Sdílet prostřednictvím

Řešení potíží s instalací privátního síťového konektoru

  • Článek

Konektor privátní sítě Microsoft Entra je interní komponenta domény, která používá odchozí připojení k navázání připojení z dostupného koncového bodu cloudu k interní doméně. Konektor se používá jak Microsoft Entra Soukromý přístup, tak proxy aplikací Microsoft Entra.

Obecné problémové oblasti s instalací konektoru

Pokud instalace konektoru selže, hlavní příčinou je obvykle jedna z následujících oblastí. Jako prekurzor pro řešení potíží nezapomeňte konektor restartovat.

  • Připojení – aby se dokončila úspěšná instalace, musí se nový konektor zaregistrovat a vytvořit budoucí vlastnosti důvěryhodnosti. Vztah důvěryhodnosti je vytvořen připojením ke cloudové službě proxy aplikací Microsoft Entra.
  • Vytvoření důvěryhodnosti – nový konektor vytvoří certifikát podepsaný svým držitelem a zaregistruje se do cloudové služby.
  • Ověřování správce – během instalace musí uživatel zadat přihlašovací údaje správce k dokončení instalace konektoru.

Poznámka:

Protokoly instalace konektoru najdete ve %TEMP% složce a můžou vám pomoct s dalšími informacemi o tom, co způsobuje selhání instalace.

Ověření připojení ke službě proxy cloudových aplikací a přihlašovací stránce Microsoftu

Cíl: Ověřte, že se počítač konektoru může připojit ke koncovému bodu registrace proxy aplikace a přihlašovací stránce Microsoftu.

  1. Na serveru konektoru spusťte test portu pomocí telnetu nebo jiného nástroje pro testování portů a ověřte, že jsou otevřené porty 443 a 80.

  2. Ověřte, že brána firewall nebo back-endový proxy server mají přístup k požadovaným doménám a portům, viz konfigurace konektorů.

  3. Otevřete kartu prohlížeče a zadejte: https://login.microsoftonline.com. Ujistěte se, že se můžete přihlásit.

Ověření podpory certifikátů komponent počítače a back-endu

Cíl: Ověřte, že počítač konektoru, back-endový proxy server a brána firewall podporují certifikát vytvořený konektorem. Ověřte také platnost certifikátu.

Poznámka:

Konektor se pokusí vytvořit SHA512 certifikát podporovaný protokolem TLS (Transport Layer Security) 1.2. Pokud počítač nebo back-endová brána firewall a proxy server nepodporují protokol TLS 1.2, instalace se nezdaří.

Zkontrolujte požadované požadavky:

  1. Ověřte, že počítač podporuje protokol TLS (Transport Layer Security) 1.2 – všechny verze Windows po roce 2012 R2 by měly podporovat protokol TLS 1.2. Pokud je váš počítač konektoru verze 2012 R2 nebo starší, ujistěte se, že jsou nainstalované požadované aktualizace .

  2. Obraťte se na správce sítě a požádejte o ověření, že back-endový proxy server a brána firewall neblokují SHA512 odchozí provoz.

Ověření klientského certifikátu:

Ověřte kryptografický otisk aktuálního klientského certifikátu. Úložiště certifikátů najdete v %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xmlsouboru .

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Možné hodnoty IsInUserStore jsou true a false. Hodnota true znamená, že se certifikát automaticky obnoví a uloží v osobním kontejneru v úložišti certifikátů uživatele síťové služby. Hodnota false znamená, že se klientský certifikát vytvoří během instalace nebo registrace iniciované Register-MicrosoftEntraPrivateNetworkConnector. Certifikát je uložený v osobním kontejneru v úložišti certifikátů místního počítače.

Pokud je hodnota true, ověřte certifikát následujícím postupem:

  1. Stáhněte si PsTools.zip.
  2. Extrahujte příkaz PsExec z balíčku a spusťte příkaz psexec -i -u "nt authority\network service" cmd.exe z příkazového řádku se zvýšenými oprávněními.
  3. V nově zobrazeném příkazovém řádku spusťte příkaz certmgr.msc .
  4. V konzole pro správu rozbalte osobní kontejner a vyberte certifikáty.
  5. Vyhledejte certifikát vydaný connectorregistrationca.msappproxy.net.

Pokud je hodnota false, ověřte certifikát následujícím postupem:

  1. Spusťte certlm.msc.
  2. V konzole pro správu rozbalte osobní kontejner a vyberte certifikáty.
  3. Vyhledejte certifikát vydaný connectorregistrationca.msappproxy.net.

