針對應用程式 Proxy 問題和錯誤訊息進行疑難排解
首先,請確定應用程式 Proxy 連接器已正確設定。 如需詳細資訊,請參閱偵錯應用程式 Proxy 連接器問題和偵錯應用程式 Proxy 應用程式問題。
如果在存取已發佈的應用程式或發佈應用程式時發生錯誤,請檢查下列選項以查看 Microsoft Entra 應用程式 Proxy 是否運作正常︰
- 開啟 Windows 服務主控台。 確認 Microsoft Entra 應用程式 Proxy 連接器 服務已啟用並執行。 查看應用程式 Proxy 服務屬性頁面,如下圖所示。
- 開啟 事件檢視器,並在應用程式與服務記錄>Microsoft>AadApplicationProxy> 連線 or> 管理員 中尋找應用程式 Proxy 連接器事件。
- 檢閱詳細的記錄。 開啟應用程式 Proxy 連接器會話記錄。
無法正確轉譯頁面
您的應用程式轉譯或運作不正確時發生問題,而不會收到特定的錯誤訊息。 如果您發行發行發行項路徑,但應用程式需要存在於該路徑外部的內容,就會發生此問題。
例如,如果您發佈路徑 https://yourapp/app
,但應用程式會呼叫 中的 https://yourapp/media
影像,則不會轉譯它們。 請務必使用您需要包含所有相關內容的最高層級路徑來發佈應用程式。 在此範例中會是 http://yourapp/
。
應用程式 Proxy 應用程式載入所需的時間太長
應用程式可以正常運作,但會有很長的延遲。 網路拓撲調整可以改善速度。 如需不同拓撲的評估,請參閱 網路考慮檔。
應用程式 Proxy 應用程式的應用程式頁面無法正確顯示
當您發佈應用程式 Proxy 應用程式時,只有在存取應用程式時,才能存取根目錄底下的頁面。 如果頁面未正確顯示,則應用程式所使用的根內部URL可能會遺漏某些頁面資源。 若要解決,請將頁面的所有資源發佈為應用程式的一部分。
確認遺漏的資源是否為問題。 在 Microsoft Edge 中開啟網路追蹤器,例如 Fiddler 或 F12 工具。 載入頁面,並尋找 404 錯誤。 錯誤表示找不到頁面,而且您需要發佈這些頁面。
例如,假設您使用內部 URL http://myapps/expenses
發佈費用應用程式,但應用程式會使用樣式表單 http://myapps/style.css
。 樣式表單不會在應用程式中發佈,因此載入費用應用程式會 404
擲回嘗試載入 style.css
的錯誤。 在此範例中,使用內部 URL http://myapp/
發佈應用程式來解決問題。
發行為一個應用程式的問題
如果無法發佈相同應用程式內的所有資源,您需要發佈多個應用程式,並啟用它們之間的連結。
若要這樣做,建議您使用 自定義網域 解決方案。 不過,此解決方案會要求您擁有網域的憑證,而且您的應用程式會使用完整功能變數名稱(FQDN)。 如需其他選項,請參閱 針對中斷的鏈接進行疑難解答檔。
我的應用程式發生連線問題
我不知道要為應用程式開啟哪些埠。
我在管理入口網站中設定 Microsoft Entra 應用程式 Proxy 時遇到問題
我在為應用程式設定後端驗證時遇到問題
我不知道如何設定 Kerberos 限制委派。 我不知道如何使用 PingAccess 設定應用程式。
我在登入應用程式時遇到問題
我收到錯誤 Can't Access this Corporate Application
。 若要解決此問題,請參閱 網關逾時錯誤。
我在應用程式 Proxy 連接器時遇到問題
我在安裝應用程式 Proxy 連接器時遇到問題。
連接器錯誤
如果在連接器精靈安裝期間註冊失敗,有兩種方式可以檢視失敗的原因。 請在 下方 Windows Logs\Application (filter by Source = "Microsoft Entra application proxy connector"
檢視事件記錄檔,或執行下列 Windows PowerShell 命令:
Get-EventLog application –source "Microsoft AAD application proxy connector" –EntryType "Error" –Newest 1
一旦您從事件記錄檔找到連接器錯誤,請使用這個常見的錯誤數據表來解決問題:
錯誤 | 建議的步驟 |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
如果您關閉註冊視窗而不登入 Microsoft Entra ID,請再次執行連接器精靈並註冊連接器。 如果註冊窗口開啟,然後立即關閉而不允許您登入,就會收到錯誤。 當系統上發生網路錯誤時,就會發生錯誤。 請確定您可以從瀏覽器連線到公用網站,而且埠已如應用程式 Proxy 必要條件中所指定而開啟。 |
Clear error is presented in the registration window. Cannot proceed |
