Özel ağ bağlayıcısını yükleme sorunlarını giderme

  • Makale

Microsoft Entra özel ağ bağlayıcısı, bulut kullanılabilir uç noktasından iç etki alanına bağlantıyı kurmak için giden bağlantıları kullanan bir iç etki alanı bileşenidir. Bağlayıcı hem Microsoft Entra Özel Erişim hem de Microsoft Entra uygulama ara sunucusu tarafından kullanılır.

Bağlayıcı yüklemesiyle ilgili genel sorun alanları

Bağlayıcının yüklenmesi başarısız olduğunda, kök neden genellikle aşağıdaki alanlardan biridir. Herhangi bir sorun giderme işleminin öncüsü olarak bağlayıcıyı yeniden başlatmayı unutmayın.

  • Bağlan ivity : Başarılı bir yüklemeyi tamamlamak için yeni bağlayıcının kaydolması ve gelecekteki güven özelliklerini oluşturması gerekir. Güven, Microsoft Entra uygulama ara sunucusu bulut hizmetine bağlanılarak oluşturulur.
  • Güven Oluşturma – yeni bağlayıcı otomatik olarak imzalanan bir sertifika oluşturur ve bulut hizmetine kaydolr.
  • Yönetici kimlik doğrulaması – yükleme sırasında kullanıcının bağlayıcı yüklemesini tamamlamak için yönetici kimlik bilgilerini sağlaması gerekir.

Not

Bağlayıcı yükleme günlükleri klasörde bulunabilir ve yükleme hatasına %TEMP% neyin neden olduğu hakkında ek bilgi sağlamaya yardımcı olabilir.

Bulut uygulaması ara sunucusu hizmetine ve Microsoft oturum açma sayfasına bağlantıyı doğrulama

Amaç: Bağlayıcı makinesinin uygulama ara sunucusu kayıt uç noktasına ve Microsoft oturum açma sayfasına bağlanabildiğini doğrulayın.

  1. Bağlayıcı sunucusunda, 443 ve 80 numaralı bağlantı noktalarının açık olduğunu doğrulamak için telnet veya diğer bağlantı noktası test aracını kullanarak bir bağlantı noktası testi çalıştırın.

  2. Güvenlik duvarının veya arka uç proxy'sinin gerekli etki alanlarına ve bağlantı noktalarına erişimi olduğunu doğrulayın, bağlayıcıları yapılandırın.

  3. Bir tarayıcı sekmesi açın ve şunu girin: https://login.microsoftonline.com. Oturum açabildiğinize emin olun.

Makine ve arka uç bileşeni sertifika desteğini doğrulama

Amaç: Bağlayıcı makinesinin, arka uç proxy'sinin ve güvenlik duvarının bağlayıcı tarafından oluşturulan sertifikayı destekleyeebileceğini doğrulayın. Ayrıca sertifikanın geçerli olduğunu doğrulayın.

Not

Bağlayıcı, Aktarım Katmanı Güvenliği (TLS) 1.2 tarafından desteklenen bir SHA512 sertifika oluşturmaya çalışır. Makine veya arka uç güvenlik duvarı ve ara sunucu TLS 1.2'yi desteklemiyorsa yükleme başarısız olur.

Gerekli önkoşulları gözden geçirin:

  1. Makinenin Aktarım Katmanı Güvenliği (TLS) 1.2'yi desteklediğini doğrulayın. 2012 R2'nin ardından tüm Windows sürümleri TLS 1.2'yi desteklemelidir. Bağlayıcı makineniz 2012 R2 veya önceki bir sürümden geliyorsa, gerekli güncelleştirmelerin yüklendiğinden emin olun.

  2. Ağ yöneticinize başvurun ve arka uç proxy'sinin ve güvenlik duvarının giden trafiği engellemediğini SHA512 doğrulamayı isteyin.

İstemci sertifikasını doğrulamak için:

Geçerli istemci sertifikasının parmak izini doğrulayın. Sertifika deposu içinde %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xmlbulunabilir.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Olası IsInUserStore değerleri true ve false değerleridir. True değeri, sertifikanın otomatik olarak yenilendiği ve Ağ Hizmeti'nin kullanıcı sertifika deposundaki kişisel kapsayıcıda depolandığı anlamına gelir. false değeri, istemci sertifikasının tarafından Register-MicrosoftEntraPrivateNetworkConnectorbaşlatılan yükleme veya kayıt sırasında oluşturulduğu anlamına gelir. Sertifika, yerel makinenin sertifika deposundaki kişisel kapsayıcıda depolanır.