Obnovení klientského certifikátu:

Pokud konektor není připojený ke službě po dobu několika měsíců, můžou být jeho certifikáty zastaralé. Selhání obnovení certifikátu vede k vypršení platnosti certifikátu. Certifikát, jehož platnost vypršela, způsobí, že služba konektoru přestane fungovat. Do protokolu pro správu konektoru se zaznamená událost 1000:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

V takovém případě odinstalujte a znovu nainstalujte konektor, aby se aktivovala registrace, nebo můžete spustit následující příkazy PowerShellu:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Další informace o Register-MicrosoftEntraPrivateNetworkConnector příkazu najdete v tématu Vytvoření bezobslužného instalačního skriptu pro konektor privátní sítě Microsoft Entra.

Ověření použití správce k instalaci konektoru

Cíl: Ověřte, že uživatel, který se pokouší nainstalovat konektor, je správce se správnými přihlašovacími údaji. V současné době musí být uživatel alespoň správcem aplikace, aby instalace uspěla.

Ověření správnosti přihlašovacích údajů:

Připojte se ke https://login.microsoftonline.com stejným přihlašovacím údajům a použijte je. Ujistěte se, že přihlášení proběhlo úspěšně. Roli uživatele můžete zkontrolovat tak, že přejdete na Microsoft Entra ID ->Users and Groups ->All Users.

V výsledné nabídce vyberte svůj uživatelský účet a potom roli adresáře. Ověřte, že vybraná role je Správce aplikace. Pokud v těchto krocích nemůžete získat přístup k žádné ze stránek, nemáte požadovanou roli.

Chyby konektoru

Pokud se registrace během instalace průvodce konektorem nezdaří, existují dva způsoby, jak zobrazit důvod selhání. Buď se podívejte do protokolu událostí v části Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" , nebo spusťte následující příkaz Windows PowerShellu:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Jakmile zjistíte chybu konektoru z protokolu událostí, vyřešte problém pomocí této tabulky běžných chyb:

Chyba Doporučené kroky
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Pokud jste okno registrace zavřeli bez přihlášení k ID Microsoft Entra, spusťte znovu průvodce konektorem a zaregistrujte konektor.

Pokud se otevře okno registrace a okamžitě se zavře, aniž byste se mohli přihlásit, zobrazí se chyba. K této chybě dochází v případě, že ve vašem systému dojde k chybě sítě. Ujistěte se, že se můžete připojit z prohlížeče k veřejnému webu a že jsou porty otevřené podle konfigurace konektorů.
Clear error is presented in the registration window. Cannot proceed Pokud se zobrazí chyba a okno se zavře, zadali jste nesprávné uživatelské jméno nebo heslo. Zkuste to ještě jednou.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Pokoušíte se přihlásit pomocí účtu Microsoft, a ne domény, která je součástí ID organizace adresáře, ke kterému se pokoušíte získat přístup. Správce musí být součástí stejného názvu domény jako doména tenanta. Pokud je contoso.comnapříklad doména Microsoft Entra , měl by být admin@contoso.comsprávce .
Failed to retrieve the current execution policy for running PowerShell scripts. Pokud instalace konektoru selže, zkontrolujte, jestli nejsou zakázané zásady spouštění PowerShellu.

1. Otevřete Editor zásad skupiny.
2. Přejděte do šablon pro správu konfigurace>>počítače součásti>systému Windows PowerShell a poklikejte na Zapnout spouštění skriptů.
3. Zásady spouštění lze nastavit buď na Nenakonfigurováno , nebo Povoleno. Pokud je nastavená možnost Povoleno, ujistěte se, že v části Možnosti je zásada spouštění nastavená na Povolit místní skripty a vzdálené podepsané skripty nebo povolit všechny skripty.
Connector failed to download the configuration. Platnost klientského certifikátu konektoru, který se používá k ověřování, vypršela. K tomuto problému dochází, pokud máte konektor nainstalovaný za proxy serverem. V takovém případě nemůže konektor přistupovat k internetu a nemůže poskytovat aplikace vzdáleným uživatelům. Obnovte důvěryhodnost ručně pomocí rutiny ve Windows PowerShellu Register-MicrosoftEntraPrivateNetworkConnector . Pokud je váš konektor za proxy serverem, je nutné udělit internetový přístup k účtům network services konektoru a local system. Udělení přístupu se provádí udělením přístupu k proxy serveru nebo obejitím proxy serveru.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Alias, kterým se pokoušíte přihlásit, není správcem této domény. Váš konektor je vždy nainstalovaný pro adresář, který vlastní doménu uživatele. Ujistěte se, že účet správce, pomocí kterého se pokoušíte přihlásit, má alespoň oprávnění správce aplikace k tenantovi Microsoft Entra.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Konektor se nemůže připojit ke cloudové službě proxy aplikací. K tomuto problému dochází, pokud máte pravidlo brány firewall, které blokuje připojení. Povolte přístup ke správným portům a adresám URL uvedeným v konfiguracích konektorů.