如果您看到錯誤,然後視窗關閉,您輸入了錯誤的使用者名稱或密碼。 然後再試一次。 |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
您正嘗試使用 Microsoft 帳戶登入,而不是屬於您嘗試存取之目錄組織識別碼的網域。 系統管理員必須是與租使用者網域相同的功能變數名稱的一部分。 例如,如果 Microsoft Entra 網域是 contoso.com ,則系統管理員應該是 admin@contoso.com 。 |
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2.移至計算機設定> 管理員 Windows>元件>Windows PowerShell 範本,然後按兩下 [開啟腳本執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 設定為 [允許本機腳本和遠端簽署的腳本 ] 或 [ 允許所有腳本]。 |
Connector failed to download the configuration. |
連接器的用戶端憑證,用於驗證,已過期。 如果您在 Proxy 後方安裝連接器,就會發生此問題。 在此情況下,連接器無法存取因特網,也無法將應用程式提供給遠端使用者。 使用 Register-AppProxyConnector Windows PowerShell 中的 Cmdlet 手動更新信任。 如果您的連接器位於 Proxy 後方,則必須授與連接器帳戶 network services 和 local system 的因特網存取權。 授與存取權可藉由授與 Proxy 的存取權或略過 Proxy 來完成。 |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
您嘗試登入的別名不是此網域的系統管理員。 您的連接器一律會針對擁有使用者網域的目錄安裝。 請確定您嘗試登入的系統管理員帳戶至少有 Microsoft Entra 租使用者的應用程式管理員許可權。 |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
連接器無法連線到應用程式 Proxy 雲端服務。 如果您有封鎖連線的防火牆規則,就會發生此問題。 允許存取應用程式 Proxy 必要條件中列出的正確埠和 URL。 |
Kerberos 錯誤
下表涵蓋 Kerberos 設定和設定中較常見的錯誤,並包含解決建議。
錯誤 | 建議的步驟 |
---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
如果連接器安裝失敗,請檢查以確定PowerShell執行原則未停用。 1.開啟組策略編輯器。 2. 移至 [計算機設定>]管理員 [>Windows 元件>] [Windows PowerShell] 範本,然後按兩下 [開啟腳本執行]。 3.執行原則可以設定為 [未設定] 或 [已啟用]。 如果設定為 [已啟用],請確定 [選項] 底下的 [執行原則] 設定為 [允許本機腳本和遠端簽署的腳本 ] 或 [ 允許所有腳本]。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
此錯誤表示 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 後端伺服器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定。 請確定 Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
安全性令牌服務 (STS) 設定發生問題。 修正 STS 中的用戶主體名稱 (UPN) 宣告設定。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
此事件指出 Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定,特別是服務主體名稱 (SPN) 組態。 請確定域控制器使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 請確定 Microsoft Entra ID 和域控制器上的時間和日期設定已同步。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the backend server SPN is not defined. |
此事件指出 Microsoft Entra ID 與域控制器伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 域控制器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定,特別是 SPN 組態。 請確定域控制器使用 Microsoft Entra ID 建立信任。 兩者都應該使用相同的網域。 請確定 Microsoft Entra ID 和域控制器上的時間和日期設定已同步處理。 |
