Rozwiązywanie problemów z instalowaniem łącznika sieci prywatnej

  • Artykuł

Łącznik sieci prywatnej firmy Microsoft Entra to wewnętrzny składnik domeny, który używa połączeń wychodzących do ustanawiania łączności z dostępnego punktu końcowego w chmurze do domeny wewnętrznej. Łącznik jest używany zarówno przez serwer proxy aplikacji Dostęp Prywatny Microsoft Entra, jak i Microsoft Entra.

Ogólne obszary problemów z instalacją łącznika

W przypadku niepowodzenia instalacji łącznika główna przyczyna jest zwykle jedną z następujących obszarów. Jako prekursor wszelkich rozwiązywania problemów pamiętaj o ponownym uruchomieniu łącznika.

  • Połączenie ivity — aby ukończyć pomyślną instalację, nowy łącznik musi zarejestrować i ustanowić przyszłe właściwości zaufania. Zaufanie jest ustanawiane przez nawiązanie połączenia z usługą w chmurze serwera proxy aplikacji firmy Microsoft.
  • Trust Establishment — nowy łącznik tworzy certyfikat z podpisem własnym i rejestruje się w usłudze w chmurze.
  • Uwierzytelnianie administratora — podczas instalacji użytkownik musi podać poświadczenia administratora, aby ukończyć instalację łącznika.

Uwaga

Dzienniki instalacji łącznika można znaleźć w folderze %TEMP% i mogą pomóc w podaniu dodatkowych informacji na temat przyczyn niepowodzenia instalacji.

Weryfikowanie łączności z usługą serwera proxy aplikacji w chmurze i stroną logowania firmy Microsoft

Cel: Sprawdź, czy maszyna łącznika może nawiązać połączenie z punktem końcowym rejestracji serwera proxy aplikacji i stroną logowania firmy Microsoft.

  1. Na serwerze łącznika uruchom test portu przy użyciu narzędzia telnet lub innego narzędzia do testowania portów, aby sprawdzić, czy porty 443 i 80 są otwarte.

  2. Sprawdź, czy serwer proxy zapory lub zaplecza ma dostęp do wymaganych domen i portów, zobacz Przygotowanie środowiska lokalnego.

  3. Otwórz kartę przeglądarki i wprowadź: https://login.microsoftonline.com. Upewnij się, że możesz się zalogować.

Weryfikowanie obsługi certyfikatów składników maszyny i zaplecza

Cel: Sprawdź, czy maszyna łącznika, serwer proxy zaplecza i zapora mogą obsługiwać certyfikat utworzony przez łącznik. Sprawdź również, czy certyfikat jest prawidłowy.

Uwaga

Łącznik próbuje utworzyć SHA512 certyfikat obsługiwany przez protokół Transport Layer Security (TLS) 1.2. Jeśli maszyna lub zapora zaplecza i serwer proxy nie obsługują protokołu TLS 1.2, instalacja zakończy się niepowodzeniem.

Zapoznaj się z wymaganymi wymaganiami wstępnymi:

  1. Sprawdź, czy maszyna obsługuje protokół Transport Layer Security (TLS) 1.2 — wszystkie wersje systemu Windows po 2012 R2 powinny obsługiwać protokół TLS 1.2. Jeśli maszyna łącznika pochodzi z wersji 2012 R2 lub wcześniejszej, upewnij się, że wymagane aktualizacje są zainstalowane.

  2. Skontaktuj się z administratorem sieci i poproś o sprawdzenie, czy serwer proxy zaplecza i zapora nie blokują SHA512 ruchu wychodzącego.

Aby sprawdzić certyfikat klienta:

Sprawdź odcisk palca bieżącego certyfikatu klienta. Magazyn certyfikatów można znaleźć w pliku %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Możliwe wartości IsInUserStoreprawdziwe i fałszywe. Wartość true oznacza, że certyfikat jest automatycznie odnawiany i przechowywany w kontenerze osobistym w magazynie certyfikatów użytkownika usługi sieciowej. Wartość false oznacza, że certyfikat klienta jest tworzony podczas instalacji lub rejestracji zainicjowanej przez Register-MicrosoftEntraPrivateNetworkConnectorprogram . Certyfikat jest przechowywany w kontenerze osobistym w magazynie certyfikatów komputera lokalnego.

Jeśli wartość ma wartość true, wykonaj następujące kroki, aby zweryfikować certyfikat:

  1. Pobierz PsTools.zip.
  2. Wyodrębnij narzędzie PsExec z pakietu i uruchom polecenie psexec -i -u "nt authority\network service" cmd.exe z wiersza polecenia z podwyższonym poziomem uprawnień.
  3. Uruchom polecenie certmgr.msc w nowo wyświetlonym wierszu polecenia.
  4. W konsoli zarządzania rozwiń kontener Osobisty i wybierz pozycję Certyfikaty.
  5. Znajdź certyfikat wystawiony przez connectorregistrationca.msappproxy.net.