Vývojový diagram problémů s konektory

Tento vývojový diagram vás provede postupem ladění některých nejběžnějších problémů s konektory. Podrobnosti o jednotlivých krocích najdete v tabulce podle vývojového diagramu.

Vývojový diagram znázorňující kroky pro ladění konektoru

Krok Akce Popis
1 Vyhledání skupiny konektorů přiřazené k aplikaci Pravděpodobně máte nainstalovaný konektor na více serverech, v takovém případě by se konektory měly přiřadit ke skupině konektorů. Další informace oskupinách
2 Instalace konektoru a přiřazení skupiny Pokud nemáte nainstalovaný konektor, přečtěte si informace o konfiguraci konektorů.

Pokud konektor není přiřazený ke skupině, přečtěte si téma Přiřazení konektoru ke skupině.

Pokud není aplikace přiřazená ke skupině konektorů, přečtěte si téma Přiřazení aplikace ke skupině konektorů.
3 Spuštění testu portu na serveru konektoru Na serveru konektoru spusťte test portu pomocí telnetu nebo jiného nástroje pro testování portů a zkontrolujte, jestli jsou porty správně nakonfigurované. Další informace najdete v tématu konfigurace konektorů.
4 Konfigurace domén a portů Nakonfigurujte konektory pro konektor. Některé porty musí být otevřené a adresy URL, ke kterým musí mít váš server přístup. Další informace najdete v tématu konfigurace konektorů.
5 Kontrola, jestli se používá back-endový proxy server Zkontrolujte, jestli konektory používají back-endové proxy servery, nebo je obejití. Podrobnosti najdete v tématu Řešení potíží s proxy konektorem a problémy s připojením ke službám.
6 Aktualizace nastavení konektoru a aktualizátoru pomocí informací o back-endovém proxy serveru Pokud se používá back-endový proxy server, ujistěte se, že konektor používá stejný proxy server. Podrobnosti o řešení potíží a konfiguraci konektorů pro práci s proxy servery najdete v tématu Práce se stávajícími místními proxy servery.
7 Načtení interní adresy URL aplikace na serveru konektoru Na serveru konektoru načtěte interní adresu URL aplikace.
8 Kontrola interního síťového připojení Ve vaší interní síti došlo k problému s připojením, který tento tok ladění nedokáže diagnostikovat. Aby konektory fungovaly, musí být aplikace interně přístupná. Protokoly událostí konektoru můžete povolit a zobrazit podle popisu v privátních síťových konektorech.
9 Prodloužení hodnoty časového limitu na back-endu V části Další nastavení aplikace změňte nastavení časového limitu back-endové aplikace na Long. Viz Přidání místní aplikace do MICROSOFT Entra ID.
10 Pokud problémy potrvají, odlaďte aplikace. Ladění problémů s aplikací proxy aplikací

Nejčastější dotazy

Proč můj konektor stále používá starší verzi a neupgraduje se na nejnovější verzi?

Příčinou může být to, že služba aktualizátoru nefunguje správně nebo pokud nejsou k dispozici žádné nové aktualizace, které může služba nainstalovat.

Služba aktualizátoru je v pořádku, pokud je spuštěná a v protokolu událostí se nezaznamenají žádné chyby (protokoly aplikací a služeb –> Microsoft –> Privátní síť Microsoft Entra –> Updater –> Admin).

Důležité

Pro automatický upgrade se vydávají pouze hlavní verze. Konektor doporučujeme aktualizovat ručně jenom v případě, že je to potřeba. Například nemůžete čekat na hlavní verzi, protože musíte opravit známý problém nebo chcete použít novou funkci. Další informace o nových verzích, typ vydané verze (stažení, automatický upgrade), opravy chyb a nové funkce naleznete v tématu Microsoft Entra Private Network Connector: Historie verzí.