13022 - Microsoft Entra ID cannot authenticate the user because the backend server responds to Kerberos authentication attempts with an HTTP 401 error. |
此事件指出 Microsoft Entra ID 與後端應用程式伺服器之間的設定不正確,或這兩部機器的時間和日期設定發生問題。 後端伺服器拒絕 Microsoft Entra ID 所建立的 Kerberos 票證。 確認 Microsoft Entra ID 和後端應用程式伺服器已正確設定。 請確定 Microsoft Entra ID 和後端應用程式伺服器上的時間和日期組態已同步處理。 如需詳細資訊,請參閱 針對應用程式 Proxy 的 Kerberos 限制委派組態進行疑難解答。 |
使用者錯誤
此清單涵蓋使用者嘗試存取應用程式並失敗時可能會遇到的錯誤。
錯誤 | 建議的步驟 |
---|---|
The website cannot display the page. |
如果應用程式是整合式 Windows 驗證 (IWA) 應用程式,則使用者嘗試存取您發佈的應用程式時,會收到此錯誤。 此應用程式的已定義SPN不正確。 針對 IWA 應用程式,請確定為此應用程式設定的 SPN 正確。 |
The website cannot display the page. |
如果您的使用者嘗試存取應用程式是 Outlook Web 應用程式 (OWA) 應用程式,則嘗試存取您發佈的應用程式時,會收到此錯誤。 問題產生於: |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure to assign the user with access to this application. |
當使用者嘗試存取您發佈的應用程式時,如果使用者使用 Microsoft 帳戶,而不是其公司帳戶登入,則會收到此錯誤。 來賓使用者會收到此錯誤。 Microsoft 帳戶用戶和來賓無法存取 IWA 應用程式。 請確定使用者使用符合已發行應用程式網域的公司帳戶登入。 您必須為此應用程式指派使用者。 移至 [應用程式] 索引標籤,然後在 [使用者和群組] 底下,將此使用者或使用者群組指派給此應用程式。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
當使用者嘗試存取您發佈的應用程式時,如果使用者未在內部部署端正確定義此應用程式,則會收到此錯誤。 請確定您的使用者具有內部部署電腦上此後端應用程式所定義的適當許可權。 |
This corporate app can’t be accessed. You are not authorized to access this application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
如果使用者未由訂閱者的系統管理員以 進階版 授權明確指派,則嘗試存取您發佈的應用程式時,會收到此錯誤。 移至訂閱者的 [Active Directory 授權] 索引標籤,並確定此使用者或使用者群組已獲指派 進階版 授權。 |
A server with the specified host name could not be found. |
當使用者嘗試存取您發佈的應用程式時,如果使用者的自定義網域未正確設定,就會收到此錯誤。 檢查網域的憑證,並正確設定功能變數名稱系統 (DNS) 記錄。 如需詳細資訊,請參閱 在 Microsoft Entra 應用程式 Proxy 中使用自定義網域。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
問題可能是存取授權資訊時發生問題。 若要深入瞭解,請參閱 (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information)。 簡言之,將應用程式 Proxy 連接器電腦帳戶新增至要解析的「Windows 授權存取群組」內建網域群組。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
連接器會使用用戶端憑證保護對 Microsoft Entra 應用程式 Proxy 雲端服務端點的輸出連線。 用戶端憑證無法連線到端點時,就會發生錯誤。 例如,執行傳輸層安全性 (TLS) 檢查或中斷 TLS 連線的網路裝置。 避免內嵌檢查和終止輸出 TLS 通訊。 Microsoft Entra 應用程式 Proxy 連接器與 Microsoft Entra 應用程式 Proxy 雲端服務之間不得進行檢查和終止。 |