Freigeben über


Beheben von Problemen bei der Installation des privaten Netzwerkconnectors

Der private Microsoft Entra-Netzwerkconnector ist eine interne Domänenkomponente, die ausgehende Verbindungen verwendet, um die Konnektivität zwischen dem in der Cloud verfügbaren Endpunkt und der internen Domäne einzurichten. Der Connector wird sowohl für Microsoft Entra Private Access als auch für den Microsoft Entra-Anwendungsproxy verwendet.

Allgemeine Problembereiche bei der Installation des Connectors

Wenn bei der Installation eines Connectors ein Fehler auftritt, stammt die Grundursache in der Regel aus einem der folgenden Bereiche. Im Vorfeld jeglicher Problembehandlung müssen Sie den Connector neu starten.

  • Konnektivität: Zum Abschluss einer erfolgreichen Installation muss der neue Connector zukünftige Eigenschaften der Vertrauensstellung registrieren und einrichten. Die Vertrauensstellung wird durch eine Verbindung mit dem Microsoft Entra-Anwendungsproxy-Clouddienst hergestellt.
  • Einrichtung einer Vertrauensstellung: Der neue Connector erstellt ein selbstsigniertes Zertifikat und registriert es beim Clouddienst.
  • Authentifizierung des Admin: Während der Installation müssen Administratoranmeldeinformationen bereitgestellt werden, um die Connectorinstallation abzuschließen.

Hinweis

Die Protokolle der Connectorinstallation befinden sich im %TEMP%-Ordner und können zusätzliche Informationen zur Ursache eines Installationsfehlers bieten.

Überprüfen der Konnektivität mit dem Cloudanwendungsproxy-Dienst und der Microsoft-Anmeldeseite

Ziel: Überprüfen Sie, ob der Connectorcomputer eine Verbindung mit dem Registrierungsendpunkt des Anwendungsproxys und der Microsoft-Anmeldeseite herstellen kann.

  1. Führen Sie auf dem Connectorserver einen Porttest aus, indem Sie telnet oder ein anderes Tool zum Testen von Ports verwenden, um zu überprüfen, ob die Ports 443 und 80 geöffnet sind.

  2. Stellen Sie sicher, dass der Firewall- oder Back-End-Proxy Zugriff auf die erforderlichen Domänen und Ports hat, siehe Connectors konfigurieren.

  3. Öffnen Sie eine Browserregisterkarte und geben Sie https://login.microsoftonline.com ein. Stellen Sie sicher, dass Sie sich anmelden können.

Überprüfen der Unterstützung von Zertifikaten für Computer und Back-End-Komponenten

Ziel: Überprüfen Sie, ob Connectorcomputer, Back-End-Proxy und Firewall das Zertifikat unterstützen können, das vom Connector erstellt wurde. Vergewissern Sie sich außerdem, dass das Zertifikat gültig ist.

Hinweis

Der Connector versucht ein SHA512-Zertifikat zu erstellen, das von Transport Layer Security (TLS) 1.2 unterstützt wird. Wenn TLS 1.2 vom Computer oder von der Back-End-Firewall und dem Proxy nicht unterstützt wird, tritt bei der Installation ein Fehler auf.

Überprüfen Sie die erforderlichen Voraussetzungen:

  1. Überprüfen Sie, ob der Computer Transport Layer Security (TLS) 1.2 unterstützt – Alle Windows-Versionen nach 2012 R2 sollten TLS 1.2 unterstützen. Wenn für Ihren Connectorcomputer eine Version von 2012 R2 oder früher verwendet wird, sollten Sie sicherstellen, dass die erforderlichen Updates installiert sind.

  2. Wenden Sie sich an Ihren Netzwerkadmin, damit der Back-End-Proxy und die Firewall überprüft werden, damit SHA512 nicht für ausgehenden Datenverkehr blockiert wird.

So überprüfen Sie das Clientzertifikat

Überprüfen Sie den Fingerabdruck des aktuellen Clientzertifikats. Der Zertifikatspeicher befindet sich in %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

Die möglichen IsInUserStore-Werte lauten true und false. Der Wert true bedeutet, dass das Zertifikat automatisch erneuert und im persönlichen Container im Benutzerzertifikatspeicher des Netzwerkdienstes gespeichert wird. Der Wert false bedeutet, dass das Clientzertifikat während der durch Register-MicrosoftEntraPrivateNetworkConnector initiierten Installation oder Registrierung erstellt wird. Das Zertifikat wird im persönlichen Container im Zertifikatspeicher des lokalen Computers gespeichert.