Jeśli wartość ma wartość false, wykonaj następujące kroki, aby zweryfikować certyfikat:

  1. Uruchom polecenie certlm.msc.
  2. W konsoli zarządzania rozwiń kontener Osobisty i wybierz pozycję Certyfikaty.
  3. Znajdź certyfikat wystawiony przez connectorregistrationca.msappproxy.net.

Aby odnowić certyfikat klienta:

Jeśli łącznik nie jest połączony z usługą przez kilka miesięcy, jego certyfikaty mogą być nieaktualne. Niepowodzenie odnowienia certyfikatu prowadzi do wygaśnięcia certyfikatu. Wygasły certyfikat powoduje, że usługa łącznika przestanie działać. Zdarzenie 1000 jest rejestrowane w dzienniku administratora łącznika:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

W takim przypadku odinstaluj i ponownie zainstaluj łącznik, aby wyzwolić rejestrację, lub uruchom następujące polecenia programu PowerShell:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Aby dowiedzieć się więcej o poleceniu, zobacz Create an unattended installation script for the Microsoft Entra private network connector (Tworzenie skryptu Register-MicrosoftEntraPrivateNetworkConnector instalacji nienadzorowanej dla łącznika sieci prywatnej firmy Microsoft Entra).

Sprawdzanie, czy administrator jest używany do instalowania łącznika

Cel: Sprawdź, czy użytkownik, który próbuje zainstalować łącznik, jest administratorem z poprawnymi poświadczeniami. Obecnie użytkownik musi być co najmniej administratorem aplikacji, aby instalacja powiodła się.

Aby sprawdzić, czy poświadczenia są poprawne:

Połączenie i https://login.microsoftonline.com użyj tych samych poświadczeń. Upewnij się, że logowanie zakończyło się pomyślnie. Rolę użytkownika możesz sprawdzić, przechodząc do pozycji Microsoft Entra ID> Użytkownicy i grupy —> Wszyscy użytkownicy.

Wybierz konto użytkownika, a następnie pozycję Rola katalogu w wyświetlonym menu. Sprawdź, czy wybrana rola to Application Administracja istrator. Jeśli nie możesz uzyskać dostępu do żadnej ze stron opisanych w tych krokach, nie masz wymaganej roli.

Błędy łącznika

Jeśli rejestracja nie powiedzie się podczas instalacji kreatora łącznika, istnieją dwa sposoby wyświetlania przyczyny awarii. Wyszukaj w dzienniku zdarzeń w obszarze Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" lub uruchom następujące polecenie programu Windows PowerShell:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Po znalezieniu błędu łącznika z dziennika zdarzeń użyj tej tabeli typowych błędów, aby rozwiązać problem:

Błąd Zalecane czynności
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Jeśli okno rejestracji zostało zamknięte bez logowania się do identyfikatora Entra firmy Microsoft, uruchom kreatora łącznika ponownie i zarejestruj łącznik.

Jeśli zostanie otwarte okno rejestracji, a następnie natychmiast zostanie zamknięte bez zezwolenia na zalogowanie się, zostanie wyświetlony błąd. Błąd występuje, gdy w systemie występuje błąd sieci. Upewnij się, że możesz nawiązać połączenie z przeglądarki z publiczną witryną internetową i że porty są otwarte zgodnie z wymaganiami wstępnymi serwera proxy aplikacji.
Clear error is presented in the registration window. Cannot proceed Jeśli zostanie wyświetlony błąd, a następnie okno zostanie zamknięte, wprowadzono nieprawidłową nazwę użytkownika lub hasło. Spróbuj ponownie.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Próbujesz zalogować się przy użyciu konta Microsoft, a nie domeny będącej częścią identyfikatora organizacji katalogu, do którego próbujesz uzyskać dostęp. Administrator musi być częścią tej samej nazwy domeny co domena dzierżawy. Jeśli na przykład domena Microsoft Entra to contoso.com, administrator powinien mieć wartość admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Jeśli instalacja łącznika nie powiedzie się, upewnij się, że zasady wykonywania programu PowerShell nie są wyłączone.