Değer true ise sertifikayı doğrulamak için şu adımları izleyin:

  1. PsTools.zip indirin.
  2. Paketten PsExec'i ayıklayın ve yükseltilmiş bir komut isteminden psexec -i -u "nt authority\network service" cmd.exe çalıştırın.
  3. Yeni görüntülenen komut isteminde certmgr.msc dosyasını çalıştırın.
  4. Yönetim konsolunda Kişisel kapsayıcısını genişletin ve Sertifikalar'ı seçin.
  5. connectorregistrationca.msappproxy.net tarafından verilen sertifikayı bulun.

Değer false ise, sertifikayı doğrulamak için şu adımları izleyin:

  1. certlm.msc dosyasını çalıştırın.
  2. Yönetim konsolunda Kişisel kapsayıcısını genişletin ve Sertifikalar'ı seçin.
  3. connectorregistrationca.msappproxy.net tarafından verilen sertifikayı bulun.

İstemci sertifikasını yenilemek için:

Bağlayıcı hizmete birkaç ay boyunca bağlı değilse sertifikaları güncel olmayabilir. Sertifikanın yenilenememesi sertifika süresinin dolmasına yol açabilir. Süresi dolan sertifika, bağlayıcı hizmetinin çalışmayı durdurmasına neden olur. Bağlayıcının yönetici günlüğüne 1000 olayı kaydedilir:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

Bu durumda kaydı tetiklemek için bağlayıcıyı kaldırın ve yeniden yükleyin veya aşağıdaki PowerShell komutlarını çalıştırın:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Komut hakkında Register-MicrosoftEntraPrivateNetworkConnector daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcısı için katılımsız yükleme betiği oluşturma.

Bağlayıcıyı yüklemek için yöneticinin kullanıldığını doğrulayın

Amaç: Bağlayıcıyı yüklemeye çalışan kullanıcının doğru kimlik bilgilerine sahip bir yönetici olduğunu doğrulayın. Şu anda yüklemenin başarılı olması için kullanıcının en az bir uygulama yöneticisi olması gerekir.

Kimlik bilgilerinin doğru olduğunu doğrulamak için:

https://login.microsoftonline.com Bağlan ve aynı kimlik bilgilerini kullanın. Oturum açma işleminin başarılı olduğundan emin olun. Microsoft Entra Id -Users and Groups ->>All Users'a giderek kullanıcı rolünü de kontrol edebilirsiniz.

Kullanıcı hesabınızı ve ardından sonuçta elde edilen menüde Dizin Rolü'ne tıklayın. Seçilen rolün Application Yönetici istrator olduğunu doğrulayın. Bu adımlarda yer alan sayfalardan herhangi birine erişemiyorsanız gerekli role sahip değilsiniz demektir.

Bağlayıcı hataları

Bağlayıcı sihirbazı yüklemesi sırasında kayıt başarısız olursa, hatanın nedenini görüntülemenin iki yolu vardır. altında olay günlüğüne Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" bakın veya aşağıdaki Windows PowerShell komutunu çalıştırın:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Olay günlüğünden bağlayıcı hatasını bulduğunuzda, sorunu çözmek için bu yaygın hatalar tablosunu kullanın:

Hata Önerilen adımlar
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Microsoft Entra ID'de oturum açmadan kayıt penceresini kapattıysanız bağlayıcı sihirbazını yeniden çalıştırın ve bağlayıcıyı kaydedin.

Kayıt penceresi açılır ve oturum açmanıza izin vermeden hemen kapanırsa hatayla karşılaşırsınız. Hata, sisteminizde bir ağ hatası olduğunda oluşur. Bir tarayıcıdan genel web sitesine bağlanabildiğinizden ve bağlantı noktalarının yapılandırma bağlayıcılarında belirtildiği gibi açık olduğundan emin olun.
Clear error is presented in the registration window. Cannot proceed Hatayı görürseniz ve pencere kapanırsa, yanlış kullanıcı adı veya parola girmişsiniz demektir. Yeniden deneyin.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Erişmeye çalıştığınız dizinin kuruluş kimliğinin parçası olan bir etki alanı değil, bir Microsoft Hesabı kullanarak oturum açmaya çalışıyorsunuz. Yönetici, kiracı etki alanıyla aynı etki alanı adının parçası olmalıdır. Örneğin, Microsoft Entra etki alanı ise contoso.comyönetici olmalıdır admin@contoso.com.
Failed to retrieve the current execution policy for running PowerShell scripts. Bağlayıcı yüklemesi başarısız olursa PowerShell yürütme ilkesinin devre dışı bırakılmadığından emin olun.