Wenn der Wert true lautet, führen Sie zur Überprüfung des Zertifikats die folgenden Schritte aus:

  1. Laden Sie PsTools.zip herunter.
  2. Extrahieren Sie PsExec aus dem Paket, und führen Sie psexec -i -u "nt authority\network service" cmd.exe an einer Eingabeaufforderung mit erhöhten Rechten aus.
  3. Führen Sie certmgr.msc in der neu angezeigten Eingabeaufforderung aus.
  4. Erweitern Sie in der Verwaltungskonsole den persönlichen Container, und wählen Sie „Zertifikate“ aus.
  5. Suchen Sie das Zertifikat, das von connectorregistrationca.msappproxy.net ausgestellt wurde.

Wenn der Wert false lautet, führen Sie zur Überprüfung des Zertifikats die folgenden Schritte aus:

  1. Führen Sie certlm.msc aus.
  2. Erweitern Sie in der Verwaltungskonsole den persönlichen Container, und wählen Sie „Zertifikate“ aus.
  3. Suchen Sie das Zertifikat, das von connectorregistrationca.msappproxy.net ausgestellt wurde.

So erneuern Sie das Clientzertifikat

Wenn ein Connector über mehrere Monate hinweg keine Verbindung mit dem Dienst herstellt, könnten die Zertifikate veraltet sein. Der Fehler bei der Zertifikaterneuerung führt zu einem abgelaufenen Zertifikat. Das abgelaufene Zertifikat führt dazu, dass der Connector-Dienst nicht mehr funktioniert. Das Ereignis 1000 wird im Verwaltungsprotokoll des Connectors aufgezeichnet:

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

In diesem Fall müssen Sie den Connector deinstallieren und neu installieren, um die Registrierung auszulösen, oder Sie führen die folgenden PowerShell-Befehle aus:

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

Weitere Informationen zum Befehl Register-MicrosoftEntraPrivateNetworkConnector finden Sie unter Erstellen eines Skripts für die unbeaufsichtigte Installation des privaten Microsoft Entra-Netzwerkconnectors.

Überprüfen, dass der Connector vom Administrator installiert wird

Ziel: Überprüfen Sie, ob der Benutzer, der versucht, den Connector zu installieren, ein Administrator mit den richtigen Anmeldeinformationen ist. Derzeit muss der Benutzer mindestens über die Rolle „Anwendungsadministrator“ verfügen, damit die Installation erfolgreich ausgeführt werden kann.

So überprüfen Sie, ob die Anmeldeinformationen korrekt sind:

Stellen Sie eine Verbindung mit https://login.microsoftonline.com her, und verwenden Sie die gleichen Anmeldeinformationen. Überprüfen Sie, ob die Anmeldung erfolgreich war. Sie können die Benutzerrolle überprüfen, indem Sie zu Microsoft Entra ID ->Benutzer und Gruppen ->Alle Benutzer navigieren.

Wählen Sie Ihr Benutzerkonto und dann im daraufhin angezeigten Menü Verzeichnisrolle aus. Stellen Sie sicher, dass die Rolle Anwendungsadmin ausgewählt ist. Wenn Sie nicht auf die in diesen Schritten verwendeten Seiten zugreifen können, verfügen Sie nicht über die erforderliche Rolle.

Connectorfehler

Wenn während der Connector-Installation mithilfe des Assistenten ein Fehler bei der Registrierung auftritt, haben Sie zwei Möglichkeiten, um den Grund dafür anzuzeigen. Suchen Sie entweder im Ereignisprotokoll unter Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" oder führen Sie den folgenden Windows PowerShell-Befehl aus:

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

Sobald Sie den Connectorfehler im Ereignisprotokoll gefunden haben, beheben Sie das Problem anhand dieser Tabelle mit häufig auftretenden Fehlern:

Fehler Empfohlene Schritte
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Wenn Sie das Registrierungsfenster geschlossen haben, ohne sich bei Microsoft Entra ID anzumelden, führen Sie den Connector-Assistenten erneut aus, und registrieren Sie den Connector.