1. Otwórz Edytor zasad grupy.
2. Przejdź do pozycji Konfiguracja> komputera Administracja istracyjne Szablony składników>>systemu Windows Windows PowerShell i kliknij dwukrotnie pozycję Włącz wykonywanie skryptu.
3. Zasady wykonywania można ustawić na Wartość Nieskonfigurowane lub Włączone. Jeśli ustawiono wartość Włączone, upewnij się, że w obszarze Opcje zasady wykonywania są ustawione na zezwalanie na skrypty lokalne i skrypty podpisane zdalnie lub zezwalaj na wszystkie skrypty.
Connector failed to download the configuration. Certyfikat klienta łącznika, który jest używany do uwierzytelniania, wygasł. Ten problem występuje, jeśli łącznik jest zainstalowany za serwerem proxy. W takim przypadku łącznik nie może uzyskać dostępu do Internetu i nie może udostępniać aplikacji użytkownikom zdalnym. Odnów zaufanie ręcznie przy użyciu Register-MicrosoftEntraPrivateNetworkConnector polecenia cmdlet w programie Windows PowerShell. Jeśli łącznik znajduje się za serwerem proxy, należy udzielić dostępu do Internetu do kont network services łącznika i local system. Udzielanie dostępu jest realizowane, udzielając dostępu do serwera proxy lub przekazując serwer proxy.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Alias, za pomocą którego próbujesz się zalogować, nie jest administratorem w tej domenie. Łącznik jest zawsze instalowany dla katalogu, który jest właścicielem domeny użytkownika. Upewnij się, że konto administratora, za pomocą którego próbujesz się zalogować, ma co najmniej uprawnienia administratora aplikacji do dzierżawy usługi Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Łącznik nie może nawiązać połączenia z usługą w chmurze serwera proxy aplikacji. Problem występuje, jeśli masz regułę zapory blokującą połączenie. Zezwalaj na dostęp do poprawnych portów i adresów URL wymienionych w wymaganiach wstępnych serwera proxy aplikacji.

Schemat blokowy dotyczący problemów z łącznikiem

Ten schemat blokowy przeprowadzi Cię przez kroki debugowania niektórych typowych problemów z łącznikiem. Aby uzyskać szczegółowe informacje na temat każdego kroku, zobacz tabelę poniżej schematu blokowego.

Schemat blokowy przedstawiający kroki debugowania łącznika.

Krok Akcja opis
1 Znajdowanie grupy łączników przypisanej do aplikacji Prawdopodobnie masz zainstalowany łącznik na wielu serwerach, w tym przypadku łączniki powinny być przypisane do grupy łączników. Aby dowiedzieć się więcej o grupach łączników, zobacz Omówienie grup łączników sieci prywatnej firmy Microsoft Entra.
2 Instalowanie łącznika i przypisywanie grupy Jeśli nie masz zainstalowanego łącznika, zobacz Instalowanie i rejestrowanie łącznika.

Jeśli łącznik nie jest przypisany do grupy, zobacz Przypisywanie łącznika do grupy.

Jeśli aplikacja nie jest przypisana do grupy łączników, zobacz Przypisywanie aplikacji do grupy łączników.
3 Uruchamianie testu portu na serwerze łącznika Na serwerze łącznika uruchom test portu przy użyciu narzędzia telnet lub innego narzędzia do testowania portów, aby sprawdzić, czy porty 443 i 80 są otwarte.
100 Konfigurowanie domen i portów Upewnij się, że domeny i porty są poprawnie skonfigurowane dla łącznika. Niektóre porty muszą być otwarte i adresy URL, do których serwer musi mieć dostęp. Aby uzyskać więcej informacji, zobacz Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwera proxy aplikacji w usłudze Microsoft Entra ID.
5 Sprawdzanie, czy używany jest serwer proxy zaplecza Sprawdź, czy łączniki używają serwerów proxy zaplecza, czy pomijają je. Aby uzyskać szczegółowe informacje, zobacz Rozwiązywanie problemów z serwerem proxy łącznika i problemy z łącznością z usługą.
6 Aktualizowanie ustawień łącznika i aktualizatora przy użyciu informacji o serwerze proxy zaplecza Jeśli używany jest serwer proxy zaplecza, upewnij się, że łącznik używa tego samego serwera proxy. Aby uzyskać szczegółowe informacje na temat rozwiązywania problemów i konfigurowania łączników do pracy z serwerami proxy, zobacz Praca z istniejącymi lokalnymi serwerami proxy.
7 Ładowanie wewnętrznego adresu URL aplikacji na serwerze łącznika Na serwerze łącznika załaduj wewnętrzny adres URL aplikacji.
8 Sprawdzanie łączności sieci wewnętrznej W sieci wewnętrznej występuje problem z łącznością, którego ten przepływ debugowania nie może zdiagnozować. Aplikacja musi być dostępna wewnętrznie, aby łączniki działały. Dzienniki zdarzeń łącznika można włączyć i wyświetlić zgodnie z opisem w temacie Prywatne łączniki sieciowe.
9 Wydłużenie wartości limitu czasu na zapleczu W obszarze Dodatkowe Ustawienia dla aplikacji zmień ustawienie Limit czasu aplikacji zaplecza na Długi. Zobacz Dodawanie aplikacji lokalnej do identyfikatora Entra firmy Microsoft.
10 Jeśli problemy będą się powtarzać, debuguj aplikacje. Debugowanie problemów z aplikacją serwera proxy aplikacji.

Następne kroki