegankelijk bij toegang tot de toepassing. Als de pagina niet correct wordt weergegeven, ontbreekt er mogelijk een aantal paginabronnen in de interne URL van de hoofdmap die voor de toepassing wordt gebruikt. Als u dit wilt oplossen, publiceert u alle resources voor de pagina als onderdeel van uw toepassing.

Controleer of ontbrekende resources het probleem zijn. Uw netwerktracker openen, zoals Fiddler of F12-hulpprogramma's in Microsoft Edge. Laad de pagina en zoek naar 404-fouten. De fouten geven aan dat de pagina's niet kunnen worden gevonden en dat u ze moet publiceren.

Stel dat u een onkostentoepassing hebt gepubliceerd met behulp van de interne URL http://myapps/expenses, maar dat de app gebruikmaakt van het opmaakmodel http://myapps/style.css. Het opmaakmodel wordt niet gepubliceerd in uw toepassing, dus als u de onkosten-app laadt, treedt er een 404 fout op bij het laden style.css. In dit voorbeeld kunt u het probleem oplossen door de toepassing te publiceren met de interne URL http://myapp/.

Problemen met publiceren als één toepassing

Als het niet mogelijk is om alle resources binnen dezelfde toepassing te publiceren, moet u meerdere toepassingen publiceren en koppelingen tussen deze toepassingen inschakelen.

Hiervoor raden we u aan de oplossing voor aangepaste domeinen te gebruiken. Voor deze oplossing is echter vereist dat u eigenaar bent van het certificaat voor uw domein en dat uw toepassingen FQDN's (Fully Qualified Domain Names) gebruiken. Zie de documentatie voor verbroken koppelingen oplossen voor andere opties.

Ik kan mijn toepassing openen, maar de koppelingen op de toepassingspagina werken niet.

Ik heb een verbindingsprobleem met mijn toepassing

Ik weet niet welke poorten moeten worden geopend voor mijn toepassing.

Ik heb een probleem bij het configureren van de Microsoft Entra-toepassingsproxy in de beheerportal

Ik weet niet hoe ik eenmalige aanmelding moet configureren voor mijn toepassingsproxytoepassing.

Ik heb een probleem met het instellen van back-endverificatie naar mijn toepassing

Ik weet niet hoe ik beperkte Kerberos-delegering moet configureren. Ik weet niet hoe ik mijn toepassing moet configureren met PingAccess.

Ik heb een probleem met het aanmelden bij mijn toepassing

Ik krijg de foutmelding Can't Access this Corporate Application. Zie de time-outfout voor ongeldige gateway om dit probleem op te lossen.

Ik heb een probleem met de privénetwerkconnector

Ik heb problemen met het installeren van de privénetwerkconnector.

Kerberos-fouten

Deze tabel behandelt de meest voorkomende fouten die afkomstig zijn van Kerberos-installatie en -configuratie en bevat suggesties voor oplossing.

Error Aanbevolen stappen
Failed to retrieve the current execution policy for running PowerShell scripts. Als de connectorinstallatie mislukt, controleert u of het PowerShell-uitvoeringsbeleid niet is uitgeschakeld.

1. Open de groepsbeleideditor.
2. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Windows PowerShell en dubbelklik op Scriptuitvoering inschakelen.
3. Het uitvoeringsbeleid kan worden ingesteld op Niet geconfigureerd of Ingeschakeld. Als deze optie is ingesteld op Ingeschakeld, moet u ervoor zorgen dat onder Opties het Uitvoeringsbeleid is ingesteld op Lokale scripts en externe ondertekende scripts toestaan of op Alle scripts toestaan.
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. Deze fout geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de back-endtoepassingsserver, of een probleem in de configuratie van tijd en datum op beide computers. De back-endserver heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of Microsoft Entra ID en de back-endtoepassingsserver juist zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de back-endtoepassingsserver zijn gesynchroniseerd.
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. Er is een probleem met de STS-configuratie (Security Token Service). Corrigeer de UPN-claimconfiguratie (User Principal Name) in de STS.
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de domeincontrollerserver, of een probleem in de configuratie van tijd en datum op beide computers. De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of Microsoft Entra ID en de back-endtoepassingsserver juist zijn geconfigureerd, met name de SPN-configuratie (Service Principal Name). Zorg ervoor dat de domeincontroller een vertrouwensrelatie tot stand brengt met de Microsoft Entra-id. Beide moeten hetzelfde domein gebruiken. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de domeincontroller zijn gesynchroniseerd.
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra-id en de domeincontrollerserver, of een probleem in de configuratie van tijd en datum op beide computers. De domeincontroller heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of De Microsoft Entra-id en de back-endtoepassingsserver juist zijn geconfigureerd, met name de SPN-configuratie. Zorg ervoor dat de domeincontroller een vertrouwensrelatie tot stand brengt met de Microsoft Entra-id. Beide moeten hetzelfde domein gebruiken. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de domeincontroller zijn gesynchroniseerd.
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. Deze gebeurtenis geeft een onjuiste configuratie aan tussen Microsoft Entra ID en de back-endtoepassingsserver, of een probleem in de configuratie van tijd en datum op beide computers. De back-endserver heeft het Kerberos-ticket geweigerd dat is gemaakt door Microsoft Entra ID. Controleer of Microsoft Entra ID en de back-endtoepassingsserver juist zijn geconfigureerd. Zorg ervoor dat de tijd- en datumconfiguratie op de Microsoft Entra-id en de back-endtoepassingsserver zijn gesynchroniseerd. Zie Problemen met beperkte Kerberos-delegeringsconfiguraties voor toepassingsproxy oplossen voor meer informatie.