Wenn sich das Registrierungsfenster öffnet und dann sofort wieder schließt, ohne dass Sie sich anmelden können, erhalten Sie den Fehler. Der Fehler tritt auf, wenn in Ihrem System ein Netzwerkfehler vorliegt. Stellen Sie sicher, dass sie mit einem Browser eine Verbindung mit einer öffentlichen Website herstellen können, und dass die Ports wie unter Connectors konfigurieren angegeben geöffnet sind.
Clear error is presented in the registration window. Cannot proceed Wenn die Fehlermeldung angezeigt und das Fenster dann geschlossen wird, haben Sie den Benutzernamen oder das Kennwort falsch eingegeben. Versuchen Sie es erneut.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. Sie versuchen, sich mithilfe eines Microsoft-Kontos und nicht mithilfe einer Domäne anzumelden, die Bestandteil der Organisations-ID des Verzeichnisses ist, auf das Sie zugreifen möchten. Der Administrator muss Teil desselben Domänennamens wie die Mandantendomäne sein. Wenn die Microsoft Entra-Domäne beispielsweise contoso.com ist, muss der Administrator admin@contoso.com sein.
Failed to retrieve the current execution policy for running PowerShell scripts. Falls die Installation des Connectors nicht erfolgreich verläuft, stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie nicht deaktiviert ist.

1. Öffnen Sie den Gruppenrichtlinien-Editor.
2. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows PowerShell, und doppelklicken Sie auf Skriptausführung aktivieren.
3. Die Ausführungsrichtlinie kann entweder auf Nicht konfiguriert oder auf Aktiviert festgelegt sein. Stellen Sie bei der Einstellung Aktiviert sicher, dass die Ausführungsrichtlinie unter „Optionen“ auf Lokale Skripts und remote signierte Skripts zulassen oder Alle Skripts zulassen festgelegt ist.
Connector failed to download the configuration. Das Clientzertifikat des Connectors, das für die Authentifizierung verwendet wird, ist abgelaufen. Das Problem tritt auf, wenn der Connector hinter einem Proxy installiert ist. In diesem Fall kann der Connector nicht auf das Internet zugreifen und ist nicht in der Lage, Anwendungen für Remotebenutzer bereitzustellen. Erneuern Sie die Vertrauensstellung manuell mithilfe des Cmdlets Register-MicrosoftEntraPrivateNetworkConnector in Windows PowerShell. Wenn sich der Connector hinter einem Proxy befindet, ist es notwendig, den Connectorkonten network services und local system Zugriff auf das Internet zu gewähren. Das Gewähren des Zugriffs erfolgt durch Gewähren des Zugriffs auf den Proxy oder durch Umgehen des Proxys.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' Der Alias, mit dem Sie sich anzumelden versuchen, ist kein Administrator für diese Domäne. Ihr Connector wird immer für das Verzeichnis installiert, das Besitzer der Domäne des Benutzers ist. Stellen Sie sicher, dass das für die Anmeldung verwendete Administratorkonto mindestens über Berechtigungen als „Anwendungsadministrator“ für den Microsoft Entra-Mandanten verfügt.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. Der Connector kann keine Verbindung mit dem Cloud-Dienst des Anwendungsproxys herstellen. Das Problem tritt auf, wenn eine Firewallregel die Verbindung blockiert. Zugriff auf die richtigen Ports und URLs zulassen, die in Connectors konfigurieren aufgeführt sind.

Flussdiagramm für Connectorprobleme

In diesem Flussdiagramm werden die Schritte zum Debuggen von einigen häufigeren Connectorproblemen beschrieben. Ausführliche Informationen zu den einzelnen Schritten finden Sie in der Tabelle unter dem Flussdiagramm.

Flussdiagramm mit den Schritten zum Debuggen eines Connectors.

Schritt Aktion BESCHREIBUNG
1 Ermitteln der Connectorgruppe, die der App zugewiesen ist Vermutlich haben Sie einen Connector auf mehreren Servern installiert. In diesem Fall sollten die Connectors einer Connectorgruppe zugewiesen sein. Weitere Informationen zu Connectorgruppen finden Sie unter Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectorgruppen.
2 Installieren des Connectors und Zuweisen einer Gruppe Wenn Sie keinen Connector installiert haben, lesen Sie Connectors konfigurieren).

Lesen Sie den Abschnitt Erstellen von Connectorgruppen, wenn der Connector keiner Gruppe zugewiesen ist.