1. Grup İlkesi Düzenleyicisi'ni açın.
2. Bilgisayar Yapılandırması> Yönetici strative Templates>Windows Bileşenleri>Windows PowerShell'egidin ve Betik Yürütmeyi Aç'a çift tıklayın.
3. Yürütme ilkesi Yapılandırılmadı veya Etkin olarak ayarlanabilir. Etkin olarak ayarlanırsa, Seçenekler'in altında Yürütme İlkesi'nin Yerel betiklere ve uzaktan imzalı betiklere izin ver veya Tüm betiklere izin ver olarak ayarlandığından emin olun.
Connector failed to download the configuration. Bağlayıcının kimlik doğrulaması için kullanılan istemci sertifikasının süresi doldu. Bağlayıcı bir ara sunucu arkasında yüklüyse sorun oluşur. Bu durumda bağlayıcı İnternet'e erişemez ve uzak kullanıcılara uygulama sağlayamaz. Windows PowerShell'de cmdlet'ini kullanarak güveni Register-MicrosoftEntraPrivateNetworkConnector el ile yenileyin. Bağlayıcınız bir ara sunucu arkasındaysa ve bağlayıcı hesaplarına network serviceslocal systemİnternet erişimi vermek gerekir. Erişim verme, ara sunucuya erişim vererek veya ara sunucuyu atlayarak gerçekleştirilir.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Oturum açmaya çalıştığınız diğer ad bu etki alanında yönetici değil. Bağlayıcınız her zaman kullanıcının etki alanının sahibi olan dizin için yüklenir. Oturum açmaya çalıştığınız yönetici hesabının Microsoft Entra kiracısı için en az uygulama yöneticisi izinlerine sahip olduğundan emin olun.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Bağlayıcı, uygulama ara sunucusu bulut hizmetine bağlanamıyor. Bu sorun, bağlantıyı engelleyen bir güvenlik duvarı kuralınız varsa ortaya çıkar. Bağlayıcıları yapılandırma bölümünde listelenen doğru bağlantı noktalarına ve URL'lere erişime izin verin.

Bağlayıcı sorunları için akış çizelgesi

Bu akış çizelgesi, daha yaygın bağlayıcı sorunlarından bazılarının hatalarını ayıklama adımlarını gösterir. Her adımla ilgili ayrıntılar için akış çizelgesini izleyen tabloya bakın.

Bağlayıcıda hata ayıklama adımlarını gösteren akış çizelgesi.

Adım Eylem Açıklama
1 Uygulamaya atanan bağlayıcı grubunu bulma Büyük olasılıkla birden çok sunucuya yüklenmiş bir bağlayıcınız vardır ve bu durumda bağlayıcılar bir bağlayıcı grubuna atanmalıdır. Bağlayıcı grupları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra özel ağ bağlayıcı gruplarını anlama.
2 Bağlayıcıyı yükleme ve grup atama Yüklü bir bağlayıcınız yoksa bkz . Bağlayıcıları yapılandırma).

Bağlayıcı bir gruba atanmamışsa bkz . Bağlayıcıyı bir gruba atama.