Eindgebruikersfouten

Deze lijst bevat fouten die je eindgebruikers kunnen tegenkomen als ze de toepassingen proberen te openen en dat mislukt.

Error Aanbevolen stappen
The website cannot display the page. Uw gebruiker krijgt deze fout bij het openen van de app die u hebt gepubliceerd als de toepassing een IWA-toepassing (Integrated Windows Authentication) is. De voor deze toepassing gedefinieerde SPN is onjuist. Voor IWA-toepassingen moet u ervoor zorgen dat de voor deze toepassing geconfigureerde SPN juist is.
The website cannot display the page. Uw gebruiker krijgt deze fout bij het openen van de app die u hebt gepubliceerd als de toepassing een OWA-toepassing (Outlook Web Application) is. Het probleem wordt veroorzaakt door:
  • De voor deze toepassing gedefinieerde SPN is onjuist. Zorg dat de voor deze toepassing geconfigureerde SPN juist is.
  • De gebruiker die de toepassing probeert te openen, gebruikt een Microsoft-account in plaats van het juiste bedrijfsaccount om zich aan te melden, of de gebruiker is een gastgebruiker. Zorg dat de gebruiker zich aanmeldt met zijn bedrijfsaccount behorende bij het domein van de gepubliceerde toepassing. Microsoft-accountgebruikers en gast hebben geen toegang tot IWA-toepassingen.
  • De gebruiker die toegang probeert te krijgen tot de toepassing, is niet juist gedefinieerd voor deze toepassing aan de on-premises zijde. Zorg dat deze gebruiker de juiste machtigingen heeft zoals gedefinieerd voor deze back-endtoepassing op de on-premises computer.
    		•
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. Uw gebruiker krijgt deze fout bij het openen van de app die u hebt gepubliceerd als ze Microsoft-accounts gebruiken in plaats van hun bedrijfsaccount om zich aan te melden. Gastgebruikers krijgen deze fout. Gebruikers en gasten van Microsoft-accounts hebben geen toegang tot IWA-toepassingen. Zorg dat de gebruiker zich aanmeldt met zijn bedrijfsaccount behorende bij het domein van de gepubliceerde toepassing.

    U moet de gebruiker toewijzen voor deze toepassing. Ga naar het tabblad Toepassing en wijs onder Gebruikers en groepen deze gebruiker of gebruikersgroep toe aan deze toepassing.
    This corporate app can’t be accessed right now. Please try again later… The connector timed out. Uw gebruiker krijgt deze fout wanneer hij toegang probeert te krijgen tot de app die u hebt gepubliceerd als deze niet goed is gedefinieerd voor deze toepassing aan de on-premises kant. Zorg dat deze gebruiker de juiste machtigingen heeft zoals gedefinieerd voor deze back-endtoepassing op de on-premises computer.
    This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. Uw gebruiker krijgt deze fout bij het openen van de app die u hebt gepubliceerd als deze niet expliciet is toegewezen aan een Premium-licentie door de beheerder van de abonnee. Ga naar het tabblad Active Directory-licenties van de abonnee en zorg dat aan deze gebruiker of gebruikersgroep een Premium-licentie is toegewezen.
    A server with the specified host name could not be found. Uw gebruiker krijgt deze fout bij het openen van de app die u hebt gepubliceerd als het aangepaste domein van de toepassing niet juist is geconfigureerd. Controleer het certificaat voor het domein en configureer de DNS-record (Domain Name System) correct. Zie Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy voor meer informatie.
    Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. Het probleem kan een probleem zijn met toegang tot autorisatiegegevens. Zie (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information) voor meer informatie. Voeg in een notendop het computeraccount van de privénetwerkconnector toe aan de ingebouwde domeingroep 'Windows Authorization Access Group' om dit op te lossen.
    InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. De connector beveiligt uitgaande verbindingen met de cloudservice-eindpunten van de Microsoft Entra-toepassingsproxy met behulp van een clientcertificaat. De fout treedt op wanneer het clientcertificaat het eindpunt niet kan bereiken. Een netwerkapparaat dat bijvoorbeeld TLS-inspectie (Transport Layer Security) uitvoert of de TLS-verbinding onderbreekt. Vermijd inline-inspectie en beëindiging van uitgaande TLS-communicatie. Inspectie en beëindiging mogen niet plaatsvinden tussen Microsoft Entra private network connectors en Microsoft Entra application proxy cloud services.

    Zie ook