Ruční upgrade konektoru:

  • Stáhněte si nejnovější verzi konektoru. (Najdete ho v Centru pro správu Microsoft Entra na adrese Globální konektory Secure Access>Connect>)
  • Instalační program restartuje služby konektoru privátní sítě Microsoft Entra. V některých případech může být vyžadováno restartování serveru, pokud instalační program nemůže nahradit všechny soubory. Proto doporučujeme zavřít všechny aplikace (tj. Prohlížeč událostí) před zahájením upgradu.
  • Spusťte instalační program. Proces upgradu je rychlý a nevyžaduje zadání přihlašovacích údajů a konektor se znovu nezaregistruje.

Můžou služby privátního síťového konektoru běžet v jiném kontextu uživatele, než je výchozí?

Ne, tento scénář není podporovaný. Výchozí nastavení jsou:

  • Konektor privátní sítě Microsoft Entra – WAPCSvc – Síťová služba
  • Aktualizace konektoru privátní sítě Microsoft Entra – WAPCUpdaterSvc – NT Authority\System

Může uživatel typu host s aktivním přiřazením role správce zaregistrovat konektor pro tenanta (hosta)?

Ne, v současné době to není možné. Pokus o registraci se vždy provádí v domovském tenantovi uživatele.

Back-endová aplikace je hostovaná na několika webových serverech a vyžaduje trvalost uživatelských relací (stálost). Jak můžu dosáhnout trvalosti relace?

Doporučení najdete v tématu Vysoká dostupnost a vyrovnávání zatížení vašich privátních síťových konektorů a aplikací.

Je u provozu ze serverů konektoru do Azure podporováno ukončení protokolu TLS (kontrola nebo akcelerace TLS/HTTPS)?

Konektor privátní sítě provádí ověřování na základě certifikátů do Azure. Ukončení protokolu TLS (kontrola nebo akcelerace protokolu TLS/HTTPS) přeruší tuto metodu ověřování a nepodporuje se. Provoz z konektoru do Azure musí obejít všechna zařízení, která provádějí ukončení protokolu TLS.

Vyžaduje se TLS 1.2 pro všechna připojení?

Ano. Abychom našim zákazníkům poskytli nejlepší šifrování ve třídě, omezuje služba proxy aplikací přístup pouze na protokoly TLS 1.2. Tyto změny byly postupně zaváděny a účinné od 31. srpna 2019. Ujistěte se, že všechny kombinace klientských serverů a prohlížečů jsou aktualizované tak, aby používaly protokol TLS 1.2 k udržování připojení ke službě proxy aplikací. Patří sem klienti, které uživatelé používají pro přístup k aplikacím publikovaným prostřednictvím proxy aplikací. Užitečné reference a zdroje informací najdete v tématu Příprava na tls 1.2 v Office 365 .

Můžu mezi servery konektorů a back-endovým aplikačním serverem umístit předávací proxy zařízení?

Ano, tento scénář je podporovaný od konektoru verze 1.5.1526.0. Viz Práce se stávajícími místními proxy servery.

Mám vytvořit vyhrazený účet pro registraci konektoru u proxy aplikací Microsoft Entra?

Neexistuje žádný důvod k vytvoření vyhrazeného účtu. Jakýkoli účet s rolí Správce aplikací funguje. Přihlašovací údaje zadané během instalace se po registraci nepoužívají. Místo toho se pro konektor vydá certifikát, který se použije k ověřování od tohoto okamžiku.

Jak můžu monitorovat výkon privátního síťového konektoru Microsoft Entra?

K dispozici jsou čítače sledování výkonu, které se instalují spolu s konektorem. Postup při jejich zobrazení:

  1. Vyberte Start, zadejte "Perfmon" a stiskněte ENTER.
  2. Vyberte Sledování výkonu a klikněte na zelenou + ikonu.
  3. Přidejte čítače čítačů privátního síťového konektoru Microsoft Entra, které chcete monitorovat.

Musí být privátní síťový konektor Microsoft Entra ve stejné podsíti jako prostředek?

Konektor nemusí být ve stejné podsíti. K prostředku ale potřebuje překlad názvů (DNS, soubor hostitelů) a potřebné síťové připojení (směrování k prostředku, otevřené porty v prostředku atd.). Doporučení najdete v tématu Důležité informace o topologii sítě při používání proxy aplikací Microsoft Entra.

Proč se konektor stále zobrazuje v Centru pro správu Microsoft Entra po odinstalaci konektoru ze serveru?

Když je konektor spuštěný, zůstane aktivní, protože se připojuje ke službě. Odinstalované nebo nepoužívané konektory jsou označené jako neaktivní a odeberou se po 10 dnech nečinnosti z portálu. Neexistuje způsob, jak ručně odebrat neaktivní konektor z Centra pro správu Microsoft Entra.

Další kroky