Uygulama bir bağlayıcı grubuna atanmamışsa bkz . Uygulamayı bağlayıcı grubuna atama.
3 Bağlayıcı sunucusunda bağlantı noktası testi çalıştırma Bağlayıcı sunucusunda, bağlantı noktalarının doğru yapılandırılıp yapılandırılmadığı denetlemek için telnet veya diğer bağlantı noktası test aracını kullanarak bir bağlantı noktası testi çalıştırın. Daha fazla bilgi edinmek için bkz . Bağlayıcıları yapılandırma.
4 Etki alanlarını ve bağlantı noktalarını yapılandırma Bağlayıcı için bağlayıcıları yapılandırın. Belirli bağlantı noktalarının açık ve sunucunuzun erişebileceği URL'ler olmalıdır. Daha fazla bilgi için bkz . Bağlayıcıları yapılandırma.
5 Arka uç ara sunucusunun kullanımda olup olmadığını denetleme Bağlayıcıların arka uç proxy sunucuları mı kullandığını yoksa bunları atlayıp atlamadığını denetleyin. Ayrıntılar için bkz . Bağlayıcı ara sunucusu sorunlarını ve hizmet bağlantısı sorunlarını giderme.
6 Bağlayıcı ve güncelleştirici ayarlarını arka uç proxy bilgileriyle güncelleştirme Bir arka uç ara sunucusu kullanılıyorsa, bağlayıcının aynı ara sunucuyu kullandığından emin olun. Bağlayıcıları ara sunucularla çalışacak şekilde giderme ve yapılandırma hakkında ayrıntılı bilgi için bkz . Var olan şirket içi proxy sunucularıyla çalışma.
7 Bağlayıcı sunucusuna uygulamanın iç URL'sini yükleme Bağlayıcı sunucusunda uygulamanın iç URL'sini yükleyin.
8 İç ağ bağlantısını denetleme İç ağınızda bu hata ayıklama akışının tanılayamadığı bir bağlantı sorunu var. Bağlayıcıların çalışması için uygulamanın dahili olarak erişilebilir olması gerekir. Özel ağ bağlayıcılarında açıklandığı gibi bağlayıcı olay günlüklerini etkinleştirebilir ve görüntüleyebilirsiniz.
9 Arka uçta zaman aşımı değerini uzatma Uygulamanız için ek Ayarlar Arka Uç Uygulama Zaman Aşımı ayarını Uzun olarak değiştirin. Bkz . Microsoft Entra Id'ye şirket içi uygulama ekleme.
10 Sorunlar devam ederse uygulamalarda hata ayıkla. Uygulama ara sunucusu uygulama sorunlarının hatalarını ayıkla.

Sık sorulan sorular

Bağlayıcım neden hala eski bir sürüm kullanıyor ve en son sürüme otomatik olarak yükseltilmiyor?

Bunun nedeni, güncelleştirici hizmetinin düzgün çalışmaması veya hizmetin yükleyebileceği yeni güncelleştirmelerin mevcut olmaması olabilir.

Güncelleştirici hizmeti çalışıyorsa ve olay günlüğüne kaydedilmiş hata yoksa (Uygulamalar ve Hizmetler günlükleri - Microsoft ->> Microsoft Entra özel ağı - Güncelleştirici ->> Yönetici) iyi durumdadır.

Önemli

Otomatik yükseltme için yalnızca ana sürümler yayınlanıyor. Bağlayıcınızı yalnızca gerekliyse el ile güncelleştirmenizi öneririz. Örneğin, bilinen bir sorunu düzeltmeniz gerektiğinden veya yeni bir özellik kullanmak istediğinizden önemli bir sürümü bekleyemezsiniz. Yeni sürümler, sürümün türü (indirme, otomatik yükseltme), hata düzeltmeleri ve yeni özellikler hakkında daha fazla bilgi için bkz . Microsoft Entra özel ağ bağlayıcısı: Sürüm yayın geçmişi.

Bağlayıcıyı el ile yükseltmek için:

  • Bağlayıcının en son sürümünü indirin. (Bunu Microsoft Entra yönetim merkezinde uygulama ara sunucusu altında bulabilirsiniz.
  • Yükleyici, Microsoft Entra özel ağ bağlayıcısı hizmetlerini yeniden başlatır. Bazı durumlarda, yükleyici tüm dosyaların yerini alamazsa sunucunun yeniden başlatılması gerekebilir. Bu nedenle, yükseltmeyi başlatmadan önce tüm uygulamaları (Olay Görüntüleyicisi) kapatmanızı öneririz.
  • Yükleyiciyi çalıştırın. Yükseltme işlemi hızlıdır ve herhangi bir kimlik bilgisi sağlamayı gerektirmez ve bağlayıcı yeniden kaydedilmez.

Özel ağ bağlayıcısı hizmetleri varsayılandan farklı bir kullanıcı bağlamında çalışabilir mi?

Hayır, bu senaryo desteklenmez. Varsayılan ayarlar şunlardır:

  • Microsoft Entra özel ağ bağlayıcısı - WAPCSvc - Ağ Hizmeti
  • Microsoft Entra özel ağ bağlayıcısı Updater - WAPCUpdaterSvc - NT Authority\System

Genel Yönetici istrator veya Uygulama Yönetici istrator rolüne sahip bir konuk kullanıcı bağlayıcıyı (konuk) kiracı için kaydedebilir mi?

Hayır, şu anda bu mümkün değil. Kayıt girişimi her zaman kullanıcının ev kiracısı üzerinde yapılır.