Lesen Sie den Abschnitt Zuweisen von Anwendungen zu Ihren Connectorgruppen, wenn die Anwendung keiner Connectorgruppe zugewiesen ist.
3 Ausführen eines Porttests auf dem Connectorserver Führen Sie auf dem Connectorserver einen Porttest aus, indem Sie telnet oder ein anderes Tool zum Testen von Ports verwenden, um zu überprüfen, ob die Ports richtig konfiguriert sind. Weitere Informationen finden Sie unter Connectors konfigurieren.
4 Konfigurieren der Domänen und Ports Connectors konfigurieren für den Connector. Einige Ports müssen offen und URLs sein, auf die Ihr Server zugreifen kann. Weitere Informationen finden Sie unter Connectors konfigurieren.
5 Überprüfen, ob ein Back-End-Proxy verwendet wird Überprüfen Sie, ob für die Connectors Back-End-Proxyserver genutzt oder umgangen werden. Ausführliche Informationen finden Sie unter Problembehandlung für Proxyprobleme des Connectors und Verbindungsprobleme von Diensten.
6 Aktualisieren des Connectors und Updaters mit den Informationen des Back-End-Proxys Wenn ein Back-End-Proxy verwendet wird, sollten Sie sicherstellen, dass für den Connector derselbe Proxy genutzt wird. Ausführliche Informationen zur Problembehandlung und Konfiguration für Connectors in Bezug auf die Zusammenarbeit mit Proxyservern finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.
7 Laden der internen URL der App auf dem Connectorserver Laden Sie auf dem Connectorserver die interne URL der App.
8 Überprüfen der internen Netzwerkkonnektivität In Ihrem internen Netzwerk besteht ein Konnektivitätsproblem, das von diesem Debugvorgang nicht diagnostiziert werden kann. Für die Anwendung muss der interne Zugriff möglich sein, damit die Connectors funktionieren. Sie können Protokolle für Connectorereignisse wie unter Private Netzwerkconnectors beschrieben aktivieren und anzeigen.
9 Erhöhen des Timeoutwerts auf dem Back-End Ändern Sie unter Zusätzliche Einstellungen für Ihre Anwendung die Einstellung Timeout der Back-End-Anwendung in Lang. Weitere Informationen finden Sie unter Hinzufügen einer lokalen App zu Microsoft Entra ID.
10 Wenn die Probleme weiterhin bestehen, debuggen Sie die Anwendungen. Debuggen von Problemen mit Anwendungsproxyanwendungen.

Häufig gestellte Fragen

Warum verwendet mein Connector noch eine ältere Version und wird nicht automatisch auf die neueste Version aktualisiert?

Dies kann darauf zurückzuführen sein, dass der Updatedienst nicht ordnungsgemäß funktioniert oder keine neuen Updates verfügbar sind, die der Dienst installieren kann.

Der Updatedienst funktioniert fehlerfrei, wenn er ausgeführt wird und im Ereignisprotokoll keine Fehler aufgezeichnet sind (Anwendungs- und Dienstprotokolle -> Microsoft -> Privates Microsoft Entra-Netzwerk -> Updater -> Admin).

Wichtig

Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Connector nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Beispielsweise können Sie nicht auf ein großes Release warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Releases und zum Releasetyp (Download, automatisches Upgrade), Fehlerbehebungen und neue Funktionen finden Sie unter Microsoft Entra-Connector für private Netzwerke: Verlauf der Versionsveröffentlichungen.

So aktualisieren Sie einen Connector manuell

  • Laden Sie die neueste Version des Connectors herunter. (Suchen Sie es im Microsoft Entra Admin Center unter globaler sicherer Zugriff>Verbinden>Connectors)
  • Das Installationsprogramm startet die Dienste für private Microsoft Entra-Netzwerkconnectors neu. In einigen Fällen ist möglicherweise ein Neustart des Servers erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Daher empfiehlt es sich, alle Anwendungen (d. h. die Ereignisanzeige) zu schließen, bevor Sie das Upgrade starten.
  • Führen Sie das Installationsprogramm aus. Das Upgrade ist schnell und erfordert keine Angabe von Anmeldeinformationen. Der Connector wird nicht erneut registriert.

Können Dienste für private Netzwerkconnectors in einem anderen als dem Standardbenutzerkontext ausgeführt werden?

Nein, dieses Szenario wird nicht unterstützt. Die Standardeinstellungen sind folgende:

  • Privater Microsoft Entra-Netzwerkconnector – WAPCSvc – Netzwerkdienst
  • Updater für den privaten Microsoft Entra-Netzwerkconnector – WAPCUpdaterSvc – NT Authority\System

Können Gastbenutzende mit einer aktiven Administratorrollenzuweisung den Connector für den (Gast)-Mandanten registrieren?

Nein, dies ist derzeit nicht möglich. Der Registrierungsversuch erfolgt immer beim Basismandanten des Benutzers.