Arka uç uygulamam birden çok web sunucusunda barındırılıyor ve kullanıcı oturumu kalıcılığı (yapışkanlık) gerektiriyor. Oturum kalıcılığını nasıl elde ederim?

Öneriler için bkz . Özel ağ bağlayıcılarınızın ve uygulamalarınızın yüksek kullanılabilirliği ve yük dengelemesi.

Bağlayıcı sunucularından Azure'a gelen trafikte TLS sonlandırması (TLS/HTTPS incelemesi ve hızlandırması) destekleniyor mu?

Özel ağ bağlayıcısı, Azure'da sertifika tabanlı kimlik doğrulaması gerçekleştirir. TLS Sonlandırma (TLS/HTTPS inceleme veya hızlandırma) bu kimlik doğrulama yöntemini bozar ve desteklenmez. Bağlayıcıdan Azure'a gelen trafik, TLS Sonlandırması gerçekleştiren tüm cihazları atlamalıdır.

Tüm bağlantılarda TLS 1.2 gerekli mi?

Evet. Uygulama ara sunucusu hizmeti, müşterilerimize sınıfının en iyi şifrelemesini sağlamak için erişimi yalnızca TLS 1.2 protokolleriyle sınırlar. Bu değişiklikler 31 Ağustos 2019'dan itibaren aşamalı olarak kullanıma sunulmaya ve yürürlüğe girdi. Tüm istemci-sunucu ve tarayıcı-sunucu birleşimlerinizin, uygulama ara sunucusu hizmetine bağlantıyı sürdürmek için TLS 1.2 kullanacak şekilde güncelleştirildiğinden emin olun. Bunlar, kullanıcılarınızın uygulama ara sunucusu aracılığıyla yayımlanan uygulamalara erişmek için kullandığı istemcileri içerir. Yararlı başvurular ve kaynaklar için bkz. Office 365'te TLS 1.2 için hazırlanma.

Bağlayıcı sunucularıyla arka uç uygulama sunucusu arasına bir ileriye doğru ara sunucu cihazı yerleştirebilir miyim?

Evet, bu senaryo bağlayıcının 1.5.1526.0 sürümünden itibaren desteklenir. Bkz . Mevcut şirket içi ara sunucularla çalışma.

Bağlayıcıyı Microsoft Entra uygulama ara sunucusuna kaydetmek için ayrılmış bir hesap oluşturmalımıyım?

Bunu yapmak için bir sebep yok. Tüm Genel Yönetici istrator veya uygulama yöneticisi hesapları çalışır. Yükleme sırasında girilen kimlik bilgileri kayıt işleminden sonra kullanılmaz. Bunun yerine, bağlayıcıya o noktadan itibaren kimlik doğrulaması için kullanılan bir sertifika verilir.

Microsoft Entra özel ağ bağlayıcısının performansını nasıl izleyebilirim?

Bağlayıcıyla birlikte yüklenen Performans İzleyicisi sayaçları vardır. Bunları görüntülemek için:

  1. Başlat'ı seçin, "Perfmon" yazın ve ENTER tuşuna basın.
  2. Performans İzleyicisi'ı seçin ve yeşil + simgeye tıklayın.
  3. İzlemek istediğiniz Microsoft Entra özel ağ bağlayıcısı sayaçlarını ekleyin.

Microsoft Entra özel ağ bağlayıcısının kaynakla aynı alt ağda olması gerekiyor mu?

Bağlayıcının aynı alt ağda olması gerekmez. Ancak, kaynakta ad çözümlemesi (DNS, konak dosyası) ve gerekli ağ bağlantısı (kaynağa yönlendirme, kaynakta açık bağlantı noktaları vb.) gerekir. Öneriler için bkz . Microsoft Entra uygulama ara sunucusunu kullanırken ağ topolojisi ile ilgili dikkat edilmesi gerekenler.

Bağlayıcıyı Sunucudan kaldırdıktan sonra bağlayıcı neden Hala Microsoft Entra yönetim merkezinde gösteriliyor?

Bir bağlayıcı çalışırken hizmete bağlandıkça etkin kalır. Kaldırılan veya kullanılmayan bağlayıcılar etkin değil olarak etiketlenir ve portaldan 10 gün etkinlik dışı bırakıldıktan sonra kaldırılır. Etkin Olmayan bağlayıcıyı Microsoft Entra yönetim merkezinden el ile kaldırmanın hiçbir yolu yoktur.

Sonraki adımlar