Meine Back-End-Anwendung wird auf mehreren Webservern gehostet und erfordert Benutzersitzungspersistenz (Stickiness). Wie kann ich Sitzungspersistenz erreichen?

Empfehlungen finden Sie unter Hochverfügbarkeit und Lastenausgleich von privaten Netzwerkconnectors und -Anwendungen.

Wird die TLS-Terminierung (TLS/HTTPS-Prüfung oder -Beschleunigung) für Datenverkehr von den Connectorservern zu Azure unterstützt?

Der private Netzwerkconnector führt eine zertifikatbasierte Authentifizierung bei Azure durch. Die TLS-Terminierung (TLS/HTTPS-Prüfung oder -Beschleunigung) unterbricht diese Authentifizierungsmethode und wird nicht unterstützt. Der Datenverkehr vom Connector zu Azure muss alle Geräte umgehen, die eine TLS-Terminierung ausführen.

Ist TLS 1.2 für alle Verbindungen erforderlich?

Ja. Zur Bereitstellung erstklassiger Verschlüsselung für unsere Kundschaft beschränkt der Anwendungsproxydienst den Zugriff ausschließlich auf TLS 1.2-Protokolle. Diese Änderungen wurden nach und nach bereitgestellt und sind seit dem 31. August 2019 wirksam. Vergewissern Sie sich, dass alle Kombinationen aus Client/Server und Browser/Server für die Verwendung von TLS 1.2 aktualisiert wurden, um die Verbindung mit dem Anwendungsproxydienst sicherzustellen. Dazu gehören Clients, mit denen Ihre Benutzer auf Anwendungen zugreifen, die über den Anwendungsproxy veröffentlicht werden. Nützliche Referenzen und Ressourcen finden Sie unter Vorbereiten der Verwendung von TLS 1.2 in Office 365.

Kann ich ein Weiterleitungsproxygerät zwischen den Connectorservern und dem Back-End-Anwendungsserver platzieren?

Ja, dieses Szenario wird ab Connectorversion 1.5.1526.0 unterstützt. Weitere Informationen finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Sollte ich ein dediziertes Konto erstellen, um den Connector beim Microsoft Entra-Anwendungsproxy zu registrieren?

Es gibt keinen Grund, ein dediziertes Konto zu erstellen. Jedes Konto mit der Rolle „Anwendungsadministrator“ funktioniert. Die bei der Installation eingegebenen Anmeldeinformationen werden nach dem Registrierungsprozess nicht verwendet. Stattdessen wird ein Zertifikat für den Connector ausgestellt, das ab diesem Zeitpunkt für die Authentifizierung verwendet wird.

Wie kann ich die Leistung des Microsoft Entra-Connectors für private Netzwerke überwachen?

Es sind Leistungsindikatoren der Leistungsüberwachung verfügbar, die zusammen mit dem Connector installiert werden. Gehen Sie wie folgt vor, um diese anzuzeigen:

  1. Wählen Sie Start aus, geben Sie „Perfmon“ ein, und drücken Sie die EINGABETASTE.
  2. Wählen Sie Leistungsüberwachung aus, und klicken Sie dann auf das grüne Symbol +.
  3. Fügen Sie die Leistungsindikatoren des privaten Microsoft Entra-Netzwerkconnectors hinzu, die Sie überwachen möchten.

Muss sich der Microsoft Entra-Connector für private Netzwerke im selben Subnetz befinden wie die Ressource befinden?

Der Connector muss sich nicht in demselben Subnetz befinden. Er benötigt jedoch eine Namensauflösung (DNS, Hostdatei) für die Ressource und die erforderliche Netzwerkkonnektivität (Routing an die Ressource, für die Ressource geöffnete Ports usw.). Empfehlungen finden Sie unter Aspekte der Netzwerktopologie bei Verwendung des Microsoft Entra-Anwendungsproxys.

Warum wird der Connector weiterhin im Microsoft Entra Admin Center angezeigt, nachdem ich den Connector auf dem Server deinstalliert habe?

Wenn ein Connector ausgeführt wird, bleibt er beim Herstellen der Verbindung mit dem Dienst aktiv. Connectors, die nicht verwendet werden bzw. deinstalliert wurden, werden als inaktiv gekennzeichnet und nach 10 Tagen Inaktivität aus dem Portal entfernt. Es gibt keine Möglichkeit, den inaktiven Connector manuell aus dem Microsoft Entra Admin Center zu entfernen.

Nächste Schritte